Académique Documents
Professionnel Documents
Culture Documents
e VUE D’ENSEMBLE
p CONCEPT
d ENTRAINEMENT
` DÉPLOYER
Bien démarrer
f DÉMARRAGE RAPIDE
c GUIDE PRATIQUE
p CONCEPT
g DIDACTICIEL
d ENTRAINEMENT
p CONCEPT
g DIDACTICIEL
c GUIDE PRATIQUE
Router le trafic
p CONCEPT
g DIDACTICIEL
d ENTRAINEMENT
Gérer et contrôler le flux de trafic dans votre déploiement Azure à l’aide de routes
p CONCEPT
c GUIDE PRATIQUE
p CONCEPT
` DÉPLOYER
p CONCEPT
c GUIDE PRATIQUE
p CONCEPT
c GUIDE PRATIQUE
e VUE D’ENSEMBLE
d
d ENTRAINEMENT
i RÉFÉRENCE
Informations de référence
i RÉFÉRENCE
Azure CLI
Azure PowerShell
REST
Présentation du réseau virtuel Azure
Article • 15/05/2023
Le Réseau virtuel Azure est le composant fondamental de votre réseau privé dans Azure.
Le réseau virtuel permet à de nombreux types de ressources Azure, telles que les
machines virtuelles (VM) Azure, de communiquer de manière sécurisée entre elles, avec
Internet et avec les réseaux locaux. Un réseau virtuel est similaire à un réseau
traditionnel que vous utiliseriez dans votre propre centre de données. Cependant, le
réseau virtuel Microsoft Azure apporte les avantages de l’infrastructure Azure tels que la
mise à l’échelle, la disponibilité et l’isolation.
Les principaux scénarios que vous pouvez exécuter avec un réseau virtuel incluent :
7 Notes
Lorsque vous utilisez un Standard Load Balancer (équilibreur de charge standard)
interne, une connectivité sortante n’est pas disponible jusqu’à ce que vous
définissiez le fonctionnement des connexions sortantes pour travailler avec une
adresse IP publique au niveau de l’instance ou un équilibreur de charge public.
Via un réseau virtuel : vous pouvez déployer des machines virtuelles et d’autres
types de ressources Azure sur un réseau virtuel. Parmi les exemples de ressources,
on peut citer les environnements Azure App Service Environment, Azure
Kubernetes Service (AKS) et les Virtual Machine Scale Sets Azure. Pour obtenir la
liste complète des ressources Azure que vous pouvez déployer sur un réseau
virtuel, consultez Intégration des services de réseau virtuel.
Avec l’appairage VNet : vous pouvez connecter des réseaux virtuels entre eux, ce
qui permet aux ressources de ces réseaux virtuels de communiquer entre elles à
l’aide d’un appairage de réseaux virtuels. Les réseaux virtuels que vous connectez
peuvent être situés dans des régions Azure identiques ou différentes. Pour en
savoir plus, consultez Peering de réseaux virtuels.
Réseau privé virtuel (VPN) de point à site : connexion établie entre un réseau
virtuel et un ordinateur unique de votre réseau. Chaque ordinateur qui doit établir
une connexion avec un réseau virtuel doit configurer ses connexions. Ce type de
connexion est utile si vous n’êtes pas familiarisé avec Azure, ou pour les
développeurs car elle nécessite peu voire pas de modifications de votre réseau
existant. La communication entre votre ordinateur et un réseau virtuel passe par un
tunnel chiffré via Internet. Pour plus d’informations, consultez VPN de point à site.
VPN de site à site : connexion établie entre votre appareil VPN local et une
passerelle VPN Azure déployée dans un réseau virtuel. Ce type de connexion
permet à n’importe quelle ressource locale de votre choix d’accéder à un réseau
virtuel. La communication entre votre appareil VPN local et une passerelle VPN
Azure passe par un tunnel chiffré via Internet. Pour plus d’informations, consultez
VPN de site à site.
Filtrer le trafic
Vous pouvez filtrer le trafic réseau entre les sous-réseaux à l’aide d’une des deux options
suivantes :
Appliances virtuelles réseau : une appliance virtuelle réseau est une machine
virtuelle exécutant une fonction réseau, telle qu’un pare-feu, l’optimisation du
WAN ou une autre fonction réseau. Pour afficher la liste des appliances virtuelles
réseau disponibles que vous pouvez déployer dans un réseau virtuel, consultez
Place de marché Microsoft Azure .
Router le trafic
Les itinéraires Azure se chargent de l’acheminement entre les sous-réseaux, les réseaux
virtuels connectés, les réseaux locaux et Internet, par défaut. Vous pouvez implémenter
une ou les deux options suivantes pour remplacer les itinéraires par défaut créés par
Azure :
Tables de routage : vous pouvez créer des tables de routage personnalisées avec
des itinéraires qui contrôlent où le trafic est acheminé pour chaque sous-réseau.
Découvrez-en plus sur les tables de routage.
Itinéraires BGP : si vous connectez votre réseau virtuel à votre réseau local via une
connexion ExpressRoute ou la passerelle VPN Azure, vous pouvez propager vos
itinéraires BGP locaux à vos réseaux virtuels. En savoir plus sur l’utilisation du
protocole BGP avec la passerelle VPN Azure et ExpressRoute.
Étapes suivantes
Découvrez les concepts et bonnes pratiques du réseau virtuel Azure.
Un réseau virtuel est l’élément de construction fondamental pour les réseaux privés
dans Azure. Le réseau virtuel Microsoft Azure permet à des ressources Azure, comme
des machines virtuelles, de communiquer de manière sécurisée entre elles et sur
Internet.
Prérequis
Compte Azure avec un abonnement actif. Vous pouvez créer un compte
gratuitement .
Connexion à Azure
Connectez-vous au portail Azure avec votre compte Azure.
Paramètre Valeur
Détails du projet
Détails de l’instance
5. Dans l’onglet Adresses IP, sous Espace d’adressage IPv4, sélectionnez l’icône de
corbeille pour supprimer tout espace d’adressage qui apparaît déjà, puis entrez
10.0.0.0/16.
Paramètre Valeur
8. Sélectionnez Ajouter.
7 Notes
Azure Bastion utilise votre navigateur web pour se connecter aux machines
virtuelles de votre réseau virtuel au moyen de SSH (Secure Shell) ou RDP
(Remote Desktop Protocol) à l’aide de leurs adresses IP privées. Les machines
virtuelles ne requièrent pas d’adresse IP publique, de logiciel client ou de
configuration spéciale. Pour plus d’informations sur Azure Bastion, voir Azure
Bastion.
Paramètre Valeur
Paramètre Valeur
Détails du projet
Détails de l’instance
Compte administrateur
Paramètre Valeur
Interface réseau
6. Pour les autres paramètres, laissez les valeurs par défaut, puis sélectionnez Vérifier
+ créer.
8. Répétez les étapes précédentes pour créer une deuxième machine virtuelle avec
les paramètres suivants :
Paramètre Valeur
Les machines virtuelles d’un réseau virtuel avec un hôte bastion n’ont pas besoin
d’adresses IP publiques. Bastion fournit l’adresse IP publique et les machines
virtuelles utilisent des adresses IP privées pour communiquer au sein du réseau.
Vous pouvez supprimer les adresses IP publiques des machines virtuelles des
réseaux virtuels hébergés par bastion. Pour plus d’informations, consultez Dissocier
une adresse IP publique d’une machine virtuelle Azure.
7 Notes
Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles
qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends
d’un Azure Load Balancer de base interne. Le mécanisme d’adresse IP d’accès
sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.
L’adresse IP d’accès sortant par défaut est désactivée quand une adresse IP
publique est affectée à la machine virtuelle, quand la machine virtuelle est placée
dans le pool back-end d’un équilibreur de charge standard, avec ou sans règles de
trafic sortant, ou si une ressource de passerelle NAT de réseau virtuel Azure est
affectée au sous-réseau de la machine virtuelle.
Les machines virtuelles créées par des groupes de machines virtuelles identiques en
mode d’orchestration flexible n’ont pas d’accès sortant par défaut.
Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès
sortant par défaut dans Azure et Utiliser la traduction d’adresses réseau sources
(SNAT) pour les connexions sortantes.
Sortie
3. Répétez les étapes décrites dans Se connecter à une machine virtuelle pour vous
connecter à VM2.
Sortie
Étapes suivantes
Dans ce guide de démarrage rapide, vous avez créé un réseau virtuel avec deux sous-
réseaux, l’un contenant deux machines virtuelles, l’autre pour Azure Bastion. Vous avez
déployé Azure Bastion et vous l’avez utilisé pour vous connecter aux machines virtuelles,
ensuite vous avez communiqué de manière sécurisée entre les machines virtuelles. Pour
plus d’informations sur les paramètres de réseau virtuel, consultez Créer, changer ou
supprimer un réseau virtuel.
La communication privée entre les machines virtuelles n’est pas limitée dans un réseau
virtuel. Poursuivez avec l’article suivant pour en savoir plus sur la configuration de
différents types de communications dans un réseau de machines virtuelles.
Ce démarrage rapide vous explique comment créer un réseau virtuel à l’aide d’Azure
PowerShell. Vous créez ensuite deux machines virtuelles dans le réseau, vous vous
connectez en toute sécurité aux machines virtuelles à partir d’Internet et vous
communiquez en privé entre les machines virtuelles.
Un réseau virtuel est l’élément de construction fondamental pour les réseaux privés
dans Azure. Le Réseau virtuel Azure permet à des ressources Azure, comme des
machines virtuelles, de communiquer de manière sécurisée entre elles et sur Internet.
Prérequis
Compte Azure avec un abonnement actif. Vous pouvez créer un compte
gratuitement .
Vous pouvez également installer Azure PowerShell localement pour exécuter les
applets de commande. Les étapes de cet article nécessitent le module Azure
PowerShell version 5.4.1 ou ultérieure. Exécutez Get-Module -ListAvailable Az
pour rechercher la version installée. Si vous devez effectuer une mise à niveau,
consultez Mise à jour d’Azure PowerShell.
Azure PowerShell
$rg = @{
Name = 'TestRG'
Location = 'eastus'
}
New-AzResourceGroup @rg
Azure PowerShell
$vnet = @{
Name = 'VNet'
ResourceGroupName = 'TestRG'
Location = 'eastus'
AddressPrefix = '10.0.0.0/16'
}
$virtualNetwork = New-AzVirtualNetwork @vnet
3. Azure déploie des ressources vers un sous-réseau au sein d’un réseau virtuel.
Utilisez Add-AzVirtualNetworkSubnetConfig pour créer une configuration de sous-
réseau nommée default avec un préfixe d’adresse 10.0.0.0/24 .
Azure PowerShell
$subnet = @{
Name = 'default'
VirtualNetwork = $virtualNetwork
AddressPrefix = '10.0.0.0/24'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
Azure PowerShell
$virtualNetwork | Set-AzVirtualNetwork
Déployer Azure Bastion
Azure Bastion utilise votre navigateur web pour se connecter aux machines virtuelles de
votre réseau virtuel au moyen de SSH (Secure Shell) ou RDP (Remote Desktop Protocol)
à l’aide de leurs adresses IP privées. Les machines virtuelles ne requièrent pas d’adresse
IP publique, de logiciel client ou de configuration spéciale. Pour plus d’informations sur
Azure Bastion, voir Azure Bastion.
Azure PowerShell
$subnet = @{
Name = 'AzureBastionSubnet'
VirtualNetwork = $virtualNetwork
AddressPrefix = '10.0.1.0/26'
}
$subnetConfig = Add-AzVirtualNetworkSubnetConfig @subnet
2. Définissez la configuration.
Azure PowerShell
$virtualNetwork | Set-AzVirtualNetwork
3. Créez une adresse IP publique pour Azure Bastion. L’hôte bastion utilise l’adresse
IP publique pour accéder au protocole SSH(Secure Shell) et au protocole RDP sur
le port 443.
Azure PowerShell
Azure PowerShell
Azure PowerShell
$vm1 = @{
ResourceGroupName = 'TestRG'
Location = 'eastus'
Name = 'VM1'
VirtualNetworkName = 'VNet'
SubnetName = 'default'
}
New-AzVM @vm1
Azure PowerShell
$vm2 = @{
ResourceGroupName = 'TestRG'
Location = 'eastus'
Name = 'VM2'
VirtualNetworkName = 'VNet'
SubnetName = 'default'
}
New-AzVM @vm2
Conseil
Vous pouvez utiliser l’option -AsJob pour créer une machine virtuelle en arrière-
plan pendant que vous poursuivez d’autres tâches. Par exemple, exécutez New-AzVM
@vm1 -AsJob . Lorsqu’Azure commence la création de la machine virtuelle en arrière-
Il ne faut que quelques minutes à Azure pour créer les machines virtuelles. Une fois
qu’Azure a fini de créer les machines virtuelles, l’application retourne la sortie vers
PowerShell.
7 Notes
Les adresses IP publiques ne sont pas nécessaires pour les machines virtuelles d’un
réseau virtuel avec un hôte Bastion. Bastion fournit l’adresse IP publique et les
machines virtuelles utilisent des adresses IP privées pour communiquer au sein du
réseau. Vous pouvez supprimer les adresses IP publiques de n’importe laquelle des
machines virtuelles dans des réseaux virtuels hébergés par Bastion. Pour plus
d’informations, consultez l’article Dissocier une adresse IP publique d’une machine
virtuelle Azure.
2. Entrez ping myVM2 . Vous recevez une réponse similaire au message suivant :
PowerShell
3. Pour autoriser l’entrée du protocole ICMP via un pare-feu Windows sur cette
machine virtuelle, entrez la commande suivante :
PowerShell
5. Répétez les étapes décrites dans Se connecter à une machine virtuelle pour vous
connecter à VM2.
Cette fois, vous recevez une réponse de réussite similaire au message suivant, car
vous avez autorisé le protocole ICMP via le pare-feu sur VM1.
Pinging VM1.e5p2dibbrqtejhq04lqrusvd4g.bx.internal.cloudapp.net
[10.0.0.4] with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time=2ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Azure PowerShell
Remove-AzResourceGroup -Name 'TestRG' -Force
Étapes suivantes
Dans ce démarrage rapide, vous avez créé un réseau virtuel avec un sous-réseau par
défaut contenant deux machines virtuelles. Vous avez déployé Azure Bastion et vous
l’avez utilisé pour vous connecter aux machines virtuelles, ensuite vous avez
communiqué de manière sécurisée entre les machines virtuelles. Pour plus
d’informations sur les paramètres de réseau virtuel, consultez Créer, changer ou
supprimer un réseau virtuel.
La communication privée entre les machines virtuelles d’un réseau virtuel n’est pas
illimitée. Poursuivez avec l’article suivant pour en savoir plus sur la configuration de
différents types de communications réseau de machines virtuelles.
Ce guide de démarrage rapide vous montre comment créer un réseau virtuel au moyen
d’Azure CLI, l’interface de ligne de commande d’Azure. Vous créez ensuite deux
machines virtuelles dans le réseau, vous vous y connectez en toute sécurité à partir
d’Internet et vous communiquez en privé entre elles.
Un réseau virtuel est l’élément de construction fondamental pour les réseaux privés
dans Azure. Le réseau virtuel Microsoft Azure permet à des ressources Azure, comme
des machines virtuelles, de communiquer de manière sécurisée entre elles et sur
Internet.
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de
commencer.
Prérequis
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations,
consultez Démarrage rapide pour Bash dans Azure Cloud Shell.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première
utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des
extensions avec Azure CLI.
Azure CLI
az group create \
--name test-rg \
--location eastus2
Azure CLI
Azure CLI
2. Créez une adresse IP publique pour Azure Bastion. Cette adresse IP est utilisée
pour se connecter à l’hôte Bastion à partir d’Internet. Utilisez la commande az
network public-ip create pour créer une adresse IP publique nommée public-ip
dans le groupe de ressources test-rg.
Azure CLI
3. Utilisez la commande az network bastion create pour créer un hôte Azure Bastion
dans le azureBastionSubnet de votre réseau virtuel.
Azure CLI
Le déploiement des ressources Bastion prend environ 10 minutes. Vous pouvez créer
des machines virtuelles dans la section suivante lors du déploiement de Bastion sur
votre réseau virtuel.
Créer des machines virtuelles
Utilisez la commande az vm create pour créer deux machines virtuelles nommées VM1
et VM2 dans le sous-réseau subnet-1 du réseau virtuel. Lorsque vous êtes invité à entrer
des informations d’identification, entrez des noms d’utilisateur et des mots de passe
pour les machines virtuelles.
Azure CLI
az vm create \
--resource-group test-rg \
--admin-username azureuser \
--authentication-type password \
--name vm-1 \
--image Ubuntu2204 \
--public-ip-address ""
Azure CLI
az vm create \
--resource-group test-rg \
--admin-username azureuser \
--authentication-type password \
--name vm-2 \
--image Ubuntu2204 \
--public-ip-address ""
Conseil
Vous pouvez également utiliser l’option --no-wait pour créer une machine virtuelle
en arrière-plan pendant que vous poursuivez d’autres tâches.
La création des machines virtuelles peut prendre plusieurs minutes. Une fois la création
des différentes machines virtuelles effectuée par Azure, Azure CLI retourne une sortie
semblable au message suivant :
Sortie
{
"fqdns": "",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/test-
rg/providers/Microsoft.Compute/virtualMachines/vm-2",
"location": "eastus2",
"macAddress": "00-0D-3A-23-9A-49",
"powerState": "VM running",
"privateIpAddress": "10.0.0.5",
"publicIpAddress": "",
"resourceGroup": "test-rg"
"zones": ""
}
7 Notes
Les adresses IP publiques ne sont pas nécessaires pour les machines virtuelles d’un
réseau virtuel avec un hôte Bastion. Bastion fournit l’adresse IP publique et les
machines virtuelles utilisent des adresses IP privées pour communiquer au sein du
réseau. Vous pouvez supprimer les adresses IP publiques de n’importe laquelle des
machines virtuelles dans des réseaux virtuels hébergés par Bastion. Pour plus
d’informations, consultez Dissocier une adresse IP publique d’une machine
virtuelle Azure.
7 Notes
Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles
qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends
d’un Azure Load Balancer de base interne. Le mécanisme d’adresse IP d’accès
sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.
L’adresse IP d’accès sortant par défaut est désactivée quand une adresse IP
publique est affectée à la machine virtuelle, quand la machine virtuelle est placée
dans le pool back-end d’un équilibreur de charge standard, avec ou sans règles de
trafic sortant, ou si une ressource de passerelle NAT de réseau virtuel Azure est
affectée au sous-réseau de la machine virtuelle.
Les machines virtuelles créées par des groupes de machines virtuelles identiques en
mode d’orchestration flexible n’ont pas d’accès sortant par défaut.
Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès
sortant par défaut dans Azure et Utiliser la traduction d’adresses réseau sources
(SNAT) pour les connexions sortantes.
6. Entrez le nom d’utilisateur et le mot de passe que vous avez créés au moment de
créer la machine virtuelle, puis sélectionnez Connecter.
Sortie
3. Répétez les étapes décrites dans Se connecter à une machine virtuelle pour vous
connecter à VM2.
Sortie
Azure CLI
az group delete \
--name test-rg \
--yes
Étapes suivantes
Dans ce démarrage rapide, vous avez créé un réseau virtuel avec un sous-réseau par
défaut contenant deux machines virtuelles. Vous avez déployé Azure Bastion et vous
l’avez utilisé pour vous connecter aux machines virtuelles, ensuite vous avez
communiqué de manière sécurisée entre les machines virtuelles. Pour plus
d’informations sur les paramètres de réseau virtuel, consultez Créer, changer ou
supprimer un réseau virtuel.
La communication privée entre machines virtuelles d’un réseau virtuel est illimitée par
défaut. Poursuivez avec l’article suivant pour en savoir plus sur la configuration de
différents types de communications dans un réseau de machines virtuelles.
Ce guide de démarrage rapide vous montre comment créer un réseau virtuel avec deux
machines virtuelles, puis déployer Azure Bastion sur le réseau virtuel, à l’aide de modèles
Bicep. Vous vous connectez alors en toute sécurité aux machines virtuelles à l’aide
d’Azure Bastion via Internet, et communiquez en privé entre les deux machines
virtuelles.
Un réseau virtuel est un élément de construction fondamental pour les réseaux privés
dans Azure. Le réseau virtuel Microsoft Azure permet à des ressources Azure, comme
des machines virtuelles, de communiquer de manière sécurisée entre elles et sur
Internet.
Bicep est un langage spécifique à un domaine (DSL) qui utilise la syntaxe déclarative
pour déployer des ressources Azure. Il fournit une syntaxe concise, une cohérence des
types fiable et une prise en charge de la réutilisation du code. Bicep offre la meilleure
expérience de création pour vos solutions d’infrastructure en tant que code dans Azure.
Prérequis
Compte Azure avec un abonnement actif. Vous pouvez créer un compte
gratuitement .
Pour déployer les fichiers Bicep avec Azure CLI ou PowerShell installé.
1. Installez Azure CLI localement pour exécuter les commandes. Vous avez
besoin d’Azure CLI, version 2.0.28 ou ultérieure. Exécutez az version pour
connaître votre version installée et les bibliothèques dépendantes, puis
exécutez az upgrade pour effectuer une mise à niveau.
Bicep
@description('Admin username')
param adminUsername string
@description('Admin password')
@secure()
param adminPassword string
Azure CLI
Une fois le déploiement terminé, un message s’affiche pour indiquer que le déploiement
a réussi.
Utilisez le modèle Bicep Azure Bastion as a service à partir des modèles de démarrage
rapide Azure pour déployer et configurer Azure Bastion dans votre réseau virtuel. Ce
modèle Bicep définit les ressources Azure suivantes :
Microsoft.Network virtualNetworks/subnets : permet de créer un sous-réseau
AzureBastionSubnet.
Microsoft.Network bastionHosts : permet de créer l’hôte bastion.
Microsoft.Network publicIPAddresses : permet de créer une adresse IP publique
pour l’hôte Azure Bastion.
Microsoft Network networkSecurityGroups : permet de contrôler les paramètres du
groupe de sécurité réseau (NSG).
Bicep
Bicep
Azure CLI
Une fois le déploiement terminé, un message s’affiche pour indiquer que le déploiement
a réussi.
7 Notes
Les adresses IP publiques ne sont pas nécessaires pour les machines virtuelles d’un
réseau virtuel avec un hôte Bastion. Bastion fournit l’adresse IP publique et les
machines virtuelles utilisent des adresses IP privées pour communiquer au sein du
réseau. Vous pouvez supprimer les adresses IP publiques de n’importe quelle
machine virtuelle dans des réseaux virtuels hébergés par Bastion. Pour plus
d’informations, consultez Dissocier une adresse IP publique d’une machine
virtuelle Azure.
Azure CLI
5. Sur la page Bastion, entrez le nom d’utilisateur et le mot de passe créés pour la
machine virtuelle, puis sélectionnez Se connecter.
2. Entrez ping BackendVM0 . Vous recevez une réponse similaire au message suivant :
PowerShell
Pinging BackendVM0.ovvzzdcazhbu5iczfvonhg2zrb.bx.internal.cloudapp.net
with 32 bytes of data
Request timed out.
Request timed out.
Request timed out.
Request timed out.
3. Pour autoriser l’entrée du protocole ICMP via un pare-feu Windows sur cette
machine virtuelle, entrez la commande suivante :
PowerShell
5. Répétez les étapes décrites dans Se connecter à une machine virtuelle pour vous
connecter à BackendVM0.
Cette fois, vous recevez une réponse de réussite similaire au message suivant, car
vous avez autorisé le protocole ICMP via le pare-feu sur VM1.
Pinging BackendVM1.e5p2dibbrqtejhq04lqrusvd4g.bx.internal.cloudapp.net
[10.0.0.4] with 32 bytes of data:
Reply from 10.0.0.4: bytes=32 time=2ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Reply from 10.0.0.4: bytes=32 time<1ms TTL=128
Étapes suivantes
Dans ce guide de démarrage rapide, vous avez créé un réseau virtuel avec deux sous-
réseaux, l’un contenant deux machines virtuelles, et l’autre pour Azure Bastion. Vous
avez déployé Azure Bastion puis l’avez utilisé pour vous connecter aux machines
virtuelles et vous avez communiqué de manière sécurisée entre les machines virtuelles.
Pour plus d’informations sur les paramètres de réseau virtuel, consultez Créer, changer
ou supprimer un réseau virtuel.
La communication privée entre les machines virtuelles n’est pas limitée dans un réseau
virtuel. Poursuivez avec l’article suivant pour en savoir plus sur la configuration de
différents types de communications réseau de machines virtuelles.
Ce démarrage rapide montre comment créer un réseau virtuel avec deux sous-réseaux à
l’aide du modèle Azure Resource Manager. Un réseau virtuel est le bloc de construction
fondamental de votre réseau privé dans Azure. Il permet à des ressources Azure, comme
des machines virtuelles, de communiquer de manière sécurisée entre elles et avec
Internet.
Prérequis
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de
commencer.
Vérifier le modèle
Le modèle utilisé dans ce guide de démarrage rapide est tiré des modèles de démarrage
rapide Azure .
JSON
{
"$schema": "https://schema.management.azure.com/schemas/2019-04-
01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"metadata": {
"_generator": {
"name": "bicep",
"version": "0.6.18.56646",
"templateHash": "10806234693722113459"
}
},
"parameters": {
"vnetName": {
"type": "string",
"defaultValue": "VNet1",
"metadata": {
"description": "VNet name"
}
},
"vnetAddressPrefix": {
"type": "string",
"defaultValue": "10.0.0.0/16",
"metadata": {
"description": "Address prefix"
}
},
"subnet1Prefix": {
"type": "string",
"defaultValue": "10.0.0.0/24",
"metadata": {
"description": "Subnet 1 Prefix"
}
},
"subnet1Name": {
"type": "string",
"defaultValue": "Subnet1",
"metadata": {
"description": "Subnet 1 Name"
}
},
"subnet2Prefix": {
"type": "string",
"defaultValue": "10.0.1.0/24",
"metadata": {
"description": "Subnet 2 Prefix"
}
},
"subnet2Name": {
"type": "string",
"defaultValue": "Subnet2",
"metadata": {
"description": "Subnet 2 Name"
}
},
"location": {
"type": "string",
"defaultValue": "[resourceGroup().location]",
"metadata": {
"description": "Location for all resources."
}
}
},
"resources": [
{
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2021-08-01",
"name": "[parameters('vnetName')]",
"location": "[parameters('location')]",
"properties": {
"addressSpace": {
"addressPrefixes": [
"[parameters('vnetAddressPrefix')]"
]
},
"subnets": [
{
"name": "[parameters('subnet1Name')]",
"properties": {
"addressPrefix": "[parameters('subnet1Prefix')]"
}
},
{
"name": "[parameters('subnet2Name')]",
"properties": {
"addressPrefix": "[parameters('subnet2Prefix')]"
}
}
]
}
}
]
}
Déployer le modèle
Déployez le modèle Resource Manager sur Azure :
1. Sélectionnez Déployer sur Azure pour vous connecter à Azure et ouvrir le modèle.
Le modèle crée un réseau virtuel avec deux sous-réseaux.
2. Dans le portail, dans la page Créer un réseau virtuel avec deux sous-réseaux,
tapez ou sélectionnez les valeurs suivantes :
1. Sous l’onglet Vue d’ensemble, vous verrez l’espace d’adressage défini 10.0.0.0/16.
Pour découvrir la syntaxe et les propriétés JSON d’un réseau virtuel dans un modèle,
consultez Microsoft.Network/azureFirewalls.
Azure PowerShell
Étapes suivantes
Dans ce démarrage rapide, vous avez déployé un réseau virtuel Azure avec deux sous-
réseaux. Pour en savoir plus sur les réseaux virtuels Azure, consultez le tutoriel sur les
réseaux virtuels.
Ressources supplémentaires
Documentation
Démarrage rapide : Créer une IP publique à l’aide d’un modèle Resource Manager -
Azure Virtual Network
Apprendre à créer une IP publique à l’aide d’un modèle Resource Manager
Démarrage rapide : Créer un équilibreur de charge public : modèle ARM - Azure Load
Balancer
Ce guide de démarrage rapide vous montre comment créer un équilibreur de charge avec le modèle
Azure Resource Manager.
Set-AzVirtualNetwork (Az.Network)
L’applet de commande Set-AzVirtualNetwork met à jour un réseau virtuel.
Démarrage rapide : Créez un réseau virtuel - Portail Azure - Azure Virtual Network
Dans ce démarrage rapide, vous allez créer un réseau virtuel à l’aide du portail Azure. Un réseau
virtuel permet à des ressources Azure de communiquer entre elles et avec Internet.
Afficher 5 de plus
Entrainement
Parcours d’apprentissage
Déployer et gérer des ressources dans Azure en utilisant des modèles ARM JSON -
Training
Découvrez comment les modèles ARM JSON vous permettent de gérer les déploiements
d’infrastructure à la fois simples et complexes sur Azure.
Certification
Microsoft Certified: Azure Network Engineer Associate - Certifications
Les candidats à cette certification doivent avoir une expertise en matière de planification,
d’implémentation et de gestion des solutions réseau Azure, y compris l’infrastructure réseau
principale, la connectivité hybride, les services de distribution d’applications, l’accès privé aux servic…
Tutoriel : Filtrer le trafic réseau avec un
groupe de sécurité réseau à l’aide du
portail Azure
Article • 01/06/2023
Vous pouvez utiliser un groupe de sécurité réseau pour filtrer le trafic réseau sortant et
entrant respectivement à destination et en provenance de ressources Azure dans un
réseau virtuel Azure.
Les groupes de sécurité réseau contiennent des règles de sécurité qui filtrent le trafic
réseau par adresse IP, port et protocole. Quand un groupe de sécurité réseau est associé
à un sous-réseau, des règles de sécurité sont appliquées aux ressources déployées dans
ce sous-réseau.
Prérequis
Un abonnement Azure
Connexion à Azure
Connectez-vous au portail Azure .
Paramètre Valeur
Détails du projet
Détails de l’instance
Paramètre Valeur
Détails du projet
Détails de l’instance
Paramètre Valeur
Détails du projet
Détails de l’instance
Détails du projet
Détails de l’instance
3. Créez une règle de sécurité qui autorise les ports 80 et 443 dans le groupe de
sécurité d’application myAsgWebServers. Dans la page Ajouter une règle de
sécurité de trafic entrant, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur
Paramètre Valeur
4. Sélectionnez Ajouter.
6. Sélectionnez Ajouter.
U Attention
Dans cet article, le protocole RDP (port 3389) est exposé à Internet pour la
machine virtuelle affectée au groupe de sécurité d’application
myAsgMgmtServers.
Une fois que vous avez terminé les étapes 1 à 3, passez en revue les règles que vous
avez créées. Votre liste doit ressembler à la liste de l’exemple suivant :
Créer des machines virtuelles
Créez deux machines virtuelles dans le réseau virtuel.
Paramètre Valeur
Détails du projet
Détails de l’instance
Instance Azure Spot Conservez la valeur par défaut (case non cochée).
Compte administrateur
Paramètre Valeur
Interface réseau
Attendez que le déploiement des machines virtuelles soit terminé avant de passer à la
section suivante.
Ajoutez l’interface réseau de chaque machine virtuelle à l’un des groupes de sécurité
d’application que vous avez créés précédemment :
5. Sélectionnez OK.
PowerShell
mstsc /v:myVmWeb
PowerShell
12. Dans la page Vue d’ensemble de myVMWeb, notez l’adresse IP publique de votre
machine virtuelle. L’adresse affichée dans l’exemple suivant est 23.96.39.113, mais
votre adresse est différente :
13. Pour vérifier si vous pouvez accéder au serveur web myVMWeb depuis Internet,
ouvrez un navigateur Internet sur votre ordinateur et accédez à http://<public-
ip-address-from-previous-step> .
Vous voyez cette page par défaut IIS parce que le trafic entrant en provenance
d’Internet à destination du groupe de sécurité d’application myAsgWebServers est
autorisé via le port 80.
Étapes suivantes
Dans ce tutoriel, vous allez :
Vous avez créé un groupe de sécurité réseau, et vous l’avez associé à un sous-
réseau de réseau virtuel.
Vous avez créé des groupes de sécurité d’application pour le web et la gestion.
Créez deux machines virtuelles et associez leurs interfaces réseau aux groupes de
sécurité d’application.
Vous avez testé le filtrage réseau du groupe de sécurité d’application.
Pour en savoir plus sur les groupes de sécurité réseau, consultez Vue d’ensemble d’un
groupe de sécurité réseau et Gérer un groupe de sécurité réseau.
Azure achemine par défaut le trafic entre les sous-réseaux. À la place, vous pouvez
choisir par exemple d’acheminer le trafic entre les sous-réseaux via une machine
virtuelle, agissant comme un pare-feu.
Azure achemine le trafic entre tous les sous-réseaux au sein d’un réseau virtuel par
défaut. Vous pouvez créer vos propres itinéraires pour remplacer le routage par défaut
d’Azure. Les itinéraires personnalisés sont utiles, par exemple, quand vous souhaitez
router le trafic entre des sous-réseaux via une appliance virtuelle réseau (NVA).
Ce tutoriel utilise le portail Azure. Vous pouvez également le suivre avec l’interface Azure
CLI ou PowerShell.
Vue d’ensemble
Ce diagramme montre les ressources créées dans ce tutoriel ainsi que les routes réseau
attendues.
Prérequis
Un abonnement Azure
Connexion à Azure
Connectez-vous au portail Azure .
Paramètre Valeur
7. Sélectionnez Ajouter.
9. Sélectionnez Ajouter.
10. Sélectionnez + Ajouter un sous-réseau, puis entrez DMZ comme Nom du sous-
réseau et 10.0.2.0/24 comme Plage d’adresses de sous-réseau.
Paramètre Valeur
3. Sous l’onglet Informations de base de la page Créer une machine virtuelle, entrez
ou sélectionnez les informations suivantes :
Paramètre Valeur
Détails du
projet
Détails de
l’instance
Compte
administrateur
Mot de passe Entrez un mot de passe. Le mot de passe doit contenir au moins 12
caractères et satisfaire aux exigences de complexité définies.
Règles des
ports d’entrée
Paramètre Valeur
Interface réseau
7 Notes
Paramètre Valeur
Détails du
projet
Détails de
l’instance
Paramètre Valeur
Compte
administrateur
Mot de passe Entrez un mot de passe. Le mot de passe doit contenir au moins 12
caractères et satisfaire aux exigences de complexité définies.
Règles des
ports d’entrée
Paramètre Valeur
Interface réseau
Paramètre Valeur
Détails du
projet
Détails de
l’instance
Compte
administrateur
Mot de passe Entrez un mot de passe. Le mot de passe doit contenir au moins 12
caractères et satisfaire aux exigences de complexité définies.
Règles des
ports d’entrée
Paramètre Valeur
Interface réseau
3. Entrez le nom d’utilisateur et le mot de passe que vous avez précédemment créés
pour la machine virtuelle myVMPrivate.
PowerShell
PowerShell
mstsc /v:myvmpublic
Activer le transfert IP
Pour acheminer le trafic via l’appliance virtuelle réseau (NVA), activez le transfert IP dans
Azure et dans le système d’exploitation de la machine virtuelle myVMNVA. Une fois le
transfert IP activé, tout trafic reçu par la machine virtuelle myVMNVA et destiné à une
autre adresse IP ne fait l’objet d’aucune suppression et est transféré vers la bonne
destination.
PowerShell
mstsc /v:myvmnva
PowerShell
Set-ItemProperty -Path
HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name
IpEnableRouter -Value 1
PowerShell
Restart-Computer
Créer une table de routage
Dans cette section, vous allez créer une table de routage.
3. Sous l’onglet Informations de base de la page Créer une table de routage, entrez
ou sélectionnez les informations suivantes :
Paramètre Valeur
Détails du projet
Détails de l’instance
Créer un itinéraire
Dans cette section, vous allez créer un itinéraire dans la table de routage que vous avez
créée précédemment.
Paramètre Valeur
5. Sélectionnez Ajouter.
PowerShell
mstsc /v:myvmpublic
PowerShell
tracert myvmprivate
PowerShell
Tracing route to
myvmprivate.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net
[10.0.1.4]
over a maximum of 30 hops:
1 1 ms * 2 ms myvmnva.internal.cloudapp.net
[10.0.2.4]
2 2 ms 1 ms 1 ms myvmprivate.internal.cloudapp.net
[10.0.1.4]
Trace complete.
Vous pouvez voir qu’il existe deux tronçons dans la réponse ci-dessus pour le suivi
tracert du trafic ICMP de la machine virtuelle myVMPublic vers la machine virtuelle
myVMPrivate. Le premier tronçon correspond à la machine virtuelle myVMNVA et
le deuxième à la machine virtuelle myVMPrivate de destination.
Azure a envoyé le trafic du sous-réseau Public à travers la NVA et non directement
vers le sous-réseau Privé parce que vous avez précédemment ajouté l’itinéraire
ToPrivateSubnet à la table de routage myRouteTablePublic et l'avez associée au
sous-réseau Public.
PowerShell
tracert myvmpublic
PowerShell
Tracing route to
myvmpublic.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net
[10.0.0.4]
over a maximum of 30 hops:
1 1 ms 1 ms 1 ms myvmpublic.internal.cloudapp.net
[10.0.0.4]
Trace complete.
Vous pouvez voir qu’il n’existe qu’un seul tronçon dans la réponse ci-dessus. Celui-
ci correspond à la machine virtuelle myVMPublic de destination.
Étapes suivantes
Dans ce tutoriel, vous allez :
Pour en savoir plus sur le routage, consultez Routage du trafic de réseau virtuel et Créer,
modifier ou supprimer une table de routage.
Pour apprendre à restreindre l’accès réseau aux ressources PaaS avec des points de
terminaison de service de réseau virtuel, passez au tutoriel suivant.
Ce tutoriel utilise le portail Azure. Vous pouvez également le suivre avec l’interface Azure
CLI ou PowerShell.
Prérequis
Un abonnement Azure
Connexion à Azure
Connectez-vous au portail Azure .
Créer un réseau virtuel
1. Dans le menu du portail Azure, sélectionnez + Créer une ressource.
Paramètre Valeur
Paramètre Valeur
1. Si vous n’êtes pas déjà sur la page de ressources du réseau virtuel, vous pouvez
rechercher le réseau virtuel créé dans la case située en haut du portail. Saisissez
myVirtualNetwork, et sélectionnez-le dans la liste.
Paramètre Valeur
Name Privé
1. Dans la zone de recherche située en haut du portail Azure, recherchez les groupes
de sécurité réseau.
Paramètre Valeur
7. Créer une règle qui autorise les communications sortantes vers le service Stockage
Azure. Saisissez ou sélectionnez les informations suivantes, puis sélectionnez
Ajouter :
Paramètre Valeur
Source port *
ranges
Plages de ports Remplacez par 445. Le protocole SMB est utilisé pour se connecter à un
de destination partage de fichiers créé lors d’une étape ultérieure.
Protocol Quelconque
Action Autoriser
Priority 100
Paramètre Valeur
Protocol Quelconque
Priority 110
Source Quelconque
Protocol Quelconque
Action Autoriser
Priority 120
Le port RDP 3389 est exposé à Internet. Ceci est recommandé uniquement
pour les tests. Pour Environnements de production, nous vous recommandons
d’utiliser une connexion VPN ou privée.
12. Sélectionnez myVirtualNetwork sous Réseau virtuel, puis sélectionnez Privé sous
Sous-réseaux. Sélectionnez OK pour associer le groupe de sécurité réseau au sous-
réseau sélectionné.
Paramètre Valeur
Nom du Entrez un nom qui est unique dans tous les emplacements Azure. La
compte de longueur du nom doit être comprise entre 3 et 24 caractères, en utilisant
stockage uniquement des chiffres et des lettres minuscules.
Performances standard
7 Notes
Paramètre Valeur
Nom my-file-share
1. Sous Paramètres pour votre compte de stockage (nom unique), sélectionnez Mise
en réseau.
Paramètre Valeur
Sous-réseaux Privé
Paramètre Valeur
Zone de 1
disponibilité
Mot de passe Entrez un mot de passe de votre choix. Le mot de passe doit contenir au
moins 12 caractères et satisfaire aux exigences de complexité définies.
Paramètre Valeur
5. Une fois connecté, ouvrez Windows PowerShell. Utilisez le script ci-dessous pour
mapper le partage de fichiers Azure au lecteur Z à l’aide de PowerShell. Remplacez
<storage-account-key> et les deux variables <storage-account-name> par les
valeurs récupérées plus tôt lors des étapes de création du compte de stockage.
PowerShell
À partir de myVmPublic :
1. Entrez myVmPublic dans le champ Rechercher des ressources, services et
documents en haut du portail. Quand myVmPublic apparaît dans les résultats de
la recherche, sélectionnez cette entrée.
Après un court délai d’attente, vous recevez une erreur New-PSDrive : Access is
denied . L’accès est refusé car la machine virtuelle myVmPublic est déployée sur le
PowerShell
7 Notes
L’accès est refusé, car votre ordinateur ne se trouve pas dans le sous-réseau Private
du réseau virtuel MyVirtualNetwork.
Étapes suivantes
Dans ce tutoriel, vous avez activé un point de terminaison de service pour un sous-
réseau de réseau virtuel. Vous avez vu que les points de terminaison de service peuvent
être activés pour les ressources déployées à partir de différents services Azure. Vous
avez créé un compte Stockage Azure et un accès réseau à ce compte de stockage, limité
aux ressources du sous-réseau du réseau virtuel. Pour en savoir plus sur les points de
terminaison de service, consultez Points de terminaison de service de réseau virtuel et
Ajouter, modifier ou supprimer un sous-réseau de réseau virtuel.
Si vous avez plusieurs réseaux virtuels dans votre compte, vous souhaiterez peut-être
établir une connectivité entre eux afin que les ressources puissent communiquer entre
elles. Pour savoir comment connecter des réseaux virtuels, passez au didacticiel suivant.
Vous pouvez connecter des réseaux virtuels entre eux à l’aide du peering de réseaux
virtuels. Ces réseaux virtuels peuvent appartenir à la même région ou à des régions
différentes (connexion également appelée Global VNet Peering). Une fois les réseaux
virtuels appairés, les ressources des deux réseaux virtuels peuvent communiquer entre
elles via une connexion à faible latence et à bande passante élevée à l’aide du réseau
principal Microsoft.
Ce tutoriel utilise le portail Azure. Vous pouvez également le suivre avec Azure CLI ou
PowerShell.
Prérequis
Un abonnement Azure
Connexion à Azure
Connectez-vous au portail Azure .
Paramètre Valeur
6. Répétez les étapes 1 à 5 pour créer un deuxième réseau virtuel avec les paramètres
suivants :
Paramètre Valeur
Nom myVirtualNetwork2
3. Entrez ou sélectionnez les informations suivantes, acceptez les valeurs par défaut
pour les autres paramètres, puis cliquez sur Ajouter.
Paramètre Valeur
Ce réseau
virtuel
Paramètre Valeur
Réseau
virtuel
distant
Sur la page Peerings, l’état de peering est Connecté, comme indiqué dans l’image
suivante :
Paramètre Valeur
Nom Entrez un nom d’utilisateur. Pour ce tutoriel, le nom d’utilisateur azure est
d’utilisateur utilisé.
Mot de passe Entrez un mot de passe de votre choix. Le mot de passe doit contenir au
moins 12 caractères et satisfaire aux exigences de complexité définies.
Paramètre Valeur
Paramètre Valeur
Nom myVm2
7 Notes
Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles
qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends
d’un Azure Load Balancer de base interne. Le mécanisme d’adresse IP d’accès
sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.
L’adresse IP d’accès sortant par défaut est désactivée quand une adresse IP
publique est affectée à la machine virtuelle, quand la machine virtuelle est placée
dans le pool back-end d’un équilibreur de charge standard, avec ou sans règles de
trafic sortant, ou si une ressource de passerelle NAT de réseau virtuel Azure est
affectée au sous-réseau de la machine virtuelle.
Les machines virtuelles créées par des groupes de machines virtuelles identiques en
mode d’orchestration flexible n’ont pas d’accès sortant par défaut.
Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès
sortant par défaut dans Azure et Utiliser la traduction d’adresses réseau sources
(SNAT) pour les connexions sortantes.
6. Dans une étape ultérieure, un test ping sera utilisé pour communiquer avec
myVm1 depuis myVm2. Le test ping utilise le protocole ICMP, qui est interdit par le
Pare-feu Windows par défaut. Sur myVm1, autorisez ICMP à travers le pare-feu
Windows afin de pouvoir effectuer un test ping pour cette machine virtuelle à
partir de myVm2 lors d’une étape ultérieure, en utilisant PowerShell :
PowerShell
Bien que ce test ping soit utilisé pour établir une communication entre les
machines virtuelles dans ce tutoriel, il n’est pas recommandé d’autoriser le
protocole IMCP via le pare-feu Windows lors de déploiements de production.
7. Pour établir une connexion avec myVm2 à partir de myVm1, entrez la commande
suivante à partir d’une invite de commandes sur myVm1 :
mstsc /v:10.1.0.4
8. Entrez le nom d’utilisateur et le mot de passe que vous avez spécifiés lors de la
création de myVm2, puis sélectionnez Oui si vous recevez un avertissement de
certificat pendant le processus de connexion.
9. Étant donné que vous avez activé la commande ping sur myVm1, vous pouvez
désormais y effectuer un test ping à partir de myVm2 :
PowerShell
ping 10.0.0.4
10. Déconnectez vos sessions RDP sur myVm1 et myVm2.
Étapes suivantes
Dans ce tutoriel, vous allez :
Cet article décrit les concepts clés et les meilleures pratiques pour le Réseau
virtuel Azure.
Meilleures pratiques
Lorsque vous créez votre réseau dans Azure, il est important de garder à l’esprit les
principes de conception universels suivants :
Vérifiez que les espaces d’adressage ne se chevauchent pas. Assurez-vous que
votre espace d’adressage de réseau virtuel (bloc CIDR) ne chevauche pas d’autres
plages réseau de votre organisation.
Il est recommandé d’avoir moins de grands réseaux virtuels plutôt que plusieurs
petits réseaux virtuels pour éviter la surcharge de gestion.
Sécurisez vos réseaux virtuels en attribuant des groupes de sécurité réseau (NSG)
aux sous-réseaux situés en dessous. Pour plus d’informations sur les concepts de
sécurité du réseau, consultez Vue d’ensemble de la sécurité réseau Azure.
Étapes suivantes
Pour commencer à utiliser un réseau virtuel, créez-en un, déployez-y plusieurs machines
virtuelles et communiquez entre les machines virtuelles. Pour en savoir plus, consultez
l’article de démarrage rapide Créer un réseau virtuel.
Réseau virtuel – Continuité des activités
Article • 29/03/2023 • 2 minutes de lecture
Vue d’ensemble
Un réseau virtuel est une représentation logique de votre réseau dans le cloud. Il vous
permet de définir votre propre espace d’adressage IP privé et de segmenter le réseau en
sous-réseaux. Les réseaux virtuels servent de limite de confiance pour héberger vos
ressources de calcul telles que les machines virtuelles Azure et les équilibreurs de
charge. Un réseau virtuel permet la communication IP privée directe entre les ressources
qu’il héberge. Vous pouvez lier un réseau virtuel à un réseau local via une passerelle
VPN ou ExpressRoute.
Les réseaux virtuels sont créés dans l’étendue d’une région. Vous pouvez créer des
réseaux virtuels avec le même espace d’adressage dans deux régions différentes, mais
vous ne pourrez pas les connecter les uns aux autres en raison de leur espace
d’adressage en commun.
Continuité de l’activité
Peut-être que votre application peut être interrompue de différentes manières. Une
région peut être coupée complètement des autres en raison d’une catastrophe naturelle
ou d’une catastrophe partielle en raison d’une panne de plusieurs appareils ou services.
L’effet sur le service de réseau virtuel est différent dans chacune de ces situations.
Q : si une panne se produit pour une région entière, que faire ? Par exemple, si une
région est entièrement coupée en raison d’une catastrophe naturelle ? Que se passe-
t-il pour les réseaux virtuels hébergés dans la région ?
A : les réseaux virtuels sont des ressources relativement légères. Vous pouvez appeler
des API Azure pour créer un réseau virtuel avec le même espace d’adressage dans une
région différente. Pour recréer le même environnement que celui qui était présent dans
la région affectée, redéployez les machines virtuelles et d’autres ressources. Vous devrez
également créer une passerelle VPN et vous connecter à votre réseau local si vous aviez
une connectivité locale (comme dans un déploiement hybride).
Q : un réplica d’un réseau virtuel dans une région donnée peut-il être recréé dans une
autre région à l’avance ?
R : oui, vous pouvez créer deux réseaux virtuels utilisant les mêmes espaces d’adressage
IP privé et les mêmes ressources dans deux régions différentes à l’avance. Si vous
hébergez des services Internet dans le réseau virtuel, vous auriez pu configurer Traffic
Manager pour router géographiquement le trafic vers la région active. Toutefois, vous
ne pouvez pas connecter deux réseaux virtuels avec le même espace d’adressage de
réseau local sous peine de causer des problèmes de routage. En cas d’incident et de
perte d’un réseau virtuel dans une région, vous pouvez connecter à votre réseau local
l’autre réseau virtuel dans la région disponible avec l’espace d’adressage correspondant.
En savoir plus sur la façon dont Azure achemine le trafic entre Azure, sur site et les
ressources Internet. Azure crée automatiquement une table de routage pour chaque
sous-réseau au sein d’un réseau virtuel Azure et y ajoute les itinéraires par défaut du
système. Pour plus d’informations sur les réseaux virtuels et les sous-réseaux, voir
Présentation du réseau virtuel. Vous pouvez remplacer certaines des routes système
d’Azure par des routes personnalisées, et ajouter d’autres routes personnalisées aux
tables de routage. Azure achemine le trafic sortant à partir d’un sous-réseau selon les
itinéraires disponibles dans la table de routage d’un sous-réseau.
Itinéraires système
Azure crée des itinéraires système automatiquement et assigne les itinéraires pour
chaque sous-réseau dans un réseau virtuel. Vous ne pouvez pas créer ou supprimer des
itinéraires système, mais vous pouvez remplacer certains itinéraires système avec des
itinéraires personnalisés. Azure crée des routes système par défaut pour chaque sous-
réseau et ajoute d’autres routes par défaut facultatives à des sous-réseaux spécifiques,
ou à chaque sous-réseau, quand vous utilisez des fonctionnalités Azure spécifiques.
Default
Chaque itinéraire comporte un préfixe d’adresse et le type de tronçon suivant. Lorsque
le trafic sortant d’un sous-réseau est envoyé à une adresse IP dans le préfixe d’adresse
d’un itinéraire, l’itinéraire qui contient le préfixe est l’itinéraire utilisé par Azure. En savoir
plus sur la façon dont Azure choisit un itinéraire lorsque plusieurs itinéraires contiennent
les mêmes préfixes, ou des préfixes qui se chevauchent. Chaque fois qu’un réseau virtuel
est créé, Azure crée automatiquement les itinéraires système par défaut suivants pour
chaque sous-réseau au sein du réseau virtuel :
Réseau virtuel : achemine le trafic entre les plages d’adresses au sein de l’espace
d’adressage d’un réseau virtuel. Azure crée un itinéraire avec un préfixe d’adresse
qui correspond à chaque plage d’adresses définie dans l’espace d’adressage d’un
réseau virtuel. Si plusieurs plages d’adresses sont définies dans l’espace
d’adressage de réseau virtuel, Azure crée un itinéraire individuel pour chaque
plage d’adresses. Azure achemine automatiquement le trafic entre les sous-
réseaux à l’aide des itinéraires créés pour chaque plage d’adresses. Il n’est pas
nécessaire de définir des passerelles pour qu’Azure achemine le trafic entre les
sous-réseaux. Bien qu'un réseau virtuel contienne des sous-réseaux ayant chacun
une plage d'adresses définie, Azure ne crée pas d’itinéraires par défaut pour les
plages d'adresses de sous-réseau. Chaque plage d’adresses de sous-réseau se
trouve dans une plage d’adresses de l’espace d’adressage d’un réseau virtuel.
Aucun : le trafic acheminé vers le type de tronçon suivant Aucun est supprimé,
plutôt que routé à l’extérieur du sous-réseau. Azure crée automatiquement des
itinéraires par défaut pour les préfixes d’adresse suivants :
Default Unique pour le réseau virtuel, par Peering de réseaux virtuels Tous
exemple : 10.1.0.0/16
Passerelle Préfixes publiés à partir du site via le Passerelle de réseau virtuel Tous
de réseau protocole BGP, ou configurés dans la
virtuel passerelle de réseau local
Peering de réseau virtuel (VNet) : lorsque vous créez un peering de réseau virtuel
entre deux réseaux virtuels, le système ajoute un itinéraire pour chaque plage
d’adresses dans l’espace d’adressage de chaque réseau virtuel impliqué dans le
peering. En savoir plus sur le peering de réseaux virtuels.
7 Notes
Itinéraires personnalisés
Vous pouvez créer des itinéraires soit en créant des itinéraires définis par l’utilisateur ou
en échangeant les itinéraires du protocole de passerelle frontière (BGP) entre votre
passerelle de réseau local et une passerelle de réseau virtuel Azure.
Vous pouvez spécifier les types suivants de tronçon suivants lors de la création d’un
itinéraire défini par l’utilisateur :
Appliance virtuelle : une appliance virtuelle réseau est une machine virtuelle qui
exécute une application réseau telle qu’un pare-feu. Pour en savoir plus sur les
diverses appliances virtuelles réseau préconfigurées que vous pouvez déployer
dans un réseau virtuel, consultez la Place de marché Azure . Lorsque vous créez
un itinéraire avec le appliance virtuelle type de tronçon, vous également spécifiez
les adresses IP de tronçon suivant. L’adresse IP peut être :
7 Notes
Vous pouvez définir un itinéraire avec 0.0.0.0/0 comme préfixe d’adresse et un type
de tronçon suivant d’appliance virtuelle. Cette configuration permet à l’appliance
d’inspecter le trafic et de déterminer s’il faut transférer ou supprimer le trafic. Si
vous envisagez de créer un itinéraire défini par l’utilisateur contenant le préfixe
d’adresse 0.0.0.0/0, lisez d’abord la rubrique préfixe d’adresse 0.0.0.0/0.
Passerelle de réseau virtuel : indiquez quand vous souhaitez que le trafic destiné à
des préfixes d’adresse spécifiques soit routé vers une passerelle de réseau virtuel.
La passerelle de réseau virtuel doit être créée avec le type VPN. Vous ne pouvez
pas spécifier une passerelle de réseau virtuel créée en tant que type ExpressRoute
sur une route définie par l’utilisateur, car ExpressRoute exige d’utiliser BGP pour les
routes personnalisées. Vous ne pouvez pas spécifier de passerelles de réseau
virtuel si vous avez des connexions VPN et ExpressRoute coexistantes. Vous pouvez
définir un itinéraire qui dirige le trafic destiné au préfixe d’adresse 0.0.0.0/0 vers
une passerelle de réseau virtuel basée sur un itinéraire. Dans votre environnement
local, vous pouvez avoir un dispositif qui inspecte le trafic et détermine s’il faut le
transférer ou le supprimer. Si vous envisagez de créer un itinéraire défini par
l’utilisateur pour le préfixe d’adresse 0.0.0.0/0, lisez d’abord la rubrique préfixe
d’adresse 0.0.0.0/0. Au lieu de configurer un itinéraire défini par l’utilisateur pour le
préfixe d’adresse 0.0.0.0/0, vous pouvez publier un itinéraire avec le préfixe
0.0.0.0/0 via BGP, si vous avez activé BGP pour une passerelle de réseau virtuel
VPN.
Réseau virtuel : spécifiez l’option Réseau virtuel quand vous souhaitez remplacer
le routage par défaut dans un réseau virtuel. Consultez Exemple de routage pour
voir un exemple de la raison pour laquelle vous pouvez créer un itinéraire avec le
type de tronçon suivant Réseau virtuel.
Vous ne pouvez pas spécifier le type de tronçon suivant Appairage de réseaux virtuels
ou VirtualNetworkServiceEndpoint dans les itinéraires définis par l’utilisateur. Les
itinéraires avec les types de tronçon suivants Appairage de réseaux virtuels ou
VirtualNetworkServiceEndpoint sont créés uniquement par Azure, lorsque vous
configurez un appairage de réseaux virtuels ou un point de terminaison de service.
Correspondance exacte
Le système privilégie l’itinéraire avec le préfixe explicite lorsqu’il existe une
correspondance de préfixe exacte entre un itinéraire avec un préfixe IP explicite et un
itinéraire avec une étiquette de service. Lorsque plusieurs itinéraires avec des étiquettes
de service ont des préfixes d’adresse IP qui correspondent, les itinéraires sont évalués
dans l’ordre suivant :
4. L’étiquette AzureCloud
Azure PowerShell
$param = @{
Name = 'StorageRoute'
AddressPrefix = 'Storage'
NextHopType = 'VirtualAppliance'
NextHopIpAddress = '10.0.100.4'
}
New-AzRouteConfig @param
Azure CLI
Type de tronçon Azure CLI et PowerShell Azure CLI classique and PowerShell
suivant (Gestionnaire des ressources) (classique)
Lorsque vous échangez des itinéraires avec Azure à l’aide du protocole BGP, un itinéraire
distinct est ajouté à la table de routage de tous les sous-réseaux d’un réseau virtuel
pour chaque préfixe publié. L’itinéraire est ajouté avec Passerelle de réseau virtuel
comme source et type de tronçon suivant.
2. Itinéraire BGP
3. Itinéraire du système
7 Notes
Les itinéraires système pour le trafic lié au réseau virtuel, aux peerings de réseaux
virtuels ou aux points de terminaison de service de réseau virtuel, sont les
itinéraires sélectionnés par défaut, même si les itinéraires BGP sont plus spécifiques.
Lorsque le trafic est destiné à une adresse IP en dehors des préfixes d’adresses de tous
les itinéraires contenus dans la table de routage, Azure choisit l’itinéraire avec la source
Utilisateur, car les itinéraires définis par l’utilisateur ont une priorité plus élevée que les
itinéraires système par défaut.
Consultez Exemple de routage pour une table de routage complète avec des
explications des itinéraires de la table.
Lorsque vous substituez le préfixe d’adresse 0.0.0.0/0, en plus du flux du trafic sortant
du sous-réseau via la passerelle de réseau virtuel ou l’appliance virtuelle, les
modifications suivantes se produisent avec le routage par défaut d’Azure :
Azure envoie tout le trafic vers le type de tronçon suivant spécifié dans l’itinéraire y
compris le trafic destiné à des adresses IP publiques de services Azure. Lorsque le
type de tronçon suivant de l’itinéraire avec le préfixe d’adresse 0.0.0.0/0 est
Internet, le trafic sortant du sous-réseau et destiné aux adresses IP publiques de
services Azure ne quitte jamais le réseau principal d’Azure, quelle que soit la région
Azure dans laquelle le réseau virtuel ou la ressource de service Azure existe.
Lorsque vous créez un itinéraire défini par l’utilisateur ou BGP avec le type de
tronçon suivant Passerelle de réseau virtuel ou Équipement virtuel, tout le trafic, y
compris le trafic envoyé aux adresses IP publiques des services Azure pour lesquels
vous n’avez pas activé des points de terminaison de service, est envoyé au type de
tronçon suivant spécifié dans l’itinéraire. Lorsque vous activez un point de
terminaison de service pour un service, Azure crée un itinéraire avec des préfixes
d’adresse pour le service. Le trafic vers le service n’est pas acheminé vers le type de
tronçon suivant dans un itinéraire avec le préfixe d’adresse 0.0.0.0/0. Les préfixes
d’adresse pour le service sont plus longs que 0.0.0.0/0.
Si votre réseau virtuel est connecté à une passerelle VPN Azure, n’associez pas de table
de routage au sous-réseau de passerelle qui inclut une route avec la destination
0.0.0.0/0. Cela peut empêcher la passerelle de fonctionner correctement. Pour plus
d’informations, consultez la question Pourquoi certains ports sont ouverts sur ma
passerelle VPN ? dans le FAQ sur la passerelle VPN.
Consultez Zone DMZ entre Azure et votre centre de données local pour obtenir les
détails de mise en œuvre lors de l’utilisation de passerelles de réseau virtuel entre
Internet et Azure.
Exemple de routage
Pour illustrer les concepts abordés dans cet article, les sections qui suivent décrivent :
La table de routage qui existe pour un sous-réseau qui comprend les itinéraires par
défaut et personnalisés nécessaires pour satisfaire aux exigences
7 Notes
Cet exemple n’a pas vocation à être une recommandation ni une bonne pratique. Il
est plutôt destiné uniquement à illustrer les concepts de cet article.
Spécifications
1. Mettre en œuvre deux réseaux virtuels dans la même région Azure et activer les
ressources de communication entre les réseaux virtuels.
2. Activer un réseau local pour communiquer en toute sécurité avec les deux réseaux
virtuels via un tunnel VPN sur Internet. Vous pouvez également utiliser une
connexion ExpressRoute, mais dans cet exemple, une connexion VPN est utilisée.
3. Pour un sous-réseau dans un réseau virtuel :
4. Autoriser tout le trafic entre tous les autres sous-réseaux et réseaux virtuels.
Implémentation
L’illustration suivante montre une mise en œuvre basée sur le modèle de déploiement
Azure Resource Manager qui respecte les exigences précédentes :
Sous-réseau1
La table de routage du Sous-réseau1 dans l’image contient les itinéraires suivants :
ID2 : Azure a ajouté cette route quand une route définie par l’utilisateur pour le
préfixe d’adresse 10.0.0.0/16 a été associée au sous réseau Subnet1 du réseau
virtuel Virtual-network-1. L’itinéraire défini par l’utilisateur spécifie 10.0.100.4
comme l’adresse IP de l’appliance virtuelle, car cette adresse est l’adresse IP privée
affectée à la machine virtuelle de l’appliance virtuelle. La table de routage à
laquelle cette route appartient n’est pas associée à Subnet2 et n’apparaît donc pas
dans la table de routage de Subnet2. Cet itinéraire remplace l’itinéraire par défaut
pour le préfixe 10.0.0.0/16 (ID1), qui a automatiquement acheminé le trafic adressé
à 10.0.0.1 et à 10.0.255.254 dans le réseau virtuel via le type de tronçon suivant de
réseau virtuel. Cet itinéraire existe pour répondre à l’exigence 3, afin de forcer tout
le trafic sortant à traverser une appliance virtuelle.
ID3 : Azure a ajouté cette route quand une route définie par l’utilisateur pour le
préfixe d’adresse 10.0.0.0/24 a été associée au sous-réseau Subnet1. Le trafic
destiné aux adresses comprises entre 10.0.0.1 et 10.0.0.254 reste dans le sous-
réseau, au lieu d’être acheminé vers l’appliance virtuelle spécifiée dans la règle
précédente (ID2), car il a un préfixe plus long que l’itinéraire ID2. Cette route n’a
pas été associée à Subnet2 et n’apparaît donc pas dans la table de routage de
Subnet2. Cet itinéraire substitue efficacement l’itinéraire ID2 pour le trafic au sein
du Sous-réseau1. Cet itinéraire existe pour répondre à l’exigence 3.
ID4 : Azure a ajouté automatiquement les routes dans les ID 4 et 5 de tous les
sous-réseaux de Virtual-network-1 quand le réseau virtuel a été appairé avec
Virtual-network-2. Virtual-network-2 possède deux plages d’adresses dans son
espace d’adressage : 10.1.0.0/16 et 10.2.0.0/16 ; Azure a donc ajouté une route
pour chaque plage. Si vous ne créez pas les itinéraires définis par l’utilisateur dans
les ID 6 et 7 d’itinéraire, le trafic envoyé à une adresse comprise entre 10.1.0.1-
10.1.255.254 et 10.2.0.1-10.2.255.254 est acheminé vers le réseau virtuel appairé.
Ce processus est dû au fait que le préfixe est plus long que 0.0.0.0/0 et qu’il n’entre
pas dans les préfixes d’adresse des autres itinéraires. Lorsque vous avez ajouté les
itinéraires dans les ID 6 et 7, Azure a automatiquement changé l’état d’Actif à Non
valide. Ce processus est dû au fait qu’ils ont les mêmes préfixes que les itinéraires
des ID 4 et 5, et que les itinéraires définis par l’utilisateur remplacent les itinéraires
par défaut. L’état des itinéraires dans ID 4 et 5 est toujours Actif pour le Sous-
réseau2, car la table de routage à laquelle appartiennent les itinéraires définis par
l’utilisateur dans ID 6 et 7 n’est pas associée au Sous-réseau2. Un peering de réseau
virtuel a été créé pour répondre à l’exigence 1.
ID6 : Azure a ajouté cette route et la route dans ID7, quand des routes définies par
l’utilisateur pour les préfixes d’adresse 10.1.0.0/16 et 10.2.0.0/16 ont été associées
au sous-réseau Subnet1. Azure supprime le trafic destiné aux adresses comprises
entre 10.1.0.1 et 10.1.255.254 et entre 10.2.0.1 et 10.2.255.254 au lieu d’être
acheminé vers le réseau virtuel homologué, car les itinéraires définis par
l’utilisateur remplacent les itinéraires par défaut. Les routes ne sont pas associées à
Subnet2 et n’apparaissent donc pas dans la table de routage de Subnet2. Les
itinéraires remplacent les itinéraires ID4 et ID5 pour le trafic sortant du Sous-
réseau1. Les itinéraires ID6 et ID7 existent pour répondre à l’exigence 3 afin de
supprimer le trafic destiné à l’autre réseau virtuel.
ID8 : Azure a ajouté automatiquement cette route pour tous les sous-réseaux de
Virtual-network-1 lorsqu’une passerelle de réseau virtuel de type VPN a été créée
au sein du réseau virtuel. Azure a ajouté l’adresse IP publique de la passerelle de
réseau virtuel à la table de routage. Le trafic envoyé vers n’importe quelle adresse
entre 10.10.0.1 et 10.10.255.254 est acheminé vers la passerelle de réseau virtuel.
Le préfixe est plus long que 0.0.0.0/0 et ne fait pas partie des préfixes d’adresse
des autres itinéraires. Une passerelle de réseau virtuel a été créée pour répondre à
l’exigence 2.
ID9 : Azure a ajouté cette route quand une route définie par l’utilisateur pour le
préfixe d’adresse 10.10.0.0/16 a été ajoutée à la table de routage associée à
Subnet1. Cet itinéraire remplace ID8. L’itinéraire envoie tout le trafic destiné au
réseau local à une NVA pour inspection, plutôt que d’acheminer le trafic
directement sur site. Cet itinéraire a été créé pour répondre à l’exigence 3.
ID12 : Azure a ajouté cette route quand une route définie par l’utilisateur pour le
préfixe d’adresse 0.0.0.0/0 a été associée à Subnet1. L’itinéraire défini par
l’utilisateur spécifie 10.0.100.4 comme l’adresse IP de l’appliance virtuelle. Cette
route n’est pas associée à Subnet2 et n’apparaît donc pas dans la table de routage
de Subnet2. Tout le trafic destiné à toute adresse qui n’est pas incluse dans les
préfixes d’adresse de tout autre itinéraire est envoyé à l’appliance virtuelle. L’ajout
de cet itinéraire a changé l’état de l’itinéraire par défaut pour le préfixe d’adresse
0.0.0.0/0 (ID11) de Actif à Non valide pour le Sous-réseau1, car un itinéraire défini
par l’utilisateur remplace un itinéraire par défaut. Cette route existe pour répondre
à la troisièmeexigence.
Sous-réseau2
La table de routage du Sous-réseau2 contient tous les itinéraires par défaut créés par
Azure et les itinéraires facultatifs d’appairage de réseaux virtuels et de passerelle de
réseau virtuel. Azure a ajouté les itinéraires facultatifs à tous les sous-réseaux du réseau
virtuel lorsque la passerelle et le peering ont été ajoutés au réseau virtuel. Azure a
supprimé les itinéraires pour les préfixes d’adresse 10.0.0.0/8, 192.168.0.0/16 et
100.64.0.0/10 de la table de routage de Subnet1 lorsque l’itinéraire défini par l’utilisateur
pour le préfixe d’adresse 0.0.0.0/0 a été ajouté à Subnet1.
Étapes suivantes
Créer une table de routage définie par l’utilisateur avec des itinéraires et une
appliance virtuelle de réseau
Afficher tous les itinéraires pour un sous-réseau. Une table de routage définie par
l’utilisateur vous montre uniquement les routes définies par l’utilisateur, et n’affiche
pas les routes par défaut et BGP pour un sous-réseau. L’affichage de tous les
itinéraires affiche les itinéraires par défaut, BGP et définis par l’utilisateur pour le
sous-réseau auquel une interface réseau appartient.
Déterminer le type de tronçon suivant entre une machine virtuelle et une adresse
IP de destination. La fonctionnalité de tronçon suivant d’Azure Network Watcher
vous permet de déterminer si le trafic a quitté un sous-réseau et s’il est en cours
de routage vers la destination escomptée.
Interopérabilité dans Azure –
Configuration de test
Article • 03/04/2023 • 5 minutes de lecture
Cet article décrit une configuration de test que vous pouvez utiliser pour analyser
l’interopérabilité des services de mise en réseau au niveau du plan de contrôle et du
plan de données. Nous allons examiner brièvement les composants de la mise en réseau
Azure :
VPN de site à site : Vous pouvez utiliser la passerelle VPN Azure comme un VPN
de site à site pour connecter en toute sécurité un réseau local à Azure via Internet
ou ExpressRoute. Pour savoir comment configurer un VPN site à site pour se
connecter à Azure, consultez Configurer une passerelle VPN.
Le réseau virtuel hub est connecté au réseau virtuel spoke à l’aide de l’appairage
de réseaux virtuels. Le réseau virtuel spoke a un accès à distance aux deux
passerelles dans le réseau virtuel hub.
Le réseau virtuel hub est connecté au réseau virtuel de la branche à l’aide d’un VPN
site à site. La connectivité utilise eBGP pour échanger des itinéraires.
La principale limitation liée à la configuration d’un VPN de site à site qui utilise le
peering Microsoft est le débit. Le débit sur le tunnel IPsec est limité par la capacité de la
passerelle VPN. Le débit d’une passerelle VPN est inférieur au débit ExpressRoute. Dans
ce scénario, le fait d’utiliser le tunnel IPsec pour un trafic très sécurisé et d’utiliser le
peering privé pour toutes les autres catégories de trafic permet d’optimiser l’utilisation
de la bande passante ExpressRoute.
Pour plus d’informations sur la façon de configurer des connexions coexistantes pour
ExpressRoute et un VPN de site à site, consultez Coexistence de connexions
ExpressRoute et de site à site.
Étendre la connectivité de back-end à des
réseaux virtuels spoke et à des emplacements
de branche
Dans l’appairage de réseaux virtuels au sein d’une région, les réseaux virtuels spoke
peuvent utiliser des passerelles de réseau virtuel hub (passerelles VPN et ExpressRoute)
pour communiquer avec des réseaux distants.
Pour plus d’informations, consultez Qu’est-ce qu’une passerelle VPN ? et Déployer une
appliance virtuelle réseau hautement disponible.
Étapes suivantes
En savoir plus sur les détails de la configuration pour la topologie de test.
Découvrez-en plus sur l’analyse du plan de contrôle de configuration de test et les vues
de différents réseaux virtuels ou réseaux locaux virtuels (VLAN) dans la topologie.
config
interface TenGigabitEthernet0/0/0.300
description Customer 30 private peering to Azure
encapsulation dot1Q 30 second-dot1q 300
ip vrf forwarding 30
ip address 192.168.30.17 255.255.255.252
!
interface TenGigabitEthernet1/0/0.30
description Customer 30 to south bound LAN switch
encapsulation dot1Q 30
ip vrf forwarding 30
ip address 192.168.30.0 255.255.255.254
ip ospf network point-to-point
!
router ospf 30 vrf 30
router-id 10.2.30.253
redistribute bgp 65021 subnets route-map BGP2OSPF
network 192.168.30.0 0.0.0.1 area 0.0.0.0
default-information originate always
default-metric 10
!
router bgp 65021
!
address-family ipv4 vrf 30
network 10.2.30.0 mask 255.255.255.128
neighbor 192.168.30.18 remote-as 12076
neighbor 192.168.30.18 activate
neighbor 192.168.30.18 next-hop-self
neighbor 192.168.30.18 soft-reconfiguration inbound
neighbor 192.168.30.18 route-map prefer-ER-over-VPN in
neighbor 192.168.30.18 prefix-list Cust30_to_Private out
exit-address-family
!
route-map prefer-ER-over-VPN permit 10
set local-preference 200
!
ip prefix-list Cust30_to_Private seq 10 permit 10.2.30.0/25
!
config
Pour plus d’informations sur la façon de configurer des connexions coexistantes pour
ExpressRoute et un VPN de site à site, consultez Coexistence de connexions
ExpressRoute et de site à site.
Pour plus d’informations, consultez Qu’est-ce qu’une passerelle VPN ? et Déployer une
appliance virtuelle réseau hautement disponible.
Étapes suivantes
Découvrez-en plus sur l’analyse du plan de contrôle de l’initialisation (tearDown) de test
et les affichages des différents réseaux virtuels ou réseaux locaux virtuels (VLAN) dans la
topologie.
Cet article décrit l’analyse du plan de contrôle de l’initialisation (tearDown) de test. Vous
pouvez également consulter la configuration de l’initialisation (tearDown) de test et
l’analyse du plan de données de l’initialisation (tearDown) de test.
L’analyse du plan de contrôle examine essentiellement les itinéraires qui sont échangés
entre des réseaux au sein d’une topologie. L’analyse du plan de contrôle vous permet de
comprendre comment des réseaux différents affichent la topologie.
L’ASN de la passerelle Azure ExpressRoute du réseau virtuel est différent de l’ASN des
routeurs Microsoft Enterprise Edge Router (MSEE). Une passerelle ExpressRoute utilise
un ASN privé (valeur de 65515) et les MSEE utilisent un ASN public (valeur de 12076)
dans le monde entier. Lorsque vous configurez le peering ExpressRoute, étant donné
que le MSEE est l’homologue, vous utilisez l’ASN d’homologue 12076. Du côté Azure,
MSEE établit le peering eBGP la passerelle ExpressRoute. Le double peering eBGP que
MSEE établit pour chaque peering ExpressRoute est transparent au niveau du plan de
contrôle. Par conséquent, lorsque vous visualisez une table de routage ExpressRoute,
l’ASN de la passerelle ExpressRoute du réseau virtuel s’affiche pour les préfixes du
réseau virtuel.
Dans Azure, l’ASN n’est significatif que de la perspective du peering. Par défaut, l’ASN
de la passerelle ExpressRoute et de la passerelle du réseau privé virtuel est 65515 dans la
passerelle VPN Azure.
La principale limitation liée à la configuration d’un VPN de site à site qui utilise le
peering Microsoft est le débit. Le débit sur le tunnel IPsec est limité par la capacité de la
passerelle VPN. Le débit d’une passerelle VPN est inférieur au débit ExpressRoute. Dans
ce scénario, le fait d’utiliser le tunnel IPsec pour un trafic très sécurisé et d’utiliser le
peering privé pour toutes les autres catégories de trafic permet d’optimiser l’utilisation
de la bande passante ExpressRoute.
VPN de site à site en tant que chemin de basculement
sécurisé pour ExpressRoute
ExpressRoute est utilisé comme une paire de circuits redondants pour garantir une
haute disponibilité. Vous pouvez configurer une connectivité ExpressRoute géo-
redondante dans différentes régions Azure. En outre, comme nous l’avons démontré
dans notre initialisation (tearDown) de test, dans une région Azure, vous pouvez utiliser
un VPN de site à site pour créer un chemin de basculement pour votre connectivité
ExpressRoute. Quand les mêmes préfixes sont publiés sur ExpressRoute et un VPN de
site à site, Azure choisit en priorité ExpressRoute. Pour éviter un routage asymétrique
entre ExpressRoute et le VPN de site à site, la configuration réseau locale doit en faire
autant en utilisant la connectivité ExpressRoute avant la connectivité VPN de site à site.
Pour plus d’informations sur la façon de configurer des connexions coexistantes pour
ExpressRoute et un VPN de site à site, consultez Coexistence de connexions
ExpressRoute et de site à site.
Dans le Peering de réseaux virtuels au sein d’une région, les réseaux virtuels spoke
peuvent utiliser des passerelles de réseau virtuel hub (passerelles VPN et ExpressRoute)
pour communiquer avec des réseaux distants.
Pour plus d’informations, consultez Qu’est-ce qu’une passerelle VPN ? et Déployer une
appliance virtuelle réseau hautement disponible.
Étapes suivantes
Découvrez l’analyse du plan de données de l’initialisation (tearDown) de test et les
affichages des fonctionnalités de supervision de réseau Azure.
Cet article décrit l’analyse du plan de données de l’initialisation (tearDown) de test. Vous
pouvez également consulter la configuration de l’initialisation (tearDown) de test et
l’analyse du plan de contrôle de l’initialisation (tearDown) de test.
L’analyse du plan de données examine le chemin emprunté par les paquets qui vont
d’un réseau local (LAN ou réseau virtuel) à l’autre au sein d’une topologie. Le chemin
des données entre deux réseaux locaux n’est pas nécessairement symétrique. Dans cet
article, nous analysons donc le chemin de transfert d’un réseau local vers un autre
réseau qui est distinct du chemin inverse.
Console
C:\Users\rb>tracert 10.11.30.4
1 2 ms 1 ms 1 ms 10.11.30.4
Trace complete.
La figure suivante présente la vue graphique de la connexion entre le réseau virtuel hub
et le réseau virtuel spoke de la perspective d’Azure Network Watcher :
Chemin d’accès au réseau virtuel de branche
La sortie de la détermination d’itinéraire d’un réseau virtuel hub à une machine virtuelle
dans le réseau virtuel de branche apparaît ici :
Console
C:\Users\rb>tracert 10.11.30.68
1 1 ms 1 ms 1 ms 10.10.30.142
2 * * * Request timed out.
3 2 ms 2 ms 2 ms 10.11.30.68
Trace complete.
Dans cette détermination d’itinéraire, le premier tronçon est la passerelle VPN dans
Azure VPN Gateway, dans le réseau virtuel hub. Le deuxième tronçon est la passerelle
VPN du réseau virtuel de branche. L’adresse IP de la passerelle VPN du réseau virtuel de
branche n’est pas publiée dans le réseau virtuel hub. Le troisième tronçon est la machine
virtuelle dans le réseau virtuel de branche.
La figure suivante présente la vue graphique de la connexion entre le réseau virtuel hub
et le réseau virtuel de branche de la perspective de Network Watcher :
Pour la même connexion, la figure suivante montre le mode Grille dans Network
Watcher :
Chemin vers l’emplacement Location 1 local
La sortie de détermination d’itinéraire d’un réseau virtuel hub à une machine virtuelle
dans l’emplacement Location 1 local apparaît ici :
Console
C:\Users\rb>tracert 10.2.30.10
1 2 ms 2 ms 2 ms 10.10.30.132
2 * * * Request timed out.
3 * * * Request timed out.
4 2 ms 2 ms 2 ms 10.2.30.10
Trace complete.
Console
C:\Users\rb>tracert 10.1.31.10
1 76 ms 75 ms 75 ms 10.10.30.134
2 * * * Request timed out.
3 * * * Request timed out.
4 75 ms 75 ms 75 ms 10.1.31.10
Trace complete.
Console
C:\Users\rb>tracert 10.17.30.4
1 2 ms 2 ms 2 ms 10.10.30.132
2 * * * Request timed out.
3 69 ms 68 ms 69 ms 10.17.30.4
Trace complete.
Console
C:\Users\rb>tracert 10.10.30.4
Trace complete.
Console
C:\Users\rb>tracert 10.11.30.68
Trace complete.
Dans cette détermination d’itinéraire, le premier tronçon est la passerelle VPN du réseau
virtuel hub. Le deuxième tronçon est la passerelle VPN du réseau virtuel de branche.
L’adresse IP de la passerelle VPN du réseau virtuel de branche n’est pas publiée dans le
réseau virtuel hub/spoke. Le troisième tronçon est la machine virtuelle dans le réseau
virtuel de branche.
Console
C:\Users\rb>tracert 10.2.30.10
1 24 ms 2 ms 3 ms 10.10.30.132
2 * * * Request timed out.
3 * * * Request timed out.
4 3 ms 2 ms 2 ms 10.2.30.10
Trace complete.
Console
C:\Users\rb>tracert 10.1.31.10
1 76 ms 75 ms 76 ms 10.10.30.134
2 * * * Request timed out.
3 * * * Request timed out.
4 75 ms 75 ms 75 ms 10.1.31.10
Trace complete.
Dans cette détermination d’itinéraire, le premier tronçon est le point de terminaison du
tunnel de la passerelle ExpressRoute du réseau virtuel hub à un MSEE. Le deuxième et le
troisième tronçons sont le routeur CE et les adresses IP du réseau local Location 2 local.
Ces adresses IP ne sont pas publiées dans les réseaux virtuels hub/spoke. Le quatrième
tronçon est la machine virtuelle dans l’emplacement Location 2 local.
Console
C:\Users\rb>tracert 10.17.30.4
1 2 ms 1 ms 1 ms 10.10.30.133
2 * * * Request timed out.
3 71 ms 70 ms 70 ms 10.17.30.4
Trace complete.
Console
C:\Windows\system32>tracert 10.10.30.4
Trace complete.
Dans cette détermination d’itinéraire, le premier tronçon est la passerelle VPN du réseau
virtuel de branche. Le deuxième tronçon est la passerelle VPN du réseau virtuel hub.
L’adresse IP de la passerelle VPN du réseau virtuel hub n’est pas publiée dans le réseau
virtuel distant. Le troisième tronçon est la machine virtuelle dans le réseau virtuel hub.
Console
C:\Users\rb>tracert 10.11.30.4
1 1 ms <1 ms 1 ms 10.11.30.100
2 * * * Request timed out.
3 4 ms 3 ms 2 ms 10.11.30.4
Trace complete.
Dans cette détermination d’itinéraire, le premier tronçon est la passerelle VPN du réseau
virtuel de branche. Le deuxième tronçon est la passerelle VPN du réseau virtuel hub.
L’adresse IP de la passerelle VPN du réseau virtuel hub n’est pas publiée dans le réseau
virtuel distant. Le troisième tronçon est la machine virtuelle dans le réseau virtuel spoke.
Console
C:\Users\rb>tracert 10.2.30.10
Trace complete.
Dans cette détermination d’itinéraire, le premier tronçon est la passerelle VPN du réseau
virtuel de branche. Le deuxième tronçon est la passerelle VPN du réseau virtuel hub.
L’adresse IP de la passerelle VPN du réseau virtuel hub n’est pas publiée dans le réseau
virtuel distant. Le troisième tronçon est le point de terminaison du tunnel VPN sur le
routeur CE principal. Le quatrième tronçon est une adresse IP interne de l’emplacement
Location 1 local. Cette adresse IP de réseau local n’est pas publiée en dehors du
routeur CE. Le cinquième tronçon est la machine virtuelle de destination dans
l’emplacement Location 1 local.
Console
C:\Users\rb>ping 10.1.31.10
C:\Users\rb>ping 10.17.30.4
Console
C:\Users\rb>tracert 10.10.30.4
Trace complete.
Dans cette détermination d’itinéraire, les deux premiers tronçons font partie du réseau
local. Le troisième tronçon est l’interface MSEE principale qui est accessible sur le
routeur CE. Le quatrième tronçon est la passerelle ExpressRoute du réseau virtuel hub.
La plage d’adresses IP de la passerelle ExpressRoute du réseau virtuel hub n’est pas
publiée sur le réseau local. Le cinquième tronçon est la machine virtuelle de destination.
Network Watcher fournit uniquement une vue centrée sur Azure. D’un point de vue
local, nous utilisons Azure Network Performance Monitor. Network Performance
Monitor fournit des agents que vous pouvez installer sur des serveurs dans des réseaux
en dehors d’Azure pour l’analyse du chemin des données.
Console
C:\Users\rb>tracert 10.10.30.4
Trace complete.
Console
C:\Users\rb>tracert 10.11.30.4
Trace complete.
Console
C:\Users\rb>tracert 10.11.30.68
Trace complete.
Console
C:\Users\rb>ping 10.1.31.10
Console
C:\Users\rb>tracert 10.17.30.4
Trace complete.
Console
C:\Windows\system32>tracert 10.10.30.4
Trace complete.
Console
C:\Windows\system32>tracert 10.11.30.4
Trace complete.
Console
C:\Users\rb>tracert 10.10.30.4
1 65 ms 65 ms 65 ms 10.17.30.36
2 * * * Request timed out.
3 69 ms 68 ms 68 ms 10.10.30.4
Trace complete.
Chemin d’accès au réseau virtuel spoke
La sortie de la détermination d’itinéraire du réseau virtuel spoke à une machine virtuelle
dans le réseau virtuel distant apparaît ici :
Console
C:\Users\rb>tracert 10.11.30.4
1 67 ms 67 ms 67 ms 10.17.30.36
2 * * * Request timed out.
3 71 ms 69 ms 69 ms 10.11.30.4
Trace complete.
Console
C:\Users\rb>tracert 10.2.30.10
1 67 ms 67 ms 67 ms 10.17.30.36
2 * * * Request timed out.
3 * * * Request timed out.
4 69 ms 69 ms 69 ms 10.2.30.10
Trace complete.
Connectivité ExpressRoute et VPN de site à site
en tandem
La principale limitation liée à la configuration d’un VPN de site à site qui utilise le
peering Microsoft est le débit. Le débit sur le tunnel IPsec est limité par la capacité de la
passerelle VPN. Le débit d’une passerelle VPN est inférieur au débit ExpressRoute. Dans
ce scénario, le fait d’utiliser le tunnel IPsec pour un trafic très sécurisé et d’utiliser le
peering privé pour toutes les autres catégories de trafic permet d’optimiser l’utilisation
de la bande passante ExpressRoute.
Pour plus d’informations sur la façon de configurer des connexions coexistantes pour
ExpressRoute et un VPN de site à site, consultez Coexistence de connexions
ExpressRoute et de site à site.
Étendre la connectivité de back-end à des
réseaux virtuels spoke et à des emplacements
de branche
Dans l’appairage de réseaux virtuels au sein d’une région, les réseaux virtuels spoke
peuvent utiliser des passerelles de réseau virtuel hub (passerelles VPN et ExpressRoute)
pour communiquer avec des réseaux distants.
Pour plus d’informations, consultez Qu’est-ce qu’une passerelle VPN ? et Déployer une
appliance virtuelle réseau hautement disponible.
Étapes suivantes
Consultez le FAQ ExpressRoute pour :
Une adresse IP de réseau virtuel est affectée à chaque pod pouvant se composer
d’un ou de plusieurs conteneurs.
Les pods peuvent se connecter à des réseaux virtuels appairés, et localement via
ExpressRoute ou un VPN de site à site. Les pods sont également accessibles à
partir de réseaux appairés et locaux.
Les pods peuvent accéder à des services, tels que le stockage Azure et Azure SQL
Database, qui sont protégés par des points de terminaison de service de réseau
virtuel.
Une adresse IP publique peut être affectée aux pods, ce qui les rend accessibles
directement depuis internet. Les pods peuvent également accéder eux-mêmes à
internet.
limites
Le plug-in prend en charge jusqu’à 250 pods par machine virtuelle, et jusqu’à
16 000 pods au sein d’un réseau virtuel. Ces limites sont différentes pour
l’environnement Azure Kubernetes Service.
Utilisation du plug-in
Le plug-in peut être utilisé de différentes manières, afin de fournir une attache de réseau
virtuel de base aux pods ou aux conteneurs Docker :
Azure Kubernetes Service : Le plug-in est intégré à Azure Kubernetes Service (AKS)
et peut être utilisé en choisissant l’option Advanced Networking (Mise en réseau
avancée). Une mise en réseau avancée vous permet de déployer un cluster
Kubernetes dans un réseau virtuel existant ou nouveau. Pour en savoir plus sur la
mise en réseau avancée et les étapes de sa configuration, consultez Configuration
avancée du réseau dans AKS.
Création de votre propre cluster Kubernetes dans Azure : Le plug-in peut être
utilisé pour fournir la mise en réseau de base des pods dans les clusters
Kubernetes que vous déployez vous-même, sans appui nécessaire sur AKS, ou sur
des outils tels que AKS-Engine. Dans ce cas, le plug-in est installé et activé sur
chaque machine virtuelle d’un cluster. Pour obtenir des instructions détaillées,
consultez Déployer le plug-in pour un cluster Kubernetes que vous déployez vous-
même.
Attache de réseau virtuel pour les conteneurs Docker dans Azure : Le plug-in
peut être utilisé dans les cas où vous ne souhaitez pas créer de cluster Kubernetes,
mais aimeriez créer des conteneurs Docker avec des attaches de réseau virtuel, sur
les machines virtuelles. Pour obtenir des instructions détaillées, consultez Déployer
le plug-in pour Docker.
Étapes suivantes
Déployer la mise en réseau de conteneurs pour un hôte Docker Linux autonome
Fabrikam Inc. acquiert Contoso Ltd. Suite à la fusion, Fabrikam souhaite interconnecter
les réseaux. La figure suivante illustre le scénario :
Dans cet article, nous allons passer chaque étape en revue et expliquer comment
obtenir les interconnexions souhaitées à l'aide des fonctionnalités réseau Azure
suivantes :
Nous allons configurer le Global VNet Peering entre les réseaux virtuels des
abonnements Azure de Contoso et Fabrikam. Pour plus d’informations sur l’appairage
de deux réseaux virtuels, consultez l’article Créer un appairage de réseaux virtuels.
Le tableau suivant présente les itinéraires connus pour accéder à la machine virtuelle de
l'abonnement Contoso. Prêtez attention à la dernière entrée du tableau. Cette entrée est
le résultat de l'interconnexion des réseaux virtuels.
Le tableau suivant présente les itinéraires connus pour accéder à la machine virtuelle de
l'abonnement Fabrikam. Prêtez attention à la dernière entrée du tableau. Cette entrée
est le résultat de l'interconnexion des réseaux virtuels.
Le VNet Peering relie directement deux réseaux virtuels (absence de tronçon suivant
pour l'entrée VNetGlobalPeering dans les deux tableaux ci-dessus)
Le tableau suivant présente les itinéraires connus pour accéder à la machine virtuelle de
l'abonnement Contoso. Prêtez attention aux entrées Passerelle de réseau virtuel du
tableau. La machine virtuelle voit les itinéraires des deux réseaux locaux.
Le tableau suivant présente les itinéraires connus pour accéder à la machine virtuelle de
l'abonnement Fabrikam. Prêtez attention aux entrées Passerelle de réseau virtuel du
tableau. La machine virtuelle voit les itinéraires des deux réseaux locaux.
7 Notes
Dans l'un ou l'autre des abonnements Fabrikam et/ou Contoso, vous pouvez
également avoir des réseaux virtuels Spoke connectés au réseau virtuel Hub
correspondant (la conception Hub et Spoke n'est pas illustrée dans les diagrammes
d'architecture de cet article). Les interconnexions entre les passerelles de réseau
virtuel Hub et ExpressRoute permettront également la communication entre les
Hubs et Spokes Est et Ouest.
Interconnexion des réseaux locaux
ExpressRoute Global Reach assure la connectivité entre les réseaux locaux connectés à
différents circuits ExpressRoute. Configurons Global Reach entre les circuits
ExpressRoute de Contoso et Fabrikam. Comme les circuits ExpressRoute se trouvent
dans des abonnements différents, nous devons créer et utiliser une autorisation. Pour
des instructions détaillées, consultez l’article Configurer ExpressRoute Global Reach.
Global Reach est déployé pays/région par pays/région. Pour vérifier si Global Reach est
disponible dans les pays/régions qui vous intéressent, consultez ExpressRoute Global
Reach.
Peering de réseau virtuel
Article • 28/05/2023
Appairage de réseaux virtuels mondiaux : connecte des réseaux virtuels entre les
différentes régions Azure.
Voici quelques-uns des avantages du peering de réseaux virtuels, qu’il soit local ou
global :
Connexion à latence faible et haut débit entre les ressources de différents réseaux
virtuels.
Possibilité pour les ressources d’un réseau virtuel de communiquer avec celles d’un
autre réseau virtuel.
Possibilité de transférer des données entre des réseaux virtuels dans des
abonnements Azure, des locataires Azure Active Directory, des modèles de
déploiement et des régions Azure.
Possibilité d’appairer des réseaux virtuels créés via Azure Resource Manager.
Possibilité d’appairer un réseau virtuel créé via Resource Manager à un réseau créé
par le biais du modèle de déploiement classique. Pour en savoir plus sur les
modèles de déploiement Azure, consultez l’article Déploiement Azure Resource
Manager et déploiement classique : comprendre les modèles de déploiement et
l’état de vos ressources.
Le trafic réseau entre les réseaux virtuels homologués est privé. Le trafic entre les
réseaux virtuels reste sur le réseau principal de Microsoft. Aucun chiffrement et aucune
connexion Internet publique, ni passerelle ne sont nécessaires pour que les réseau
virtuels communiquent.
Connectivité
Pour les réseaux virtuels appairés, les ressources de l’un peuvent se connecter
directement à celles du réseau virtuel appairé.
La latence du réseau entre des machines virtuelles de réseaux virtuels homologués dans
la même région est la même que celle d’un seul réseau virtuel. Le débit du réseau
repose sur la bande passante autorisée pour la machine virtuelle proportionnellement à
sa taille. Aucune restriction de bande passante supplémentaire n’est appliquée au sein
du peering.
Le trafic entre les machines virtuelles dans des réseaux virtuels homologués est
acheminé directement via l’infrastructure principale de Microsoft et non via une
passerelle ou une connexion Internet publique.
Vous pouvez appliquer des groupes de sécurité réseau dans l’un ou l’autre des réseaux
virtuels pour bloquer l’accès à d’autres réseaux virtuels ou sous-réseaux. Quand vous
configurez le peering des réseaux virtuels, vous pouvez ouvrir ou fermer les règles de
groupe de sécurité réseau entre les réseaux virtuels. Si vous ouvrez totalement la
connectivité entre les réseaux virtuels appairés, vous pouvez appliquer des groupes de
sécurité réseau pour bloquer ou refuser certains accès. La connectivité entièrement
ouverte est l’option par défaut. Pour en savoir plus sur les groupes de sécurité réseau,
voir Groupes de sécurité.
La synchronisation des réseaux virtuels appairés est possible via le portail Azure ou avec
Azure PowerShell. Nous vous recommandons d’effectuer la synchronisation après
chaque nouvelle opération de redimensionnement de l’espace d’adressage au lieu de le
faire après plusieurs opérations de redimensionnement consécutives. Pour savoir
comment mettre à jour l’espace d’adressage d’un réseau virtuel appairé, consultez Mise
à jour de l’espace d’adressage d’un réseau virtuel appairé.
) Important
Chaînage de services
Le chaînage de services vous permet de diriger le trafic d’un réseau virtuel vers
l’appliance virtuelle ou la passerelle d’un réseau appairé via des itinéraires définis par
l’utilisateur.
Pour activer le chaînage de services, configurez des itinéraires définis par l’utilisateur qui
pointent vers des machines virtuelles de réseaux virtuels appairés en tant qu’adresse IP
du tronçon suivant. Les itinéraires définis par l’utilisateur peuvent également pointer vers
des passerelles de réseau virtuel pour activer le chaînage de services.
Lorsque vous configurez les deux options d’interconnexion de réseaux virtuels, le trafic
entre les réseaux virtuels transite via la configuration de Peering. Le trafic utilise le
réseau principal Azure.
Vous pouvez également configurer la passerelle du réseau virtuel appairé en tant que
point de transit vers un réseau local. Dans ce cas, le réseau virtuel qui utilise une
passerelle distante ne peut pas posséder sa propre passerelle. Un réseau virtuel ne peut
avoir qu’une seule passerelle, et la passerelle doit être locale ou distante dans le réseau
virtuel appairé, comme illustré dans le diagramme suivant :
L’appairage de réseaux virtuels et l’appairage de réseaux virtuels mondiaux prennent en
charge le transit par passerelle.
Le transit par passerelle entre des réseaux virtuels créés via des modèles de déploiement
différents est pris en charge. La passerelle doit donc figurer dans un réseau virtuel du
modèle Resource Manager. Pour en savoir plus sur l’utilisation d’une passerelle pour le
transit, consultez Configure a VPN gateway for transit in a virtual network peering
(Configurer une passerelle VPN pour le transit dans une homologation de réseaux
virtuels).
Lorsque vous appairez des réseaux virtuels qui partagent une connexion Azure
ExpressRoute unique, le trafic entre eux transite par la relation de Peering. Ce trafic
utilise le réseau principal Azure. Vous pouvez toujours utiliser des passerelles locales
dans chaque réseau virtuel pour vous connecter au circuit local. Dans le cas contraire,
vous pouvez utiliser une passerelle partagée et configurer le transit pour la connectivité
locale.
Dépanner
Pour confirmer que les réseaux virtuels sont appairés, vous pouvez vérifier les itinéraires
effectifs. Vérifiez les itinéraires pour une interface réseau dans tout sous-réseau d’un
réseau virtuel. Si une homologation de réseaux virtuels existe, tous les sous-réseaux au
sein du réseau virtuel ont des itinéraires avec le type de tronçon suivant VNet Peering
pour chaque espace d’adressage de chaque réseau virtuel homologué. Pour plus
d’informations, consultez Diagnostiquer un problème de routage sur une machine
virtuelle.
Vous pouvez aussi résoudre les problèmes de connectivité à la machine virtuelle d’un
réseau virtuel appairé à l’aide d’Azure Network Watcher. Une vérification de la
connectivité vous permet de voir comment le trafic est acheminé à partir de l’interface
réseau d’une machine virtuelle source vers l’interface réseau d’une machine virtuelle de
destination. Pour plus d’informations, consultez Détecter un problème de connexion
avec Azure Network Watcher à l’aide du Portail Azure.
Autorisations
Pour en savoir plus sur les autorisations requises pour créer un appairage de réseaux
virtuels, consultez Autorisations.
Tarifs
Un coût nominal s’applique pour le trafic entrant et sortant qui utilise une connexion
d’appairage de réseaux virtuels. Pour plus d’informations, consultez Tarification de
Réseau virtuel Microsoft Azure .
Le transit par passerelle est une propriété de Peering qui permet à un réseau virtuel
d’exploiter la passerelle VPN/ExpressRoute d’un réseau virtuel appairé. Le transit par
passerelle fonctionne pour la connectivité intersite et de réseau à réseau. Le trafic vers la
passerelle (entrant ou sortant) dans le réseau virtuel appairé entraîne des frais
d’appairage de réseaux virtuels sur le réseau virtuel spoke (ou réseau virtuel sans
passerelle VPN). Pour plus d’informations, consultez Tarification de la passerelle VPN
pour connaître les frais de passerelle VPN et Tarification de la passerelle ExpressRoute
pour ceux de la passerelle ExpressRoute.
7 Notes
Étapes suivantes
Vous pouvez créer un Peering entre deux réseaux virtuels. Les réseaux peuvent
appartenir au même abonnement, à des modèles de déploiement différents dans
le même abonnement ou à des abonnements différents. Suivez un didacticiel pour
l’un des scénarios suivants :
Différent
Différent
Pour en savoir plus sur tous les paramètres d’appairage de réseaux virtuels,
consultez Créer, modifier ou supprimer un appairage de réseaux virtuels.
Pour obtenir des réponses aux questions fréquentes sur l’appairage de réseaux
virtuels et l’appairage de réseaux virtuels mondiaux, consultez Appairage de
réseaux virtuels.
Intégrer des services Azure à des
réseaux virtuels pour l’isolement réseau
Article • 15/05/2023
L’intégration d’un réseau virtuel pour un service Azure vous permet de verrouiller l’accès
au service à votre infrastructure de réseau virtuel uniquement. L’infrastructure de réseau
virtuel comprend également des réseaux virtuels appairés et des réseaux locaux.
L’intégration au réseau virtuel offre aux services Azure les avantages de l’isolement
réseau et peut être accomplie à l’aide d’une ou plusieurs des méthodes suivantes :
Utilisation d’un point de terminaison privé qui vous permet de vous connecter de
façon privée et sécurisée à un service basé sur Azure Private Link. Le point de
terminaison privé utilise une adresse IP privée de votre réseau virtuel pour
apporter le service à votre réseau virtuel de façon effective.
Les ressources situées sur le réseau virtuel peuvent communiquer entre elles de
manière privée, par le biais d’adresses IP privées. Exemple : le transfert direct des
données entre HDInsight et SQL Server sur une machine virtuelle, au sein d’un
réseau virtuel.
Les ressources locales peuvent accéder aux ressources d’un réseau virtuel à l’aide
d’adresses IP privées par le biais d’une connexion VPN site à site (passerelle VPN)
ou ExpressRoute.
Les réseaux virtuels peuvent être appairés pour permettre aux ressources situées
sur les réseaux virtuels de communiquer entre elles, par le biais d’adresses IP
privées.
Le service Azure gère entièrement les instances de service dans un réseau virtuel.
Cette gestion inclut la surveillance de l’intégrité des ressources et la mise à
l’échelle avec une charge.
Les instances de service sont déployées dans un sous-réseau d’un réseau virtuel.
L’accès au réseau entrant ou sortant pour le sous-réseau doit être ouvert par le
biais de groupes de sécurité réseau, selon les recommandations fournies par le
service.
Certains services imposent des restrictions sur le sous-réseau dans lequel ils sont
déployés. Ces restrictions limitent l’application de stratégies, d’itinéraires, ou la
combinaison de machines virtuelles et de ressources du service au sein d’un même
sous-réseau. Vérifiez sur chaque service les restrictions spécifiques, car elles
peuvent changer au fil du temps. Azure NetApp Files, Dedicated HSM, Azure
Container Instances, App Service sont des exemples de ces services.
Consultez un exemple de réponse de l’API REST sur un réseau virtuel avec un sous-
réseau délégué. Une liste complète de services qui utilisent le modèle de sous-
réseau délégué peut être obtenue via l’API Available Delegations (Délégations
disponibles).
Pour obtenir la liste des services qui peuvent être déployés dans un réseau virtuel,
consultez Déployer des services Azure dédiés dans des réseaux virtuels.
La partie droite du diagramme affiche une base de données Azure SQL Database en tant
que service PaaS cible. La cible peut être n’importe quel service qui prend en charge les
points de terminaison privés. Il existe plusieurs instances de SQL Server logique pour
plusieurs clients, qui sont toutes accessibles via des adresses IP publiques.
Dans ce cas, une instance de SQL Server logique est exposée avec un point de
terminaison privé. Le point de terminaison rend SQL Server accessible via une adresse IP
privée dans le réseau virtuel du client. En raison de la modification de la configuration
DNS, l’application cliente envoie maintenant son trafic directement à ce point de
terminaison privé. Le service cible verra le trafic provenant d’une adresse IP privée du
réseau virtuel.
La flèche verte représente une liaison privée. Une adresse IP publique peut encore
exister pour la ressource cible en même temps que le point de terminaison privé.
L’adresse IP publique n’est plus utilisée par l’application cliente. Le pare-feu peut
désormais interdire tout accès à cette adresse IP publique, ce qui la rend accessible
uniquement via des points de terminaison privés. Les connexions à un serveur SQL sans
point de terminaison privé du réseau virtuel sont toujours issues d’une adresse IP
publique. La flèche bleue représente ce flux.
L’application cliente utilise généralement un nom d’hôte DNS pour atteindre le service
cible. Aucune modification n’est requise pour l’application. La résolution DNS dans le
réseau virtuel doit être configurée pour résoudre le même nom d’hôte à l’adresse IP
privée de la ressource cible au lieu de l’adresse IP publique d’origine. Avec un chemin
d’accès privé entre le client et le service cible, le client ne repose pas sur l’adresse IP
publique. Le service cible peut désactiver l’accès public.
Sans point de terminaison de service, il peut être difficile de limiter l’accès à votre réseau
virtuel uniquement. L’adresse IP source peut être modifiée ou partagée avec d’autres
clients. Par exemple, les services PaaS avec des adresses IP sortantes partagées. Avec les
points de terminaison de service, l’adresse IP source que le service cible voit devient une
adresse IP privée de votre réseau virtuel. Cette modification du trafic entrant permet
d’identifier facilement l’origine et de l’utiliser pour configurer des règles de pare-feu
appropriées. Par exemple, en autorisant uniquement le trafic à partir d’un sous-réseau
spécifique au sein de ce réseau virtuel.
Avec les points de terminaison de service, les entrées DNS pour les services Azure ne
sont pas modifiées et continuent de résoudre les adresses IP publiques attribuées au
service Azure.
Dans le diagramme ci-dessous, le côté droit est le même service PaaS cible. Sur la
gauche se trouve un réseau virtuel client avec deux sous-réseaux : le sous-réseau A, qui
a un point de terminaison de service vers Microsoft.Sql , et le sous-réseau B, qui n’a
aucun point de terminaison de service défini.
Balises de service
Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure
donné. Avec des étiquettes de service, vous pouvez définir des contrôles d’accès réseau
sur des groupes de sécurité réseau ou le Pare-feu Azure. Vous pouvez autoriser ou
refuser le trafic pour le service. Pour autoriser ou refuser le trafic, spécifiez l’étiquette de
service dans le champ source ou de destination d’une règle.
Isoler le réseau et protéger vos ressources Azure d’Internet lorsque vous accédez aux
services Azure qui ont des points de terminaison publics. Créez des règles de groupe de
sécurité réseau entrant/sortant pour refuser le trafic vers et depuis Internet et autoriser
le trafic vers/à partir d’AzureCloud. Pour en savoir plus sur les étiquettes de service,
consultez Étiquettes de service disponibles pour des services Azure spécifiques.
Pour plus d’informations sur les étiquettes de service et les services Azure qui les
prennent en charge, consultez Vue d’ensemble des étiquettes de service.
7 Notes
Plutôt que d’examiner uniquement leurs différences, il convient de souligner que les
points de terminaison de service et les points de terminaison privés ont des
caractéristiques communes.
Ces deux fonctionnalités sont utilisées pour un contrôle plus granulaire du pare-feu sur
le service cible. Par exemple, pour limiter l’accès aux bases de données SQL Server ou
aux comptes de stockage. Toutefois, l’opération est différente pour les deux, comme
indiqué plus en détail dans les sections précédentes.
Dans les deux cas, vous pouvez toujours vous assurer que le trafic dans le service cible
traverse un pare-feu réseau ou appliance virtuelle réseau. Cette procédure est différente
pour les deux approches. Lorsque vous utilisez des points de terminaison de service,
vous devez configurer le point de terminaison de service sur le sous-réseau du pare-feu,
plutôt que sur le sous-réseau où le service source est déployé. Lorsque vous utilisez des
points de terminaison privés, vous placez un itinéraire défini par l’utilisateur (UDR) pour
l’adresse IP du point de terminaison privé sur le sous-réseau source. Pas dans le sous-
réseau du point de terminaison privé.
Pour comparer les références SKU et comprendre leurs différences, consultez le tableau
ci-dessous.
Portée du service à Totalité du service (par exemple, tous les serveurs Instance
chaque niveau SQL ou les comptes de stockage de tous les individuelle (par
d’application de la clients) exemple, une
configuration instance de SQL
Server
spécifique ou
un compte de
stockage que
vous possédez)
Considération Points de terminaison de service Points de
terminaison
privés
**Les ressources du service Azure sécurisées pour des réseaux virtuels ne sont pas
accessibles à partir des réseaux locaux. Si vous souhaitez autoriser le trafic depuis un
réseau local, autorisez également les adresses IP publiques (généralement NAT) à partir
de vos circuits locaux ou ExpressRoute. Ces adresses IP peuvent être ajoutées via la
configuration du pare-feu IP des ressources du service Azure. Pour plus d’informations,
consultez la FAQ sur le réseau virtuel.
Étapes suivantes
Découvrez comment intégrer votre application à un réseau Azure.
Quand vous déployez des services Azure dédiés sur un réseau virtuel, vous pouvez
communiquer avec les ressources de service de manière privée, par le biais d’adresses IP
privées.
Les ressources situées sur le réseau virtuel peuvent communiquer entre elles de
manière privée, par le biais d’adresses IP privées. Exemple : le transfert direct des
données entre HDInsight et SQL Server sur une machine virtuelle, au sein d’un
réseau virtuel.
Les ressources locales peuvent accéder aux ressources d’un réseau virtuel à l’aide
d’adresses IP privées par le biais d’une connexion VPN site à site (passerelle VPN)
ou ExpressRoute.
Les réseaux virtuels peuvent être appairés pour permettre aux ressources situées
sur les réseaux virtuels de communiquer entre elles, par le biais d’adresses IP
privées.
Les instances de service sont déployées dans un sous-réseau d’un réseau virtuel.
L’accès au réseau entrant ou sortant pour le sous-réseau doit être ouvert par le
biais de groupes de sécurité réseau, selon les recommandations fournies par le
service.
Certains services imposent des restrictions sur le sous-réseau vers lequel ils sont
déployés. Cette restriction limite l’application de stratégies, d’itinéraires, ou la
combinaison de machines virtuelles et de ressources du service au sein d’un même
sous-réseau. Vérifiez sur chaque service les restrictions spécifiques, car elles
peuvent changer au fil du temps. Les services Azure NetApp Files, Dedicated HSM,
Azure Container Instances, App Service en sont des exemples.
Consultez un exemple de réponse de l’API REST sur un réseau virtuel avec un sous-
réseau délégué. Une liste complète de services qui utilisent le modèle de sous-
réseau délégué peut être obtenue via l’API Available Delegations (Délégations
disponibles).
Azure Spring Apps Déployer dans un réseau virtuel Azure (injection de Oui
réseau virtuel)
1
« Dédié » implique que seules des ressources propres au service peuvent être
déployées dans ce sous-réseau et ne peuvent pas être combinées avec des machines
virtuelles/groupes de machines virtuelles identiques (VMSS) des clients
2
Il est recommandé, au titre de bonne pratique, d’avoir ces services dans un sous-
réseau dédié, mais il ne s’agit pas d’une obligation imposée par le service.
Qu’est-ce que Liaison privée Azure ?
Article • 25/03/2023 • 3 minutes de lecture
Azure Private Link vous permet d’accéder aux services Azure PaaS (par exemple
Stockage Azure et SQL Database) ainsi qu’aux services de partenaires ou de clients
hébergés par Azure sur un point de terminaison privé dans votre réseau virtuel.
Le trafic entre votre réseau virtuel et le service transite par le réseau principal de
Microsoft. L’exposition de votre service à l’Internet public n’est plus nécessaire. Vous
pouvez créer votre propre service de liaison privée dans votre réseau virtuel et le
distribuer à vos clients. La configuration et la consommation à l’aide d’Azure Private Link
est cohérente entre le service Azure PaaS, les services appartenant au client et les
services de partenaires partagés.
) Important
Accès privé aux services sur la plateforme Azure : connectez votre réseau virtuel à
l’aide de points de terminaison privés à tous les services qui peuvent être utilisés
en tant que composants d’application dans Azure. Les fournisseurs de services
peuvent afficher leurs services dans leur propre réseau virtuel et les
consommateurs peuvent accéder à ces services dans leur réseau virtuel local. La
plateforme Liaison privée gère la connectivité entre le consommateur et les
services sur le réseau principal Azure.
Réseaux locaux et appairés : Accédez aux services s’exécutant dans Azure en local
par le biais du peering privé ExpressRoute, de tunnels VPN et de réseaux virtuels
appairés à l’aide de points de terminaison privés. Il n’est pas nécessaire de
configurer le peering ExpressRoute Microsoft ni de transiter par Internet pour
atteindre le service. Private Link offre un moyen sécurisé de migrer des charges de
travail vers Azure.
7 Notes
Azure Private Link avec le réseau virtuel Azure s’étendent sur les zones de
disponibilité Azure et sont par conséquent résilients aux zones. Pour assurer une
haute disponibilité pour la ressource Azure à l’aide d’un point de terminaison privé,
vérifiez que la ressource est résiliente aux zones.
Disponibilité
Pour plus d’informations sur les services Azure qui prennent en charge Private Link,
consultez Disponibilité d’Azure Private Link.
Pour obtenir les notifications les plus récentes, consultez la page relative aux mises à
jour d’Azure Private Link .
Enregistrement et surveillance
Azure Private Link offre une intégration à Azure Monitor. Cette combinaison permet les
opérations suivantes :
Archive de journaux dans un compte de stockage.
Tarifs
Pour plus d’informations sur les tarifs, consultez Tarification Liaison privée Azure .
FAQ
Pour examiner les questions fréquentes, consultez FAQ sur Liaison privée Azure.
limites
Pour connaître les limites, consultez Limites de Liaison privée Azure.
Étapes suivantes
Démarrage rapide : Créer un point de terminaison privé au moyen du portail Azure
7 Notes
Des points de terminaison de service sont disponibles pour les services et régions Azure
suivants. La ressource Microsoft.* est entre parenthèses. Activez cette ressource depuis le
côté du sous-réseau lors de la configuration des points de terminaison de service pour
votre service :
Préversion publique
Pour obtenir les notifications les plus récentes, vérifiez la page Mises à jour du réseau
virtuel Microsoft Azure .
Principaux avantages
Les points de terminaison de service fournissent les avantages suivants :
Routage optimal pour le trafic de service Azure à partir de votre réseau virtuel :
Aujourd’hui, tous les itinéraires dans votre réseau virtuel qui forcent le trafic
Internet vers vos appliances locales et/ou virtuelles forcent également le trafic de
service Azure à prendre le même itinéraire que le trafic Internet. Les points de
terminaison de service fournissent un routage optimal pour le trafic Azure.
Limites
La fonctionnalité est disponible uniquement pour les réseaux virtuels déployés à
l’aide du modèle de déploiement Azure Resource Manager.
Les points de terminaison sont activés sur les sous-réseaux configurés dans les
réseaux virtuels Azure. Les points de terminaison ne peuvent pas servir pour le
trafic à partir de votre réseau local vers les services Azure. Pour plus d’informations,
consultez Sécuriser l’accès au service en local
Pour Azure SQL, un point de terminaison de service concerne uniquement le trafic
de service Azure dans la région d’un réseau virtuel.
Avec Azure Data Lake Storage (ADLS) Gen 1, la fonctionnalité d’intégration au
réseau virtuel est uniquement disponible pour les réseaux virtuels situés dans une
même région. Notez également que l’intégration au réseau virtuel dans ADLS
Gen1 utilise la sécurité des points de terminaison de service de réseau virtuel entre
votre réseau virtuel et Azure Active Directory (Azure AD) afin de générer d’autres
revendications de sécurité dans le jeton d’accès. Ces revendications permettent
ensuite d’authentifier votre réseau virtuel à votre compte Data Lake Storage Gen1
et d’y accéder. La balise Microsoft.AzureActiveDirectory répertoriée sous les services
prenant en charge les points de terminaison de service est uniquement utilisée
pour gérer ces derniers dans ADLS Gen 1. Azure AD ne prend pas en charge les
points de terminaison de service en mode natif. Pour plus d’informations sur
l’intégration au réseau virtuel d’Azure Data Lake Storage Gen1, consultez Sécurité
du réseau dans Azure Data Lake Storage Gen1.
Aujourd’hui, le trafic du service Azure à partir d’un réseau virtuel utilise des
adresses IP publiques en tant qu’adresses IP source. Avec les points de terminaison
de service, le trafic de service change pour utiliser des adresses privées de réseau
virtuel en tant qu’adresses IP source lors de l’accès au service Azure à partir d’un
réseau virtuel. Ce changement permet d’accéder aux services sans avoir besoin
d’adresses IP publiques réservées et utilisées dans les pare-feux IP.
7 Notes
Configuration
Configurez les points de terminaison de service sur un sous-réseau dans un réseau
virtuel. Les points de terminaison fonctionnent avec n’importe quel type
d’instances de calcul en cours d’exécution dans ce sous-réseau.
Vous pouvez configurer plusieurs points de terminaison de service pour tous les
services Azure pris en charge (par exemple, Stockage Azure ou Azure SQL
Database) sur un sous-réseau.
Pour Azure SQL Database, les réseaux virtuels doivent être dans la même région
que la ressource de service Azure. Pour tous les autres services, vous pouvez
sécuriser les ressources du service Azure pour les réseaux virtuels de n’importe
quelle région.
Le réseau virtuel dans lequel est configuré le point de terminaison peut être dans
le même abonnement ou dans un abonnement différent de celui de la ressource
du service Azure. Pour plus d’informations sur les autorisations requises pour la
configuration de points de terminaison et la sécurisation des services Azure,
consultez Approvisionnement.
Pour les services pris en charge, vous pouvez sécuriser des ressources nouvelles ou
existantes pour des réseaux virtuels à l’aide de points de terminaison de service.
Considérations
Après l’activation d’un point de terminaison de service, les adresses IP sources
basculent de l’utilisation des adresses IPv4 publiques à l’utilisation de leur adresse
IPv4 privée lors de la communication avec le service à partir de ce sous-réseau.
Toute connexion TCP ouverte existante pour le service sera fermée lors de ce
changement. Assurez-vous qu’aucune tâche critique n’est en cours d’exécution lors
de l’activation ou de la désactivation d’un point de terminaison de service à un
service pour un sous-réseau. En outre, assurez-vous que vos applications peuvent
se connecter automatiquement aux services Azure après le changement d’adresse
IP.
Avec les points de terminaison de service, les entrées DNS pour les services Azure
ne sont pas modifiées et continuent de résoudre les adresses IP publiques
assignées au service Azure.
Scénarios
Réseaux virtuels appariés, connectés ou multiples : afin de sécuriser les services
Azure pour plusieurs sous-réseaux au sein d’un réseau virtuel ou sur plusieurs
réseaux virtuels, vous pouvez activer les points de terminaison de service sur
chacun des sous-réseaux indépendamment et sécuriser les ressources de service
Azure pour l’ensemble des sous-réseaux.
Filtrage du trafic sortant vers les services Azure à partir du réseau virtuel : Si
vous souhaitez inspecter ou filtrer le trafic envoyé à un service Azure à partir d’un
réseau virtuel, vous pouvez déployer une appliance virtuelle réseau au sein du
réseau virtuel. Vous pouvez ensuite appliquer des points de terminaison de service
au sous-réseau sur lequel est déployée l’appliance virtuelle réseau et sécuriser les
ressources de service Azure uniquement pour ce sous-réseau. Ce scénario peut
être utile si vous souhaitez utiliser le filtrage de l’appliance virtuelle réseau pour
restreindre l’accès aux services Azure à partir de votre réseau virtuel uniquement
pour des ressources Azure spécifiques. Pour plus d’informations, consultez la
section relative à la sortie avec les appliances virtuelles réseau.
Sécurisation des ressources Azure pour les services déployés directement dans
les réseaux virtuels : Vous pouvez déployer directement divers services Azure dans
des sous-réseaux spécifiques au sein d’un réseau virtuel. Vous pouvez sécuriser les
ressources du service Azure pour les sous-réseaux du service administré en
configurant un point de terminaison de service sur le sous-réseau de service
administré.
Trafic de disques à partir d’une machine virtuelle Azure : Le trafic des disques de
machine virtuelle pour les disques managés et non managés n’est pas perturbé par
la modification du routage des points de terminaison de service pour Stockage
Azure. Ce trafic comprend l’E/S disque ainsi que le montage et le démontage. Vous
pouvez limiter l’accès REST aux objets blob de page pour sélectionner les réseaux
via des points de terminaison de service et les règles de réseau de Stockage Azure.
7 Notes
Approvisionnement
Les points de terminaison de service peuvent être configurés indépendamment sur les
réseaux virtuels par un utilisateur avec accès en écriture à un réseau virtuel. Pour
sécuriser les ressources du service Azure pour un réseau virtuel, l’utilisateur doit
disposer des autorisations sur
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action pour les sous-
réseaux ajoutés. Les rôles Administrateur de service fédérés intégrés incluent cette
autorisation par défaut. Vous pouvez modifier l’autorisation en créant des rôles
personnalisés.
Pour plus d’informations sur les rôles intégrés, consultez Rôles intégrés Azure. Pour plus
d’informations sur l’attribution d’autorisations spécifiques à des rôles personnalisés,
consultez Rôles Azure personnalisés.
Les réseaux virtuels et les ressources du service Azure peuvent être dans des
abonnements identiques ou différents. Certains services Azure (pas tous), comme
Stockage Azure et Azure Key Vault, prennent également en charge les points de
terminaison de service sur plusieurs locataires Active Directory (AD). Cela signifie que le
réseau virtuel et la ressource de service Azure peuvent se trouver dans des locataires
Active Directory (AD) différents. Pour plus d’informations, consultez la documentation
des services individuels.
Tarification et limites
L’utilisation de points de terminaison de service n’engendre pas de frais
supplémentaires. Le modèle tarifaire actuel pour les services Azure (Stockage Azure,
Azure SQL Database, etc.) reste le même.
Il n’existe aucune limite sur le nombre total de points de terminaison de service dans un
réseau virtuel.
Certains services Azure, comme Comptes Stockage Azure, peuvent appliquer des limites
sur le nombre de sous-réseaux utilisés pour sécuriser la ressource. Pour en savoir plus,
reportez-vous à la documentation pour les différents services dans la section Étapes
suivantes.
FAQ
Pour consulter les Forums aux questions, consultez les FAQ sur les points de terminaison
de service de réseau virtuel.
Étapes suivantes
Configurer des points de terminaison de service de réseau virtuel
Sécuriser un compte de stockage Azure pour un réseau virtuel
Sécuriser une base de données Azure SQL Database pour un réseau virtuel
Sécuriser une instance Azure Synapse Analytics dans un réseau virtuel
Comparer des points de terminaison privés et des points de terminaison de service
Stratégies de points de terminaison de service de réseau virtuel
Modèle Azure Resource Manager
Balises de service du réseau virtuel
Article • 25/03/2023 • 16 minutes de lecture
Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure
donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour
automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la
complexité des mises à jour fréquentes relatives aux règles de sécurité réseau.
Vous pouvez utiliser des balises de service pour définir des contrôles d'accès au réseau sur les
groupes de sécurité du réseau, Pare-feu Azure et les routes définies par l'utilisateur. Utilisez
des balises de service à la place d'adresses IP spécifiques lorsque vous créez des règles de
sécurité et des routes. En spécifiant le nom de l’étiquette de service (par exemple,
ApiManagement dans le champ Source ou Destination d’une règle, vous pouvez autoriser ou
refuser le trafic pour le service correspondant. En spécifiant le nom de la balise de service
dans le préfixe d’adresse d’une route, vous pouvez acheminer le trafic destiné à l’un des
préfixes encapsulés par la balise de service vers un type de tronçon suivant souhaité.
7 Notes
Vous pouvez utiliser des étiquettes de service pour isoler le réseau et protéger vos ressources
Azure de l’accès Internet général tout en accédant aux services Azure qui ont des points de
terminaison publics. Créez des règles de groupe de sécurité de réseau entrant/sortant pour
refuser le trafic vers/depuis Internet et autoriser le trafic vers/depuis AzureCloud ou d’autres
balises de service disponibles de services Azure spécifiques.
Balises de service disponibles
Le tableau suivant répertorie les balises de service disponibles à utiliser dans les règles
Groupes de sécurité réseau.
Par défaut, les balises de service reflètent les plages pour l’ensemble du Cloud. Certaines
balises de service permettent également d’obtenir un contrôle plus précis en limitant les
plages d’adresses IP correspondantes à une région spécifiée. Par exemple, la balise de service
Storage représente le Stockage Azure pour l’ensemble du cloud, alors que Storage.WestUS
limite la sélection aux plages d’adresses IP de stockage de la région WestUS. Le tableau
suivant indique si chaque étiquette de service prend en charge une telle étendue régionale, et
la direction indiquée pour chaque balise est une recommandation. Par exemple, l’étiquette
AzureCloud peut être utilisée pour autoriser le trafic entrant. Dans la plupart des scénarios,
nous vous déconseillons d’autoriser le trafic à partir de toutes les adresses IP Azure, car les
adresses IP utilisées par d’autres clients Azure sont incluses dans le cadre de la balise de
service.
Tag Objectif Peut-elle Peut-elle Peut-
utiliser être elle
le trafic étendue à être
entrant une zone utilisée
ou régionale ? avec le
sortant ? Pare-
feu
Azure
?
Remarque : L’adresse IP du
service de recherche n’est pas
incluse dans la liste des plages
d’adresses IP pour cette
étiquette de service et doit
également être ajoutée au
pare-feu IP des sources de
données.
AzureDeviceUpdate Device Update pour IoT Hub. Les deux Non Oui
AzureUpdateDelivery:
TCP, port 443
AzureFrontDoor.FirstParty:
TCP, port 80
7 Notes
Lorsque vous utilisez des balises de service avec le Pare-feu Azure, vous pouvez
uniquement créer des règles de destination sur le trafic entrant et sortant. Les
règles sources ne sont pas prises en charge. Pour plus d’informations, consultez la
documentation Balises de service du Pare-feu Azure .
Les balises des services Azure indiquent les préfixes d’adresse du cloud spécifique
utilisé. Par exemple, les plages IP sous-jacentes qui correspondent à la valeur de
balise Sql sur le cloud public Azure seront différentes des plages sous-jacentes sur
le cloud Azure Chine.
AzureLoadBalancer AZURE_LOADBALANCER
Internet INTERNET
VirtualNetwork VIRTUAL_NETWORK
REST
Azure PowerShell
Azure CLI
Par exemple, pour récupérer tous les préfixes de l’étiquette de service Stockage, vous pouvez
utiliser les applets de commande PowerShell suivantes :
Azure PowerShell
7 Notes
Les données d’API représentent les étiquettes qui peuvent être utilisées avec les
règles de groupe de sécurité réseau dans votre région. Utilisez les données d’API
comme source de vérité pour les étiquettes de service disponibles, car elles peuvent
être différentes du fichier téléchargeable JSON.
La propagation des nouvelles données d’étiquette de service dans les résultats de
l’API de toutes les régions Azure prend jusqu’à 4 semaines. En raison de ce
processus, les résultats de vos données d’API peuvent ne pas être synchronisés avec
le fichier JSON téléchargeable, car les données d’API représentent un sous-
ensemble des étiquettes actuellement contenues dans le fichier JSON
téléchargeable.
Vous devez être authentifié et disposer d’un rôle avec des autorisations de lecture
pour votre abonnement actuel.
Azure public
Azure US Government
Azure China 21Vianet
Azure Allemagne
Les plages d’adresses IP de ces fichiers sont en notation CIDR.
Les étiquettes AzureCloud suivantes n’ont pas de noms régionaux formatés selon le schéma
normal :
AzureCloud.centralfrance (FranceCentral)
AzureCloud.southfrance (FranceSouth)
AzureCloud.germanywc (GermanyWestCentral)
AzureCloud.germanyn (GermanyNorth)
AzureCloud.norwaye (NorwayEast)
AzureCloud.norwayw (NorwayWest)
AzureCloud.switzerlandn (SwitzerlandNorth)
AzureCloud.switzerlandw (SwitzerlandWest)
AzureCloud.usstagee (EastUSSTG)
AzureCloud.usstagec (SouthCentralUSSTG)
7 Notes
Un sous-ensemble de ces informations a été publié dans des fichiers XML pour Azure
public , Azure Chine et Azure Allemagne . Ces téléchargements XML seront
obsolètes à compter du 30 juin 2020 et ne seront plus disponibles après cette date. Vous
devez effectuer une migration à l’aide de l’API Discovery ou des téléchargements de
fichiers JSON, comme décrit dans les sections précédentes.
Conseil
Vous pouvez détecter les mises à jour d’une publication à l’autre en notant les
valeurs changeNumber augmentées dans le fichier JSON. Chaque sous-section (par
exemple, Storage.WestUS) a sa propre valeur changeNumber qui est incrémentée
au fur et à mesure que des modifications sont effectuées. Le niveau supérieur de la
valeur changeNumber du fichier est incrémenté lorsque l’une des sous-sections est
modifiée.
Pour obtenir des exemples d’analyse des informations de balise de service (par
exemple, obtenir toutes les plages d’adresses pour le stockage dans la région
WestUS), reportez-vous à la documentation relative à l’API Service Tag Discovery
PowerShell.
7 Notes
Les fonctionnalités non applicables à Réseau virtuel ont été exclues. Pour voir
comment Réseau virtuel est entièrement mappé au benchmark de sécurité cloud
Microsoft, consultez le fichier de mappage complet de la base de référence de
sécurité Réseau virtuel .
Profil de sécurité
Le profil de sécurité résume les comportements à fort impact de Réseau virtuel, ce qui
peut entraîner des considérations de sécurité accrues.
Sécurité du réseau
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité
réseau.
Fonctionnalités
les sous- Protégez votre sous-réseau contre les menaces AuditIfNotExists, 3.0.0
réseaux potentielles en y limitant l’accès avec un groupe de Désactivé
doivent être sécurité réseau (NSG). Les NSG contiennent une
associés à un liste de règles de liste de contrôle d’accès (ACL) qui
groupe de autorisent ou refusent le trafic réseau vers votre
sécurité sous-réseau.
réseau
Gestion des identités
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Gestion des
identités.
Fonctionnalités
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Accès privilégié
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Accès
privilégié.
Fonctionnalités
Description : Azure Role-Based Access Control (Azure RBAC) peut être utilisé pour gérer
l’accès aux actions du plan de données du service. Plus d’informations
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Fonctionnalités
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Fonctionnalités
Fonctionnalités
Description : le service produit des journaux de ressources qui peuvent fournir des
métriques et une journalisation améliorées spécifiques au service. Le client peut
configurer ces journaux de ressources et les envoyer à son propre récepteur de
données, comme un compte de stockage ou un espace de travail Log Analytics. Plus
d’informations
Sauvegarde et récupération
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sauvegarde
et récupération.
Fonctionnalités
Sauvegarde Azure
Description : le service peut être sauvegardé par le service Sauvegarde Azure. Plus
d’informations
Conseils de configuration : Cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Étapes suivantes
Consultez la vue d’ensemble du benchmark de sécurité cloud Microsoft
En savoir plus sur les bases de référence de la sécurité Azure
Base de référence de sécurité Azure
pour la passerelle NAT Azure
Article • 05/05/2023
7 Notes
Les fonctionnalités non applicables à la passerelle NAT Azure ont été exclues. Pour
voir comment Azure NAT Gateway est entièrement mappé au benchmark de
sécurité cloud Microsoft, consultez le fichier de mappage complet de la base de
référence de sécurité de la passerelle NAT Azure .
Profil de sécurité
Le profil de sécurité résume les comportements à impact élevé de la passerelle NAT
Azure, ce qui peut entraîner des considérations de sécurité accrues.
Sécurité du réseau
Pour plus d’informations, consultez le benchmark de sécurité cloud Microsoft : Sécurité
réseau.
Fonctionnalités
Référence : Démarrage rapide : Créer une passerelle NAT à l’aide du Portail Azure
les sous- Protégez votre sous-réseau contre les menaces AuditIfNotExists, 3.0.0
réseaux potentielles en y limitant l’accès avec un groupe de Désactivé
doivent être sécurité réseau (NSG). Les NSG contiennent une
associés à un liste de règles de liste de contrôle d’accès (ACL) qui
groupe de autorisent ou refusent le trafic réseau vers votre
sécurité sous-réseau.
réseau
Fonctionnalités
Conseils de configuration : cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Fonctionnalités
Description : le service produit des journaux de ressources qui peuvent fournir des
métriques et une journalisation améliorées spécifiques au service. Le client peut
configurer ces journaux de ressources et les envoyer à son propre récepteur de
données, comme un compte de stockage ou un espace de travail Log Analytics. Plus
d’informations
Conseils de configuration : Cette fonctionnalité n’est pas prise en charge pour sécuriser
ce service.
Étapes suivantes
Consultez la vue d’ensemble du benchmark de sécurité cloud Microsoft
En savoir plus sur les bases de référence de la sécurité Azure
Intégrer des services Azure à des
réseaux virtuels pour l’isolement réseau
Article • 15/05/2023
L’intégration d’un réseau virtuel pour un service Azure vous permet de verrouiller l’accès
au service à votre infrastructure de réseau virtuel uniquement. L’infrastructure de réseau
virtuel comprend également des réseaux virtuels appairés et des réseaux locaux.
L’intégration au réseau virtuel offre aux services Azure les avantages de l’isolement
réseau et peut être accomplie à l’aide d’une ou plusieurs des méthodes suivantes :
Utilisation d’un point de terminaison privé qui vous permet de vous connecter de
façon privée et sécurisée à un service basé sur Azure Private Link. Le point de
terminaison privé utilise une adresse IP privée de votre réseau virtuel pour
apporter le service à votre réseau virtuel de façon effective.
Les ressources situées sur le réseau virtuel peuvent communiquer entre elles de
manière privée, par le biais d’adresses IP privées. Exemple : le transfert direct des
données entre HDInsight et SQL Server sur une machine virtuelle, au sein d’un
réseau virtuel.
Les ressources locales peuvent accéder aux ressources d’un réseau virtuel à l’aide
d’adresses IP privées par le biais d’une connexion VPN site à site (passerelle VPN)
ou ExpressRoute.
Les réseaux virtuels peuvent être appairés pour permettre aux ressources situées
sur les réseaux virtuels de communiquer entre elles, par le biais d’adresses IP
privées.
Le service Azure gère entièrement les instances de service dans un réseau virtuel.
Cette gestion inclut la surveillance de l’intégrité des ressources et la mise à
l’échelle avec une charge.
Les instances de service sont déployées dans un sous-réseau d’un réseau virtuel.
L’accès au réseau entrant ou sortant pour le sous-réseau doit être ouvert par le
biais de groupes de sécurité réseau, selon les recommandations fournies par le
service.
Certains services imposent des restrictions sur le sous-réseau dans lequel ils sont
déployés. Ces restrictions limitent l’application de stratégies, d’itinéraires, ou la
combinaison de machines virtuelles et de ressources du service au sein d’un même
sous-réseau. Vérifiez sur chaque service les restrictions spécifiques, car elles
peuvent changer au fil du temps. Azure NetApp Files, Dedicated HSM, Azure
Container Instances, App Service sont des exemples de ces services.
Consultez un exemple de réponse de l’API REST sur un réseau virtuel avec un sous-
réseau délégué. Une liste complète de services qui utilisent le modèle de sous-
réseau délégué peut être obtenue via l’API Available Delegations (Délégations
disponibles).
Pour obtenir la liste des services qui peuvent être déployés dans un réseau virtuel,
consultez Déployer des services Azure dédiés dans des réseaux virtuels.
La partie droite du diagramme affiche une base de données Azure SQL Database en tant
que service PaaS cible. La cible peut être n’importe quel service qui prend en charge les
points de terminaison privés. Il existe plusieurs instances de SQL Server logique pour
plusieurs clients, qui sont toutes accessibles via des adresses IP publiques.
Dans ce cas, une instance de SQL Server logique est exposée avec un point de
terminaison privé. Le point de terminaison rend SQL Server accessible via une adresse IP
privée dans le réseau virtuel du client. En raison de la modification de la configuration
DNS, l’application cliente envoie maintenant son trafic directement à ce point de
terminaison privé. Le service cible verra le trafic provenant d’une adresse IP privée du
réseau virtuel.
La flèche verte représente une liaison privée. Une adresse IP publique peut encore
exister pour la ressource cible en même temps que le point de terminaison privé.
L’adresse IP publique n’est plus utilisée par l’application cliente. Le pare-feu peut
désormais interdire tout accès à cette adresse IP publique, ce qui la rend accessible
uniquement via des points de terminaison privés. Les connexions à un serveur SQL sans
point de terminaison privé du réseau virtuel sont toujours issues d’une adresse IP
publique. La flèche bleue représente ce flux.
L’application cliente utilise généralement un nom d’hôte DNS pour atteindre le service
cible. Aucune modification n’est requise pour l’application. La résolution DNS dans le
réseau virtuel doit être configurée pour résoudre le même nom d’hôte à l’adresse IP
privée de la ressource cible au lieu de l’adresse IP publique d’origine. Avec un chemin
d’accès privé entre le client et le service cible, le client ne repose pas sur l’adresse IP
publique. Le service cible peut désactiver l’accès public.
Sans point de terminaison de service, il peut être difficile de limiter l’accès à votre réseau
virtuel uniquement. L’adresse IP source peut être modifiée ou partagée avec d’autres
clients. Par exemple, les services PaaS avec des adresses IP sortantes partagées. Avec les
points de terminaison de service, l’adresse IP source que le service cible voit devient une
adresse IP privée de votre réseau virtuel. Cette modification du trafic entrant permet
d’identifier facilement l’origine et de l’utiliser pour configurer des règles de pare-feu
appropriées. Par exemple, en autorisant uniquement le trafic à partir d’un sous-réseau
spécifique au sein de ce réseau virtuel.
Avec les points de terminaison de service, les entrées DNS pour les services Azure ne
sont pas modifiées et continuent de résoudre les adresses IP publiques attribuées au
service Azure.
Dans le diagramme ci-dessous, le côté droit est le même service PaaS cible. Sur la
gauche se trouve un réseau virtuel client avec deux sous-réseaux : le sous-réseau A, qui
a un point de terminaison de service vers Microsoft.Sql , et le sous-réseau B, qui n’a
aucun point de terminaison de service défini.
Balises de service
Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure
donné. Avec des étiquettes de service, vous pouvez définir des contrôles d’accès réseau
sur des groupes de sécurité réseau ou le Pare-feu Azure. Vous pouvez autoriser ou
refuser le trafic pour le service. Pour autoriser ou refuser le trafic, spécifiez l’étiquette de
service dans le champ source ou de destination d’une règle.
Isoler le réseau et protéger vos ressources Azure d’Internet lorsque vous accédez aux
services Azure qui ont des points de terminaison publics. Créez des règles de groupe de
sécurité réseau entrant/sortant pour refuser le trafic vers et depuis Internet et autoriser
le trafic vers/à partir d’AzureCloud. Pour en savoir plus sur les étiquettes de service,
consultez Étiquettes de service disponibles pour des services Azure spécifiques.
Pour plus d’informations sur les étiquettes de service et les services Azure qui les
prennent en charge, consultez Vue d’ensemble des étiquettes de service.
7 Notes
Plutôt que d’examiner uniquement leurs différences, il convient de souligner que les
points de terminaison de service et les points de terminaison privés ont des
caractéristiques communes.
Ces deux fonctionnalités sont utilisées pour un contrôle plus granulaire du pare-feu sur
le service cible. Par exemple, pour limiter l’accès aux bases de données SQL Server ou
aux comptes de stockage. Toutefois, l’opération est différente pour les deux, comme
indiqué plus en détail dans les sections précédentes.
Dans les deux cas, vous pouvez toujours vous assurer que le trafic dans le service cible
traverse un pare-feu réseau ou appliance virtuelle réseau. Cette procédure est différente
pour les deux approches. Lorsque vous utilisez des points de terminaison de service,
vous devez configurer le point de terminaison de service sur le sous-réseau du pare-feu,
plutôt que sur le sous-réseau où le service source est déployé. Lorsque vous utilisez des
points de terminaison privés, vous placez un itinéraire défini par l’utilisateur (UDR) pour
l’adresse IP du point de terminaison privé sur le sous-réseau source. Pas dans le sous-
réseau du point de terminaison privé.
Pour comparer les références SKU et comprendre leurs différences, consultez le tableau
ci-dessous.
Portée du service à Totalité du service (par exemple, tous les serveurs Instance
chaque niveau SQL ou les comptes de stockage de tous les individuelle (par
d’application de la clients) exemple, une
configuration instance de SQL
Server
spécifique ou
un compte de
stockage que
vous possédez)
Considération Points de terminaison de service Points de
terminaison
privés
**Les ressources du service Azure sécurisées pour des réseaux virtuels ne sont pas
accessibles à partir des réseaux locaux. Si vous souhaitez autoriser le trafic depuis un
réseau local, autorisez également les adresses IP publiques (généralement NAT) à partir
de vos circuits locaux ou ExpressRoute. Ces adresses IP peuvent être ajoutées via la
configuration du pare-feu IP des ressources du service Azure. Pour plus d’informations,
consultez la FAQ sur le réseau virtuel.
Étapes suivantes
Découvrez comment intégrer votre application à un réseau Azure.
Vous pouvez utiliser un groupe de sécurité réseau Azure pour filtrer le trafic réseau entre
des ressources Azure dans un réseau virtuel Azure. Un groupe de sécurité réseau
contient des règles de sécurité qui autorisent ou rejettent le trafic réseau entrant et
sortant vers différents types de ressources Azure. Pour chaque règle, vous pouvez
spécifier la source et la destination, le port et le protocole.
Cet article décrit les propriétés d’une règle de groupe de sécurité réseau, les règles de
sécurité par défaut appliquées et les propriétés de règle que vous pouvez modifier pour
créer une règle de sécurité augmentée.
Règles de sécurité
Un groupe de sécurité réseau contient le nombre des règles souhaité (ou aucune), dans
les limites de l’abonnement Azure. Chaque règle spécifie les propriétés suivantes :
Propriété Explication
Nom Nom unique au sein du groupe de sécurité réseau. Le nom peut contenir jusqu’à
80 caractères. Il doit commencer par un caractère alphabétique et se terminer par
un caractère alphabétique ou « _ ». Le nom peut contenir des caractères
alphabétiques ou « . », « - », « _ ».
Priorité Nombre compris entre 100 et 4096. Les règles sont traitées dans l’ordre croissant,
car les nombres les plus faibles sont prioritaires. Une fois que le trafic correspond à
une règle, le traitement s’arrête. Par conséquent, les règles avec des priorités plus
faibles (des nombres plus élevés) et ayant les mêmes attributs que les règles de
priorité supérieure ne sont pas traitées.
Propriété Explication
Source ou Une adresse IP, un bloc de routage CIDR (par exemple, 10.0.0.0/24), une balise de
destination service ou un groupe de sécurité d’application. Si vous spécifiez une adresse pour
une ressource Azure, spécifiez l’adresse IP privée assignée à la ressource. Les
groupes de sécurité réseau sont traités une fois qu’Azure a converti une adresse IP
publique en adresse IP privée pour le trafic entrant, et avant qu’Azure ne convertisse
une adresse IP privée en une adresse IP publique pour le trafic sortant. Moins de
règles de sécurité sont nécessaires lorsque vous spécifiez une plage, une étiquette
de service ou un groupe de sécurité d’application. La possibilité de spécifier
plusieurs adresses IP individuelles et plages (vous ne pouvez pas spécifier plusieurs
balises de service ou groupes d’applications) dans une règle est désignée sous le
nom de règles de sécurité augmentée. Les règles de sécurité augmentée peuvent
uniquement être créées dans des groupes de sécurité réseau créés par le biais du
modèle de déploiement du Gestionnaire de ressources. Vous ne pouvez pas
spécifier plusieurs adresses IP et plages d’adresses IP dans les groupes de sécurité
réseau créés par le biais du modèle de déploiement classique.
Protocol TCP, UDP, ICMP, ESP, AH ou n’importe lequel. Les protocoles ESP et AH ne sont pas
actuellement disponibles via le portail Azure, mais peuvent être utilisés via des
modèles ARM.
Plage de Vous pouvez spécifier un port individuel ou une plage de ports. Par exemple,
ports indiquez 80 ou 10000-10005. La spécification de plages vous permet de créer moins
de règles de sécurité. Les règles de sécurité augmentée peuvent uniquement être
créées dans des groupes de sécurité réseau créés par le biais du modèle de
déploiement du Gestionnaire de ressources. Vous ne pouvez pas spécifier plusieurs
ports ou plages de ports dans les groupes de sécurité réseau créés par le biais du
modèle de déploiement classique.
Les règles de sécurité sont évaluées et appliquées en fonction des informations de cinq
tuples (source, port source, destination, port de destination et protocole). Vous ne
pouvez pas créer deux règles de sécurité avec les mêmes priorité et direction. Un
enregistrement de flux est créé pour les connexions existantes. La communication est
autorisée ou refusée en fonction de l’état de connexion de l’enregistrement de flux.
L’enregistrement de flux permet d’obtenir un groupe de sécurité réseau avec état. Si
vous spécifiez une règle de sécurité sortante vers n’importe quelle adresse sur le
port 80, par exemple, il n’est pas nécessaire d’indiquer une règle de sécurité entrante
pour la réponse au trafic sortant. Vous devez uniquement spécifier une règle de sécurité
entrante si la communication est établie en externe. Le contraire est également vrai. Si le
trafic entrant est autorisé sur un port, il n’est pas nécessaire de spécifier une règle de
sécurité sortante pour répondre au trafic sur ce port.
Les connexions existantes peuvent ne pas être interrompues lorsque vous supprimez
une règle de sécurité qui autorisait la connexion. La modification des règles du groupe
de sécurité réseau n’affecte que les nouvelles connexions. Quand une règle est créée ou
qu’une règle existante est mise à jour dans un groupe de sécurité réseau, elle s’applique
uniquement aux nouvelles connexions. Les connexions existantes ne sont pas réévaluées
en fonction des nouvelles règles.
Le nombre de règles de sécurité que vous pouvez créer dans un groupe de sécurité
réseau est limité. Pour plus d’informations, consultez limites Azure.
Trafic entrant
AllowVNetInBound
AllowAzureLoadBalancerInBound
DenyAllInbound
AllowVnetOutBound
Priority Source Ports Destination Ports de Protocol Accès
source destination
AllowInternetOutBound
DenyAllOutBound
Vous ne pouvez pas supprimer les règles par défaut, mais vous pouvez les remplacer par
des règles de priorité plus élevée.
Balises de service
Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure
donné. Elle permet de minimiser la complexité des mises à jour fréquentes des règles de
sécurité réseau.
Pour plus d’informations, consultez Balises de Service Azure. Pour obtenir un exemple
d’utilisation de la balise de service de stockage pour limiter l’accès réseau, consultez
Limiter l’accès réseau aux ressources PaaS.
Gestion des licences (Service de gestion des clés) : Les images Windows en cours
d’exécution sur les machines virtuelles doivent être acquises sous licence. Pour
assurer la gestion des licences, une requête est envoyée aux serveurs hôtes du
Service de gestion de clés qui gèrent les requêtes de ce type. La requête est
effectuée en sortie par le biais du port 1688. Cette règle de plateforme est
désactivée pour les déploiements utilisant la configuration itinéraire par défaut
0.0.0.0/0.
Instances de service Azure : Les instances de plusieurs services Azure, tels que
HDInsight, les environnements de service d’application et Virtual Machine Scale
Sets, sont déployées dans des sous-réseaux du réseau virtuel. Pour obtenir la liste
complète des services que vous pouvez déployer sur des réseaux virtuels,
consultez Réseau virtuel pour les services Azure. Avant d’appliquer un groupe de
sécurité réseau au sous-réseau, familiarisez-vous avec les exigences de port pour
chaque service. Si vous refusez les ports requis par le service, ce dernier ne
fonctionnera pas correctement.
Si vous avez créé votre abonnement Azure avant le 15 novembre 2017, vous
pouvez, en plus d’utiliser des services de relais SMTP, envoyer des messages
électroniques via le port TCP 25 directement. Si vous avez créé votre abonnement
après le 15 novembre 2017, vous ne serez peut-être pas en mesure d’envoyer des
messages électroniques via le port TCP 25 directement. Le comportement des
communications sortantes via le port 25 dépend de votre type d’abonnement :
Contrat Entreprise : Pour les machines virtuelles qui sont déployées dans des
abonnements Contrat Entreprise standard, les connexions SMTP sortantes sur le
port TCP 25 ne sont pas bloquées. Cependant, il n’y a aucune garantie que les
domaines externes accepteront les e-mails entrants en provenance des
machines virtuelles. Si vos e-mails sont rejetés ou filtrés par les domaines
externes, vous devez contacter les fournisseurs de services de messagerie des
domaines externes pour résoudre les problèmes. Ces problèmes ne sont pas
couverts par le support Azure.
Pour les abonnements Enterprise Dev/Test, le port 25 est bloqué par défaut. Il
est possible de faire sauter ce blocage. Pour demander la suppression du
blocage, accédez à la section Impossible d’envoyer un e-mail (SMTP/Port 25)
de la page de paramètres Diagnostiquer et résoudre pour la ressource Réseau
virtuel Azure sur le portail Azure, puis exécutez le diagnostic. Cela permet
d’exempter automatiquement les abonnements qualifiés Enterprise Dev/Test.
Une fois que l’abonnement est exempté de ce blocage et que les machines
virtuelles sont arrêtées et redémarrées, toutes les machines virtuelles de cet
abonnement sont exemptées. L’exemption s’applique uniquement à
l’abonnement demandé et au trafic de machine virtuelle acheminé directement
vers Internet.
MSDN, Pass Azure, Azure dans Open, Éducation, BizSpark et Essai gratuit : Les
communications sortantes via le port 25 sont bloquées pour toutes les
ressources. Aucune demande pour retirer la restriction ne peut être faite. Elles
ne sont pas autorisées. Si vous devez envoyer des courriers électroniques
depuis votre machine virtuelle, vous devez utiliser un service de relais SMTP.
Étapes suivantes
Pour en savoir plus sur les ressources Azure pouvant être déployées dans un
réseau virtuel et auxquelles des groupes de sécurité réseau peuvent être associées,
consultez Intégration d’un réseau virtuel pour les services Azure.
Pour savoir comment le trafic est évalué avec les groupes de sécurité réseau,
consultez À propos des groupes de sécurité réseau.
Si vous n’avez jamais créé un groupe de sécurité réseau, vous pouvez suivre un
didacticiel rapide pour vous entraîner.
Si vous êtes familier avec les groupes de sécurité réseau et que vous devez en
gérer un, consultez Gérer un groupe de sécurité réseau.
Si vous rencontrez des problèmes de communication et que vous avez besoin
résoudre les problèmes de groupes de sécurité réseau, consultez Diagnostiquer un
problème de filtre de trafic réseau sur une machine virtuelle.
Découvrez comment activer les journaux de flux de groupe de sécurité réseau pour
analyser le trafic réseau vers et à partir des ressources auxquelles un groupe de
sécurité réseau est associé.
Façon dont les groupes de sécurité
réseau filtrent le trafic
Article • 07/05/2023
Vous pouvez utiliser un groupe de sécurité réseau Azure pour filtrer le trafic réseau à
destination et en provenance des ressources Azure dans un réseau virtuel Azure. Un
groupe de sécurité réseau contient des règles de sécurité qui autorisent ou rejettent le
trafic réseau entrant et sortant vers différents types de ressources Azure. Pour chaque
règle, vous pouvez spécifier la source et la destination, le port et le protocole.
Vous pouvez déployer des ressources à partir de plusieurs services Azure dans un réseau
virtuel Azure. Pour une liste complète, consultez Services pouvant être déployés dans un
réseau virtuel. Vous pouvez associer zéro ou un groupe de sécurité réseau à chaque
sous-réseau de réseau virtuel et interface réseau dans une machine virtuelle. Vous
pouvez associer le même groupe de sécurité réseau à autant d’interfaces réseau
individuelles et autant de sous-réseaux que vous le souhaitez.
L’image suivante illustre les différents scénarios de déploiement des groupes de sécurité
réseau afin d’autoriser le trafic réseau vers et à partir d’internet via le port TCP 80 :
Référez-vous à l’image précédente ainsi qu’au texte suivant pour comprendre comment
Azure traite les règles entrantes et sortantes pour les groupes de sécurité réseau :
Trafic entrant
Pour le trafic entrant, Azure traite d’abord les règles dans un groupe de sécurité réseau
associées à un sous-réseau, si elles existent, puis les règles dans un groupe de sécurité
réseau associées à l’interface réseau, si elles existent. Ce processus inclut également un
trafic intra-sous-réseau.
VM1 : les règles de la sécurité dans NSG1 sont traitées dans la mesure où elles sont
associées à Subnet1 et VM1 est dans Subnet1. À moins que vous n’ayez créé une
règle qui autorise le port 80 entrant, la règle de sécurité par défaut
DenyAllInbound refuse le trafic. Le trafic n’est pas évalué par NSG2, car il est
associé à l’interface réseau. Si NSG1 autorise le port 80 dans sa règle de sécurité,
NSG2 traite le trafic. Pour autoriser le port 80 vers la machine virtuelle, NSG1 et
NSG2 doivent disposer tous deux d’une règle autorisant l’accès au port 80 à partir
d’Internet.
VM2 : Les règles dans NSG1 sont traitées étant donné que VM2 se trouve
également dans Subnet1. Dans la mesure où VM2 ne dispose pas d’un groupe de
sécurité réseau associé à son interface réseau, elle reçoit tout le trafic autorisé via
NSG1 ou se voit refuser tout le trafic refusé par NSG1. Le trafic est soit autorisé,
soit refusé à toutes les ressources dans le même sous-réseau lorsqu’un groupe de
sécurité réseau est associé à un sous-réseau.
VM4 : Le trafic est autorisé vers VM4, car aucun groupe de sécurité réseau n’est
associé à Subnet3 ou à l’interface réseau dans la machine virtuelle. L’intégralité du
trafic réseau est autorisée via une interface réseau et un sous-réseau si aucun
groupe de sécurité réseau leur est associé.
Trafic sortant
Pour le trafic sortant, Azure traite d’abord les règles dans un groupe de sécurité réseau
associées à une interface réseau, si elles existent, puis les règles dans un groupe de
sécurité réseau associées au sous-réseau, si elles existent. Ce processus inclut également
un trafic intra-sous-réseau.
VM1 : Les règles de sécurité dans NSG2 sont traitées. La règle de sécurité par
défaut AllowInternetOutbound à la fois de NSG1 et de NSG2 autorise le trafic, sauf
si vous avez créé une règle de sécurité qui refuse le port 80 sortant vers Internet. Si
NSG2 refuse le port 80 dans sa règle de sécurité, il refuse le trafic et NSG1 ne
l’évalue jamais. Pour refuser le port 80 à partir de la machine virtuelle, l’un au
moins des groupes de sécurité réseau doit disposer d’une règle qui refuse l’accès à
Internet par le port 80.
VM2 : tout le trafic est envoyé via l’interface réseau au sous-réseau, étant donné
que l’interface réseau attachée à VM2 ne dispose pas d’un groupe de sécurité
réseau associé. Les règles dans NSG1 sont traitées.
VM3 : si NSG2 refuse le port 80 dans sa règle de sécurité, il refuse le trafic. Si NSG2
ne refuse pas le port 80, la règle de sécurité par défaut AllowInternetOutbound de
NSG2 autorise le trafic, car aucun groupe de sécurité réseau n’est associé à
Subnet2.
VM4 : L’ensemble du trafic réseau est autorisé depuis VM4, car aucun groupe de
sécurité réseau n’est associé à Subnet3 ou à l’interface réseau associée à la
machine virtuelle.
Trafic intra-sous-réseau
Il est important de noter que les règles de sécurité dans un groupe de sécurité réseau
(NSG) associé à un sous-réseau peuvent perturber la connectivité entre les machines
virtuelles (VM) qui le composent. Par défaut, les machines virtuelles du même sous-
réseau peuvent communiquer en fonction d’une règle de groupe de sécurité réseau par
défaut autorisant le trafic intra-sous-réseau. Si vous ajoutez une règle NSG1 qui refuse
tout le trafic entrant et sortant, VM1 et VM2 ne peuvent pas communiquer entre elles.
Vous pouvez facilement afficher des règles d’agrégation appliquées à une interface
réseau en consultant les règles de sécurité efficaces relatives à une interface réseau.
Vous pouvez également utiliser la fonctionnalité de vérification du flux IP dans Azure
Network Watcher pour déterminer si la communication est autorisée vers ou à partir
d’une interface réseau. Vous pouvez utiliser la vérification de flux IP pour déterminer si
une communication est autorisée ou refusée. En outre, utilisez la vérification du flux IP
pour faire apparaître l’identité de la règle de sécurité réseau responsable de
l’autorisation ou du refus du trafic.
7 Notes
Les groupes de sécurité réseau sont associés à des sous-réseaux ou à des machines
virtuelles et services cloud déployés dans le modèle de déploiement classique, et à
des sous-réseaux ou des interfaces réseau dans le modèle de déploiement
Resource Manager. Pour en savoir plus sur les modèles de déploiement Azure,
consultez l’article Déploiement Azure Resource Manager et déploiement
classique : comprendre les modèles de déploiement et l’état de vos ressources.
Conseil
Sauf si vous avez une raison particulière, nous vous recommandons d’associer un
groupe de sécurité réseau à un sous-réseau ou à une interface réseau, mais pas aux
deux. Dans la mesure où les règles d’un groupe de sécurité réseau associées à un
sous-réseau peut entrer en conflit avec des règles d’un groupe de sécurité réseau
associées à une interface réseau, vous pourrez subir des problèmes de
communication inattendus qui nécessiteront une intervention.
Étapes suivantes
Pour en savoir plus sur les ressources Azure pouvant être déployées dans un
réseau virtuel et auxquelles des groupes de sécurité réseau peuvent être associées,
consultez Intégration d’un réseau virtuel pour les services Azure.
Si vous n’avez jamais créé un groupe de sécurité réseau, vous pouvez suivre un
tutoriel rapide pour vous entraîner.
Si vous êtes familier avec les groupes de sécurité réseau et que vous devez en
gérer un, consultez Gérer un groupe de sécurité réseau.
Découvrez comment activer les journaux de flux de groupe de sécurité réseau pour
analyser le trafic réseau vers et à partir des ressources auxquelles un groupe de
sécurité réseau est associé.
Groupes de sécurité d’application
Article • 17/04/2023
Allow-HTTP-Inbound-Internet
Cette règle est nécessaire pour autoriser le trafic internet vers les serveurs web. Étant
donné que le trafic entrant à partir d’Internet est refusé par la règle de sécurité par
défaut DenyAllInbound, aucune règle supplémentaire n’est nécessaire pour les groupes
de sécurité d’application AsgLogic ou AsgDb.
Deny-Database-All
Étant donné que la règle de sécurité par défaut AllowVNetInBound autorise toutes les
communications entre les ressources dans le même réseau virtuel, cette règle est
nécessaire pour refuser le trafic à partir de toutes les ressources.
Allow-Database-BusinessLogic
Cette règle autorise le trafic du groupe de sécurité d’application AsgLogic vers le groupe
de sécurité d’application AsgDb. Cette règle est prioritaire par rapport à la règle Deny-
Database-All. Par conséquent, cette règle est traitée avant la règle Deny-Database-All,
c’est pourquoi le trafic en provenance du groupe de sécurité d’application AsgLogic est
autorisé, tandis que tout autre trafic est bloqué.
Les interfaces réseau membres du groupe de sécurité d’application appliquent les règles
qui les spécifient comme source ou destination. Les règles n’affectent pas les autres
interfaces réseau. Si l’interface réseau n’est pas membre d’un groupe de sécurité
d’application, la règle n’est pas appliquée à l’interface réseau, même si le groupe de
sécurité réseau est associé au sous-réseau.
Conseil
Pour réduire le nombre de règles de sécurité dont vous avez besoin et la nécessité
de modifier les règles, planifiez les groupes de sécurité d’application dont vous
avez besoin et créez des règles à l’aide de balises de service ou des groupes de
sécurité d’application, plutôt que des adresses IP individuelles ou des plages
d’adresses IP, chaque fois que c’est possible.
Étapes suivantes
Découvrez comment créer des groupes de sécurité réseau.
Balises de service du réseau virtuel
Article • 25/03/2023 • 16 minutes de lecture
Une balise de service représente un groupe de préfixes d’adresses IP d’un service Azure
donné. Microsoft gère les préfixes d’adresses englobés par l’étiquette de service et met à jour
automatiquement l’étiquette de service quand les adresses changent, ce qui réduit la
complexité des mises à jour fréquentes relatives aux règles de sécurité réseau.
Vous pouvez utiliser des balises de service pour définir des contrôles d'accès au réseau sur les
groupes de sécurité du réseau, Pare-feu Azure et les routes définies par l'utilisateur. Utilisez
des balises de service à la place d'adresses IP spécifiques lorsque vous créez des règles de
sécurité et des routes. En spécifiant le nom de l’étiquette de service (par exemple,
ApiManagement dans le champ Source ou Destination d’une règle, vous pouvez autoriser ou
refuser le trafic pour le service correspondant. En spécifiant le nom de la balise de service
dans le préfixe d’adresse d’une route, vous pouvez acheminer le trafic destiné à l’un des
préfixes encapsulés par la balise de service vers un type de tronçon suivant souhaité.
7 Notes
Vous pouvez utiliser des étiquettes de service pour isoler le réseau et protéger vos ressources
Azure de l’accès Internet général tout en accédant aux services Azure qui ont des points de
terminaison publics. Créez des règles de groupe de sécurité de réseau entrant/sortant pour
refuser le trafic vers/depuis Internet et autoriser le trafic vers/depuis AzureCloud ou d’autres
balises de service disponibles de services Azure spécifiques.
Balises de service disponibles
Le tableau suivant répertorie les balises de service disponibles à utiliser dans les règles
Groupes de sécurité réseau.
Par défaut, les balises de service reflètent les plages pour l’ensemble du Cloud. Certaines
balises de service permettent également d’obtenir un contrôle plus précis en limitant les
plages d’adresses IP correspondantes à une région spécifiée. Par exemple, la balise de service
Storage représente le Stockage Azure pour l’ensemble du cloud, alors que Storage.WestUS
limite la sélection aux plages d’adresses IP de stockage de la région WestUS. Le tableau
suivant indique si chaque étiquette de service prend en charge une telle étendue régionale, et
la direction indiquée pour chaque balise est une recommandation. Par exemple, l’étiquette
AzureCloud peut être utilisée pour autoriser le trafic entrant. Dans la plupart des scénarios,
nous vous déconseillons d’autoriser le trafic à partir de toutes les adresses IP Azure, car les
adresses IP utilisées par d’autres clients Azure sont incluses dans le cadre de la balise de
service.
Tag Objectif Peut-elle Peut-elle Peut-
utiliser être elle
le trafic étendue à être
entrant une zone utilisée
ou régionale ? avec le
sortant ? Pare-
feu
Azure
?
Remarque : L’adresse IP du
service de recherche n’est pas
incluse dans la liste des plages
d’adresses IP pour cette
étiquette de service et doit
également être ajoutée au
pare-feu IP des sources de
données.
AzureDeviceUpdate Device Update pour IoT Hub. Les deux Non Oui
AzureUpdateDelivery:
TCP, port 443
AzureFrontDoor.FirstParty:
TCP, port 80
7 Notes
Lorsque vous utilisez des balises de service avec le Pare-feu Azure, vous pouvez
uniquement créer des règles de destination sur le trafic entrant et sortant. Les
règles sources ne sont pas prises en charge. Pour plus d’informations, consultez la
documentation Balises de service du Pare-feu Azure .
Les balises des services Azure indiquent les préfixes d’adresse du cloud spécifique
utilisé. Par exemple, les plages IP sous-jacentes qui correspondent à la valeur de
balise Sql sur le cloud public Azure seront différentes des plages sous-jacentes sur
le cloud Azure Chine.
AzureLoadBalancer AZURE_LOADBALANCER
Internet INTERNET
VirtualNetwork VIRTUAL_NETWORK
REST
Azure PowerShell
Azure CLI
Par exemple, pour récupérer tous les préfixes de l’étiquette de service Stockage, vous pouvez
utiliser les applets de commande PowerShell suivantes :
Azure PowerShell
7 Notes
Les données d’API représentent les étiquettes qui peuvent être utilisées avec les
règles de groupe de sécurité réseau dans votre région. Utilisez les données d’API
comme source de vérité pour les étiquettes de service disponibles, car elles peuvent
être différentes du fichier téléchargeable JSON.
La propagation des nouvelles données d’étiquette de service dans les résultats de
l’API de toutes les régions Azure prend jusqu’à 4 semaines. En raison de ce
processus, les résultats de vos données d’API peuvent ne pas être synchronisés avec
le fichier JSON téléchargeable, car les données d’API représentent un sous-
ensemble des étiquettes actuellement contenues dans le fichier JSON
téléchargeable.
Vous devez être authentifié et disposer d’un rôle avec des autorisations de lecture
pour votre abonnement actuel.
Azure public
Azure US Government
Azure China 21Vianet
Azure Allemagne
Les plages d’adresses IP de ces fichiers sont en notation CIDR.
Les étiquettes AzureCloud suivantes n’ont pas de noms régionaux formatés selon le schéma
normal :
AzureCloud.centralfrance (FranceCentral)
AzureCloud.southfrance (FranceSouth)
AzureCloud.germanywc (GermanyWestCentral)
AzureCloud.germanyn (GermanyNorth)
AzureCloud.norwaye (NorwayEast)
AzureCloud.norwayw (NorwayWest)
AzureCloud.switzerlandn (SwitzerlandNorth)
AzureCloud.switzerlandw (SwitzerlandWest)
AzureCloud.usstagee (EastUSSTG)
AzureCloud.usstagec (SouthCentralUSSTG)
7 Notes
Un sous-ensemble de ces informations a été publié dans des fichiers XML pour Azure
public , Azure Chine et Azure Allemagne . Ces téléchargements XML seront
obsolètes à compter du 30 juin 2020 et ne seront plus disponibles après cette date. Vous
devez effectuer une migration à l’aide de l’API Discovery ou des téléchargements de
fichiers JSON, comme décrit dans les sections précédentes.
Conseil
Vous pouvez détecter les mises à jour d’une publication à l’autre en notant les
valeurs changeNumber augmentées dans le fichier JSON. Chaque sous-section (par
exemple, Storage.WestUS) a sa propre valeur changeNumber qui est incrémentée
au fur et à mesure que des modifications sont effectuées. Le niveau supérieur de la
valeur changeNumber du fichier est incrémenté lorsque l’une des sous-sections est
modifiée.
Pour obtenir des exemples d’analyse des informations de balise de service (par
exemple, obtenir toutes les plages d’adresses pour le stockage dans la région
WestUS), reportez-vous à la documentation relative à l’API Service Tag Discovery
PowerShell.
Cette fonctionnalité est généralement disponible pour le stockage Azure dans toutes
les régions Azure à l’échelle internationale.
Principaux avantages
Les stratégies de point de terminaison de service de réseau virtuel offrent les avantages
suivants :
Sécurité renforcée pour votre trafic de réseau virtuel vers Stockage Azure
Les étiquettes de service Azure pour les groupes de sécurité réseau vous
permettent de restreindre le trafic sortant du réseau virtuel vers des régions de
stockage Azure spécifiques. Toutefois, ce processus autorise le trafic vers n’importe
quel compte au sein de la région de stockage Azure sélectionnée.
JSON
"serviceEndpointPolicyDefinitions": [
{
"description": null,
"name": "MySEP-Definition",
"resourceGroup": "MySEPDeployment",
"service": "Microsoft.Storage",
"serviceResources": [
"/subscriptions/subscriptionID/resourceGroups/MySEPDeployment/providers/Micr
osoft.Storage/storageAccounts/mystgacc"
],
"type":
"Microsoft.Network/serviceEndpointPolicies/serviceEndpointPolicyDefinitions"
}
]
Configuration
Vous pouvez configurer les stratégies de points de terminaison pour limiter le
trafic de réseau virtuel à des comptes de stockage Azure spécifiques.
La règle des points de terminaison vous permet d’ajouter des comptes de stockage
Azure spécifiques à la liste d’autorisation à l’aide du format resourceId. Vous
pouvez restreindre l'accès à :
/subscriptions/subscriptionId/resourceGroups/resourceGroupName/providers/Mi
crosoft.Storage/storageAccounts/storageAccountName
Par défaut, si aucune stratégie n’est attachée à un sous-réseau avec des points de
terminaison, vous pouvez accéder à tous les comptes de stockage du service. Une
fois qu’une stratégie est configurée sur ce sous-réseau, seules les ressources
spécifiées dans la stratégie sont accessibles à partir d’instances de calcul dans ce
sous-réseau. L’accès à tous les autres comptes de stockage est refusé.
Seuls les comptes de stockage utilisant le modèle de ressource Azure peuvent être
spécifiés dans la stratégie de point de terminaison. Les comptes de stockage Azure
classiques ne prennent pas en charge les stratégies de points de terminaison de
service Azure.
Scénarios
Réseaux virtuels appairés, connectés ou multiples : Pour filtrer le trafic dans des
réseaux virtuels appairés, les stratégies de point de terminaison doivent leur être
appliquées individuellement.
Filtrage du trafic sur les services Azure déployés dans les réseaux virtuels : pour
l'instant, les stratégies de points de terminaison du service Azure ne sont pas prises
en charge pour les services Azure gérés qui sont déployés dans votre réseau
virtuel.
Filtrage du trafic local vers les services Azure : Les stratégies de point de
terminaison de service s’appliquent uniquement au trafic en provenance des sous-
réseaux associés aux stratégies. Pour autoriser l’accès à des ressources de service
Azure spécifiques en local, le trafic doit être filtré à l’aide d’appliances de réseau
virtuel ou de pare-feu.
Journalisation et résolution des problèmes
Aucun enregistrement centralisé n’est disponible pour les stratégies de point de
terminaison de service. Pour les journaux de ressources de service, consultez
Journalisation des points de terminaison de service.
Avec la mise à niveau du stockage Azure pour utiliser des balises de service
global, l’étendue du point de terminaison de service et, par conséquent, les
stratégies de points de terminaison de service sont désormais globales. Ainsi,
tout le trafic vers le stockage Azure est chiffré sur les points de terminaison de
service et l’accès est autorisé uniquement aux comptes de stockage qui sont
explicitement listés dans la stratégie.
L’accès est refusé aux comptes répertoriés dans les stratégies de point de
terminaison
Vérifiez que le service Azure est configuré pour autoriser l’accès à partir du
réseau virtuel sur les points de terminaison, ou que la stratégie par défaut
pour la ressource est définie sur Allow All (Tout autoriser).
Vérifiez que les diagnostics de service affichent le trafic sur les points de
terminaison.
Vérifiez que le stockage Azure est configuré pour autoriser l’accès à partir du
réseau virtuel sur les points de terminaison, ou que la stratégie par défaut pour
la ressource est définie sur Allow All (Tout autoriser).
Vérifiez que les comptes ne sont pas des comptes de stockage classiques avec
les stratégies de points de terminaison de service sur le sous-réseau.
Approvisionnement
Un utilisateur avec accès en écriture à un réseau virtuel configure les stratégies de point
de terminaison de service sur les sous-réseaux. En savoir plus sur les rôles intégrés Azure
et l’assignation d’autorisations spécifiques aux rôles personnalisés.
Les réseaux virtuels et les comptes de stockage Azure peuvent se trouver dans des
abonnements identiques ou différents, ou dans des locataires Azure Active Directory.
Limites
Vous pouvez uniquement déployer des stratégies de point de terminaison de
service sur des réseaux virtuels déployés à l’aide du modèle de déploiement Azure
Resource Manager.
Les réseaux virtuels doivent se trouver dans la même région que la stratégie de
point de terminaison de service.
Vous pouvez uniquement appliquer la stratégie de point de terminaison de service
sur un sous-réseau si les points de terminaison de service sont configurés pour les
services Azure répertoriés dans la stratégie.
Vous ne pouvez pas utiliser les stratégies de points de terminaison de service pour
le trafic allant de votre réseau local aux services Azure.
Les services gérés Azure autres qu’Azure SQL Managed Instance ne prennent
actuellement pas en charge les stratégies de points de terminaison. Cette limite
concerne les services gérés déployés dans des sous-réseaux partagés (tels que
Azure Batch, Azure AD DS, Azure Application Gateway, la passerelle VPN Azure, le
pare-feu Firewall) ou dans des sous-réseaux dédiés (tels que Azure App Service
Environment, Azure Cache pour Redis, Azure API Management, les services gérés
classiques).
2 Avertissement
Les services Azure déployés dans votre réseau virtuel, comme Azure HDInsight,
accèdent aux autres services Azure, comme Stockage Azure, pour les besoins de
l’infrastructure. La restriction de stratégie de point de terminaison à des ressources
spécifiques peut bloquer l’accès à ces ressources d’infrastructure pour les services
Azure déployés dans votre réseau virtuel.
Les comptes de stockage classiques ne sont pas pris en charge dans les stratégies
de points de terminaison. Par défaut, les stratégies refusent l’accès à tous les
comptes de stockage classiques. Si votre application doit accéder à Azure Resource
Manager et à des comptes de stockage classiques, les stratégies de points de
terminaison ne doivent pas être utilisées pour ce trafic.
Tarification et limites
L’utilisation des points de terminaison de service n’engendre pas de frais
supplémentaires. Le modèle de tarification actuel pour les services Azure (comme
Stockage Azure) reste le même que celui utilisé actuellement, sur les points de
terminaison de service.
Les limites suivantes sont appliquées sur les stratégies de point de terminaison de
service :
ServiceEndpointPoliciesPerSubscription 500
ServiceEndpointPoliciesPerSubnet 100
ServiceEndpointPoliciesPerVirtualNetwork 100
ServiceResourcesPerServiceEndpointPolicyDefinition 200
Étapes suivantes
Découvrez comment configurer des stratégies de point de terminaison de service
de réseau virtuel
Les stratégies réseau permettent une micro-segmentation des pods tout comme les
groupes de sécurité réseau (NSG) fournissent une micro-segmentation des machines
virtuelles. L’implémentation du Gestionnaire de stratégies réseau Azure prend en charge la
spécification d’une stratégie réseau Kubernetes standard. Vous pouvez utiliser des
étiquettes pour sélectionner un groupe de pods et définir une liste de règles d’entrée et
de sortie pour filtrer le trafic vers et depuis ces pods. Découvrez plus en détail les
stratégies réseau Kubernetes dans la documentation Kubernetes .
L’implémentation de la gestion des stratégies réseau Azure fonctionne avec Azure CNI qui
fournit l’intégration de réseau virtuel pour les conteneurs. Le Gestionnaire de stratégies
réseau est pris en charge sur Linux et Windows Server. L’implémentation applique le
filtrage du trafic en configurant des règles d’autorisation et de refus d’IP basées sur les
stratégies définies dans les IPTables Linux ou les ACLPolicies du service de réseau hôte
(HNS) pour Windows Server.
Pour plus d’informations, consultez Sécuriser le trafic entre les pods avec des stratégies
réseau dans Azure Kubernetes Service (AKS).
Une fois le cluster déployé, exécutez la commande suivante kubectl pour télécharger et
appliquer le daemon set du Gestionnaire de stratégies réseau Azure au cluster.
Pour Linux :
Pour Windows :
La solution est également open source et le code est disponible dans le dépôt Azure
Container Networking .
Monitorer et visualiser les configurations réseau
avec Azure NPM
Le Gestionnaire de stratégies réseau Azure comprend des métriques Prometheus
informatives qui vous permettent de monitorer et de mieux comprendre vos
configurations. Il fournit des visualisations intégrées dans le portail Azure ou les
laboratoires Grafana. Vous pouvez commencer à collecter ces métriques en utilisant Azure
Monitor ou un serveur Prometheus.
3. Obtenez le nom convivial d’un ipset dans une règle IPTables donnée (par exemple,
azure-npm-487392 représente podlabel-role:database ).
Les métriques peuvent être scrapées via Azure Monitor pour conteneurs ou via
Prometheus.
ConfigMap Azure Monitor pour conteneurs a une section integrations avec des
paramètres permettant de collecter les métriques du Gestionnaire de stratégies réseau.
Ces paramètres sont désactivés par défaut dans l’objet ConfigMap. Activez le paramètre
de base collect_basic_metrics = true pour collecter les métriques de base du
Gestionnaire de stratégies réseau. Activez le paramètre avancé collect_advanced_metrics
= true pour collecter les métriques avancées en plus des métriques de base.
L’extrait de code suivant est tiré du ConfigMap Azure Monitor pour conteneurs et
montre l’intégration du Gestionnaire de stratégies réseau activée avec la collecte des
métriques avancées.
integrations: |-
[integrations.azure_network_policy_manager]
collect_basic_metrics = false
collect_advanced_metrics = true
En savoir plus sur les paramètres de collecte Azure Monitor pour conteneurs dans
ConfigMap.
En plus de voir le workbook, vous pouvez également interroger directement les métriques
Prometheus dans « Journaux » sous la section Insights. Par exemple, cette requête renvoie
toutes les métriques collectées.
query
Vous pouvez également interroger directement les métriques dans Log Analytics. Pour
plus d’informations, consultez Bien démarrer avec les requêtes Log Analytics.
Consultation dans le tableau de bord Grafana
Configurez votre serveur Grafana et configurez une source de données Log Analytics
comme décrit ici . Ensuite, importez le tableau de bord Grafana avec un serveur principal
Log Analytics dans vos laboratoires Grafana.
Le tableau de bord comporte des objets visuels similaires à ceux du classeur Azure. Vous
pouvez ajouter des panneaux au graphique et visualiser les métriques du Gestionnaire de
stratégies réseau à partir du tableau InsightsMetrics.
Pour installer un serveur Prometheus, ajoutez ce dépôt Helm sur votre cluster :
où prometheus-server-scrape-config.yaml se compose de :
- job_name: "azure-npm-node-metrics"
metrics_path: /node-metrics
kubernetes_sd_configs:
- role: node
relabel_configs:
- source_labels: [__address__]
action: replace
regex: ([^:]+)(?::\d+)?
replacement: "$1:10091"
target_label: __address__
- job_name: "azure-npm-cluster-metrics"
metrics_path: /cluster-metrics
kubernetes_sd_configs:
- role: service
relabel_configs:
- source_labels: [__meta_kubernetes_namespace]
regex: kube-system
action: keep
- source_labels: [__meta_kubernetes_service_name]
regex: npm-metrics-cluster-service
action: keep
# Comment from here to the end to collect advanced metrics: number of entries
for each IPSet
metric_relabel_configs:
- source_labels: [__name__]
regex: npm_ipset_counts
action: drop
- job_name: "azure-npm-node-metrics-from-pod-config"
metrics_path: /node-metrics
kubernetes_sd_configs:
- role: pod
relabel_configs:
- source_labels: [__meta_kubernetes_namespace]
regex: kube-system
action: keep
- source_labels: [__meta_kubernetes_pod_annotationpresent_azure_Network
Policy Manager_scrapeable]
action: keep
- source_labels: [__address__]
action: replace
regex: ([^:]+)(?::\d+)?
replacement: "$1:10091"
target_label: __address__
groups:
- name: npm.rules
rules:
# fire when Network Policy Manager has a new failure with an OS call or when
translating a Network Policy (suppose there's a scraping interval of 5m)
- alert: AzureNetwork Policy ManagerFailureCreatePolicy
# this expression says to grab the current count minus the count 5 minutes
ago, or grab the current count if there was no data 5 minutes ago
expr: (npm_add_policy_exec_time_count{had_error='true'} -
(npm_add_policy_exec_time_count{had_error='true'} offset 5m)) or
npm_add_policy_exec_time_count{had_error='true'}
labels:
severity: warning
addon: azure-npm
annotations:
summary: "Azure Network Policy Manager failed to handle a policy create
event"
description: "Current failure count since Network Policy Manager
started: {{ $value }}"
# fire when the median time to apply changes for a pod create event is more
than 100 milliseconds.
- alert: AzurenpmHighControllerPodCreateTimeMedian
expr: topk(1,
npm_controller_pod_exec_time{operation="create",quantile="0.5",had_error="fals
e"}) > 100.0
labels:
severity: warning
addon: azure-Network Policy Manager
annotations:
summary: "Azure Network Policy Manager controller pod create time median
> 100.0 ms"
# could have a simpler description like the one for the alert above,
# but this description includes the number of pod creates that were
handled in the past 10 minutes,
# which is the retention period for observations when calculating
quantiles for a Prometheus Summary metric
description: "value: [{{ $value }}] and observation count: [{{ printf
`(npm_controller_pod_exec_time_count{operation='create',pod='%s',had_error='fa
lse'} -
(npm_controller_pod_exec_time_count{operation='create',pod='%s',had_error='fal
se'} offset 10m)) or
npm_controller_pod_exec_time_count{operation='create',pod='%s',had_error='fals
e'}` $labels.pod $labels.pod $labels.pod | query | first | value }}] for pod:
[{{ $labels.pod }}]"
Si vous ne l’avez pas déjà fait, configurez votre serveur Grafana et configurez une source
de données Prometheus. Ensuite, importez notre tableau de bord Grafana avec un serveur
principal Prometheus dans vos laboratoires Grafana.
Les visuels de ce tableau de bord sont identiques à ceux du tableau de bord avec un
back-end Container Insights/Log Analytics.
Nombre de récapitulatifs CI
Entrées IPSet CI
Quantiles du runtime CI
Étapes suivantes
Découvrez en détail Azure Kubernetes Service.
Les attaques par déni de service distribué (DDoS) représentent certains des problèmes
de disponibilité et de sécurité majeurs auxquels sont confrontés les clients qui déplacent
leurs applications vers le cloud. Une attaque DDoS tente d’épuiser les ressources d’une
application afin de la rendre indisponible aux utilisateurs légitimes. Les attaques DDoS
peuvent être ciblées sur n’importe quel point de terminaison qui est publiquement
accessible via Internet.
Principaux avantages
SKU
Azure DDoS Protection est proposé dans deux références SKU disponibles, la Protection
IP DDoS (préversion) et la Protection réseau DDoS. Pour plus d’informations sur les
références SKU, consultez Comparaison des références SKU.
Alertes d’attaque
Vous pouvez configurer des alertes pour le début et la fin d’une attaque, ainsi que
pendant qu’elle se produit, avec des métriques d’attaque intégrées. Les alertes
s’intègrent à vos logiciels opérationnels, comme les journaux d’activité Microsoft Azure
Monitor, Splunk, Stockage Azure, votre messagerie électronique et le portail Azure. Pour
en savoir plus, consultez Afficher et configurer les alertes de protection DDoS.
Tarifs
Pour la Protection réseau DDoS, sous un locataire, un même plan de protection DDoS
peut être utilisé sur plusieurs abonnements. Il n’est donc pas nécessaire de créer
plusieurs plans de protection DDoS. Pour la Protection IP DDoS, il n’est pas nécessaire
de créer un plan de protection DDoS. Les clients peuvent activer la protection IP DDoS
sur n’importe quelle ressource IP publique.
Pour en savoir plus sur la tarification d’Azure DDoS Protection, consultez Tarification
d’Azure DDoS Protection .
Étapes suivantes
Démarrage rapide : Créer un plan de protection DDoS
Module Learn : Présentation d’Azure DDoS Protection
Ressources supplémentaires
Documentation
Afficher 5 de plus
Entrainement
Module
Présentation de Azure DDoS Protection - Training
Découvrez comment protéger vos services Azure contre une attaque par déni de service avec Azure
DDoS Protection.
TAP de réseau virtuel
Article • 10/04/2023
) Important
La préversion du TAP de réseau virtuel est actuellement en attente dans toutes les
régions Azure. Vous pouvez nous envoyer un e-mail à l’adresse
azurevnettap@microsoft.com avec votre ID d’abonnement et nous vous
informerons des futures mises à jour concernant la préversion. En attendant, vous
pouvez utiliser des solutions NVA ou basées sur agent qui fournissent des
fonctionnalités de visibilité du TAP/réseau via nos solutions de partenaire Packet
Broker disponibles dans les offres de la Place de marché Azure .
Le TAP (point d’accès terminal) de réseau virtuel Azure vous permet de diffuser en
continu votre trafic réseau de machine virtuelle vers un collecteur de paquets réseau ou
un outil analytique. Le collecteur ou l’outil analytique est fourni par une appliance
virtuelle réseau partenaire. Pour obtenir la liste des solutions de partenaires qui
fonctionnent avec un TAP de réseau virtuel, consultez les solutions de partenaires.
Vous pouvez utiliser la même ressource TAP de réseau virtuel pour agréger le trafic de
plusieurs interfaces réseau dans le même abonnement ou des abonnements différents.
Si les interfaces réseau supervisées sont dans des abonnements différents, les
abonnements doivent être associés au même locataire Azure Active Directory. Par
ailleurs, les interfaces réseau supervisées et le point de terminaison de destination pour
l’agrégation du trafic TAP peuvent être dans des réseaux virtuels appairés dans la même
région. Si vous utilisez ce modèle de déploiement, vérifiez que le appairage de réseaux
virtuels est activé avant de configurer le TAP de réseau virtuel.
Autorisations
Les comptes que vous utilisez pour appliquer une configuration TAP sur des interfaces
réseau doivent être attribués au rôle contributeur de réseaux ou à un rôle personnalisé
avec les autorisations appropriées listées dans le tableau suivant :
Action Nom
Ixia CloudLens
Nubeva Prisms
Darktrace
ExtraHop Reveal(x)
Fidelis Cybersecurity
Flowmon
NetFort LANGuardian
NetScout vSTREAM
Noname Security
Vectra Cognito
Étapes suivantes
Découvrez comment créer un TAP de réseau virtuel.
Contrôles de conformité réglementaire
d’Azure Policy pour les réseaux virtuels
Azure
Article • 01/06/2023
) Important
Chaque contrôle est associé à une ou plusieurs définitions Azure Policy. Ces stratégies
peuvent vous aider à évaluer la conformité avec le contrôle. Toutefois, il n’existe pas
souvent de correspondance un-à-un ou parfaite entre un contrôle et une ou plusieurs
stratégies. En tant que tel, Conforme dans Azure Policy fait seulement référence aux
stratégies elles-même. Cela ne garantit pas que vous êtes entièrement conforme à
toutes les exigences d’un contrôle. En outre, la norme de conformité comprend des
contrôles qui ne sont traités par aucune définition Azure Policy pour l’instant. Par
conséquent, la conformité dans Azure Policy n’est qu’une vue partielle de l’état de
conformité global. Les associations entre les contrôles et les définitions de conformité
réglementaire Azure Policy pour ces normes de conformité peuvent changer au fil du
temps.
Pour passer en revue la façon dont les composants intégrés Azure Policy disponibles pour
tous les services Azure sont mappés à ce standard de conformité, consultez Conformité
réglementaire Azure Policy - Benchmark de sécurité Azure.
Sécurité NS-1 Établir des limites de les sous-réseaux doivent être associés 3.0.0
réseau segmentation réseau à un groupe de sécurité réseau
Sécurité NS-5 Déployer la protection Azure DDoS Protection Standard doit 3.0.0
réseau DDOS être activé
Sécurité NS-6 Déployer le pare-feu Azure Web Application Firewall doit 1.0.2
réseau d’applications web être activé pour les points d’entrée
Azure Front Door
Réponse IR-4 Détection et analyse – Network Watcher doit être activé 3.0.0
aux enquêter sur un
incidents incident
Azure Security Benchmark v1
Le benchmark de sécurité Azure fournit des recommandations sur la façon dont vous
pouvez sécuriser vos solutions cloud sur Azure. Pour voir comment ce service est
entièrement mappé au benchmark de sécurité Azure, consultez les fichiers de mappage du
benchmark de sécurité Azure .
Pour passer en revue la façon dont les composants intégrés Azure Policy disponibles pour
tous les services Azure sont mappés à ce standard de conformité, consultez Conformité
réglementaire Azure Policy - Benchmark de sécurité Azure.
Sécurité 1.1 Protéger les ressources à l'aide de les sous-réseaux doivent être 3.0.0
réseau groupes de sécurité réseau ou du associés à un groupe de
Pare-feu Azure sur votre réseau sécurité réseau
virtuel
Sécurité 1.1 Protéger les ressources à l'aide de Les machines virtuelles 1.0.0
réseau groupes de sécurité réseau ou du doivent être connectées à un
Pare-feu Azure sur votre réseau réseau virtuel approuvé
virtuel
Sécurité 1.1 Protéger les ressources à l'aide de Les réseaux virtuels doivent 1.0.0
réseau groupes de sécurité réseau ou du utiliser la passerelle de
Pare-feu Azure sur votre réseau réseau virtuel spécifiée
virtuel
Sécurité 1.5 Consigner les paquets réseau et Network Watcher doit être 3.0.0
réseau les journaux de flux activé
6 Mise recommandation Vérifier que Network Watcher est Network Watcher 3.0.0
en du CIS Microsoft défini sur « Enabled » doit être activé
réseau Azure
Foundations
Benchmark 6.5
CIS Microsoft Azure Foundations
Benchmark 1.3.0
Pour voir comment les composants intégrés Azure Policy disponibles pour tous les services
Azure correspondent à ce standard de conformité, consultez Conformité réglementaire
Azure Policy – CIS Microsoft Azure Foundations Benchmark 1.3.0. Pour plus d’informations
sur cette norme de conformité, consultez CIS Microsoft Azure Foundations Benchmark .
CMMC niveau 3
Pour voir comment les composants intégrés Azure Policy de tous les services Azure
répondent à ce standard de conformité, consultez Conformité réglementaire Azure Policy –
CMMC niveau 3. Pour plus d’informations sur ce standard de conformité, consultez
Cybersecurity Maturity Model Certification (CMMC) .
Domain ID du Titre du contrôle Policy Version
contrôle (Portail Azure) de la
stratégie
(GitHub)
Contrôle d’accès AC.2.013 Superviser et contrôler les sessions Network Watcher 3.0.0
d’accès à distance. doit être activé
Réponse aux IR.2.093 Détecter et signaler des événements. Azure Web 1.0.2
incidents Application
Firewall doit être
activé pour les
points d’entrée
Azure Front
Door
Réponse aux IR.2.093 Détecter et signaler des événements. Les journaux de 1.1.0
incidents flux doivent être
configurés pour
chaque groupe
de sécurité
réseau
Contrôle d’accès AC-4 Application du flux les sous-réseaux doivent être 3.0.0
d’informations associés à un groupe de sécurité
réseau
Audit et AU-6 (4) Évaluation et analyse Network Watcher doit être 3.0.0
responsabilité centralisées activé
Audit et AU-12 Piste d’audit corrélée Network Watcher doit être 3.0.0
responsabilité (1) au temps/à l’échelle activé
du système
Protection du SC-7 (3) Points d’accès Azure Web Application Firewall 1.0.2
système et des doit être activé pour les points
communications d’entrée Azure Front Door
Protection du SC-7 (3) Points d’accès les sous-réseaux doivent être 3.0.0
système et des associés à un groupe de sécurité
communications réseau
Contrôle d’accès AC-4 Application du les sous-réseaux doivent être associés 3.0.0
flux à un groupe de sécurité réseau
d’informations
Protection du SC-7 (3) Points d’accès Azure Web Application Firewall doit 1.0.2
système et des être activé pour les points d’entrée
communications Azure Front Door
Protection du SC-7 (3) Points d’accès les sous-réseaux doivent être associés 3.0.0
système et des à un groupe de sécurité réseau
communications
Protection du SC-7 (3) Points d’accès Le pare-feu d’applications web (WAF) 2.0.0
système et des doit être activé pour Application
communications Gateway
Domain ID du Titre du Policy Version
contrôle contrôle (Portail Azure) de la
stratégie
(GitHub)
Sécurité NS-5 18.3.19 Contenu d’un plan Azure DDoS Protection Standard 3.0.0
du réseau de réponse aux attaques doit être activé
par déni de service (DoS)
Sécurité NS-7 18.4.8 IDS/IPS sur les Le pare-feu d’applications web 2.0.0
du réseau passerelles (WAF) doit être activé pour
Application Gateway
Sécurité NS-7 18.4.8 IDS/IPS sur les Le pare-feu d’applications web 1.0.0
du réseau passerelles (WAF) doit utiliser le mode spécifié
pour Application Gateway
Sécurité NS-7 18.4.8 IDS/IPS sur les Le pare-feu d’applications web 1.0.0
du réseau passerelles (WAF) doit utiliser le mode spécifié
pour Azure Front Door Service
Sécurité GS-3 19.1.12 Configuration des les sous-réseaux doivent être 3.0.0
de passerelles associés à un groupe de sécurité
passerelle réseau
Contrôle d’accès AC-4 Application du flux les sous-réseaux doivent être 3.0.0
d’informations associés à un groupe de sécurité
réseau
Audit et AU-6 (5) Analyse intégrée des Network Watcher doit être 3.0.0
responsabilité enregistrements activé
d’audit
Protection du SC-7 (3) Points d’accès Azure Web Application Firewall 1.0.2
système et des doit être activé pour les points
communications d’entrée Azure Front Door
Protection du SC-7 (3) Points d’accès les sous-réseaux doivent être 3.0.0
système et des associés à un groupe de sécurité
communications réseau
Sécurité Point de 18.3.19 Contenu d’un Azure DDoS Protection Standard 3.0.0
du réseau référence de plan de réponse aux doit être activé
la sécurité attaques par déni de
NZISM NS-5 service (DoS)
Sécurité Point de 18.4.8 IDS/IPS sur les Azure Web Application Firewall 1.0.2
du réseau référence de passerelles doit être activé pour les points
la sécurité d’entrée Azure Front Door
NZISM NS-8
Sécurité Point de 18.4.8 IDS/IPS sur les Le pare-feu d’applications web 2.0.0
du réseau référence de passerelles (WAF) doit être activé pour
la sécurité Application Gateway
NZISM NS-8
Sécurité Point de 18.4.8 IDS/IPS sur les Le pare-feu d’applications web 1.0.0
du réseau référence de passerelles (WAF) doit utiliser le mode
la sécurité spécifié pour Application
NZISM NS-8 Gateway
Sécurité Point de 18.4.8 IDS/IPS sur les Le pare-feu d’applications web 1.0.0
du réseau référence de passerelles (WAF) doit utiliser le mode
la sécurité spécifié pour Azure Front Door
NZISM NS-8 Service
Audit IS Infrastructure Stratégie pour Les journaux de flux doivent être 1.1.0
informatique l’audit du système configurés pour chaque groupe
RBI 5 d’information (audit de sécurité réseau
IS)-5
Audit IS Infrastructure Stratégie pour Les journaux de flux doivent être 1.0.0
informatique l’audit du système activés pour chaque groupe de
RBI 5 d’information (audit sécurité réseau
IS)-5
Gestion et sécurité Inventaire réseau- Traffic Analytics doit être activé 1.0.0
du réseau 4.2 pour les journaux de flux
Network Watcher
Domain ID du Titre du contrôle Policy Version
contrôle (Portail Azure) de la
stratégie
(GitHub)
RMIT Malaysia
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services
Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure
Policy – RMIT Malaysia. Pour plus d’informations sur cette norme de conformité, consultez
RMIT Malaysia .
Résilience RMiT 10.33 Résilience réseau Les passerelles VPN Azure ne doivent 1.0.0
réseau - 10.33 pas utiliser la référence SKU « de
base »
Résilience RMiT 10.33 Résilience réseau Les journaux de flux doivent être 1.1.0
réseau - 10.33 configurés pour chaque groupe de
sécurité réseau
Résilience RMiT 10.33 Résilience réseau Les journaux de flux doivent être activés 1.0.0
réseau - 10.33 pour chaque groupe de sécurité
réseau
Résilience RMiT 10.33 Résilience réseau les sous-réseaux doivent être associés à 3.0.0
réseau - 10.33 un groupe de sécurité réseau
Domain ID du Titre du Policy Version
contrôle contrôle (Portail Azure) de la
stratégie
(GitHub)
Résilience RMiT 10.33 Résilience réseau Les machines virtuelles doivent être 1.0.0
réseau - 10.33 connectées à un réseau virtuel
approuvé
Résilience RMiT 10.33 Résilience réseau Les réseaux virtuels doivent utiliser la 1.0.0
réseau - 10.33 passerelle de réseau virtuel spécifiée
Résilience RMiT 10.35 Résilience réseau Network Watcher doit être activé 3.0.0
réseau - 10.35
Résilience RMiT 10.39 Résilience réseau Une stratégie IPsec/IKE personnalisée 1.0.0
réseau - 10.39 doit être appliquée à toutes les
connexions de passerelle de réseau
virtuel Azure
Déni de RMiT 11.13 Attaque par déni Azure Web Application Firewall doit 1.0.2
service de service être activé pour les points d’entrée
distribué distribué (DDoS) Azure Front Door
(DDoS) - 11.13
Centre des RMiT 11.18 Centre des Azure DDoS Protection Standard doit 3.0.0
opérations opérations de être activé
de sécurité sécurité (SOC) -
(SOC) 11.18
Centre des RMiT 11.18 Centre des Azure DDoS Protection Standard doit 3.0.0
opérations opérations de être activé
de sécurité sécurité (SOC) -
(SOC) 11.18
Mesures de RMiT Mesures de Les journaux de flux doivent être activés 1.0.0
contrôle de Annexe 5.7 contrôle de la pour chaque groupe de sécurité
la cybersécurité - réseau
cybersécurité Annexe 5.7
UK OFFICIAL et UK NHS
Pour voir comment les composants intégrés Azure Policy disponibles de tous les services
Azure répondent à cette norme de conformité, consultez Conformité réglementaire Azure
Policy – UK OFFICIAL et UK NHS. Pour plus d’informations sur cette norme de conformité,
consultez UK OFFICIAL .
Étapes suivantes
Apprenez-en davantage sur la Conformité réglementaire d’Azure Policy.
Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub .
Extension de sous-réseau
Article • 06/04/2023
La migration des charges de travail vers le cloud public requiert une planification et une
coordination rigoureuses. L’une des principales considérations à prendre en compte est
la possibilité de conserver vos adresses IP. Ce qui peut être important surtout si vos
applications ont une dépendance d’adresse IP ou si vous avez des exigences de
conformité pour utiliser des adresses IP spécifiques. Le réseau virtuel Azure résout ce
problème pour vous en vous permettant de créer des réseaux virtuels et des sous-
réseaux avec une plage d’adresses IP de votre choix.
Les migrations peuvent être délicates lorsque la condition requise ci-dessus est couplée
à une exigence supplémentaire pour conserver certaines applications localement. Dans
ce type de situation, vous devez fractionner les applications entre Azure et en local, sans
renuméroter les adresses IP de chaque côté. En outre, vous devez autoriser les
applications à communiquer comme si elles se trouvaient sur le même réseau.
Bien que l’extension de votre réseau ne soit généralement pas une bonne pratique, les
cas d’usage suivants peuvent être nécessaires.
Latence : Les exigences de faible latence peuvent être une autre raison pour
laquelle vous souhaitez conserver certaines applications localement, afin de vous
assurer qu’elles sont aussi proches que possible de votre centre de données.
Conformité : Dans un autre cas d’utilisation, vous pouvez avoir des exigences de
conformité et souhaiter conserver certaines de vos applications localement.
7 Notes
Vous ne devez pas étendre vos sous-réseaux, sauf si cela est nécessaire. Dans les
cas où vous étendez vos sous-réseaux, vous devez essayer d’en faire une étape
intermédiaire. Avec le temps, vous devez essayer de renuméroter les applications
sur votre réseau local et de les migrer vers Azure.
Dans la section suivante, nous allons aborder la façon dont vous pouvez étendre vos
sous-réseaux dans Azure.
Les adresses IP du sous-réseau sont attribuées aux machines virtuelles sur Azure et en
local. La solution Azure et la solution locale ont une appliance virtuelle réseau insérée
dans leurs réseaux. Quand une machine virtuelle dans Azure tente de communiquer
avec une machine virtuelle dans un réseau local, l’appliance virtuelle réseau Azure
capture le paquet, l’encapsule et l’envoie via un routage VPN/Express vers le réseau
local. L’appliance virtuelle réseau locale reçoit le paquet, le désencapsule et le transmet
au destinataire prévu dans son réseau. Le trafic de retour utilise un chemin d’accès et
une logique similaires.
Dans l’exemple ci-dessus, l’appliance virtuelle réseau Azure et l’appliance virtuelle réseau
locale communiquent et apprennent les adresses IP les unes après les autres. Des
réseaux plus complexes peuvent également avoir un service de mappage, qui gère le
mappage entre les appliances virtuelles réseau et les adresses IP qui se trouvent derrière
elles. Lorsqu’une appliance virtuelle réseau reçoit un paquet, elle interroge le service de
mappage pour connaître l’adresse de l’appliance virtuelle réseau qui possède l’adresse
IP de destination en arrière-plan.
Dans la section suivante, vous trouverez des informations sur les solutions d’extension
de sous-réseau que nous avons testées sur Azure.
Étapes suivantes
Étendez vos sous-réseaux locaux dans Azure à l’aide du réseau étendu Azure.
Qu’est-ce que la délégation de sous-
réseau ?
Article • 15/05/2023
Cela permet aux services injectés de mieux intégrer le réseau virtuel en définissant
les conditions préalables aux déploiements sous la forme de stratégies d’intention
de réseau. Cette stratégie garantit que toutes les actions susceptibles d’affecter le
fonctionnement du service injecté peuvent être bloquées au moment de
l’opération PUT.
Qui peut déléguer ?
La délégation de sous-réseau est un exercice que les propriétaires de réseau virtuel
doivent effectuer pour désigner un des sous-réseaux pour un service Azure spécifique.
Le service Azure déploie ensuite les instances dans ce sous-réseau à des fins de
consommation par les charges de travail des clients.
Il exige que la configuration DNS personnalisée dispose d’une entrée Azure DNS.
Il ne peut pas être utilisé avec un point de terminaison privé si le sous-réseau est
délégué.
Les services injectés peuvent également ajouter leurs propres stratégies comme suit :
Stratégies de sécurité : Collection de règles de sécurité requises pour le
fonctionnement d’un service donné.
Les services Azure peuvent injecter des instances dans les sous-réseaux des clients,
mais ils ne peuvent pas affecter les charges de travail existantes.
Les stratégies ou itinéraires que ces services appliquent sont flexibles et peuvent
être remplacés par le client.
Étapes suivantes
Déléguer un sous-réseau
Réseaux virtuels et machines virtuelles
dans Azure
Article • 25/05/2023
Lorsque vous créez une machine virtuelle Azure, vous créez un réseau virtuel ou en
utilisez un existant. Déterminez la façon dont vos machines virtuelles doivent être
accessibles sur le réseau virtuel. Il est essentiel de planifier les choses avant de créer des
ressources et de vous assurer que vous connaissez les limites des ressources réseau.
Dans l’illustration suivante, les machines virtuelles sont représentées en tant que
serveurs web et serveurs d’applications. Chaque ensemble de machines virtuelles est
affecté à des sous-réseaux distincts dans le réseau virtuel.
Vous pouvez créer un réseau virtuel avant de créer une machine virtuelle, ou vous
pouvez créer le réseau virtuel lors de la création d’une machine virtuelle.
Vous créez ces ressources pour prendre en charge la communication avec une machine
virtuelle :
Interfaces réseau
Adresses IP
Équilibreurs de charge
Interfaces réseau
Une carte d’interface réseau (NIC) est l’interconnexion entre une machine virtuelle et un
réseau virtuel. Une machine virtuelle doit posséder au moins une carte d’interface
réseau. Une machine virtuelle peut avoir plusieurs cartes d’interface réseau, en fonction
de la taille de la machine virtuelle que vous créez. Pour en savoir plus sur le nombre de
cartes réseau prises en charge par chaque taille de machine virtuelle, consultez tailles de
machine virtuelle.
Vous pouvez créer une machine virtuelle avec plusieurs cartes réseau et ajouter ou
supprimer des cartes réseau tout au long du cycle de vie d’une machine virtuelle.
Plusieurs cartes réseau permettent à une machine virtuelle de se connecter à différents
sous-réseaux.
Chaque carte d’interface réseau attachée à une machine virtuelle doit se trouver dans le
même emplacement et abonnement que la machine virtuelle. Chaque carte d’interface
réseau doit être connectée à un réseau virtuel existant dans les mêmes emplacement et
abonnement Azure que la carte d’interface réseau. Vous pouvez modifier le sous-réseau
auquel la carte réseau est connectée après sa création. Vous ne pouvez pas modifier le
réseau virtuel. Chaque carte d’interface réseau attachée à une machine virtuelle est
attribuée à une adresse MAC qui ne change pas jusqu’à ce que la machine virtuelle soit
supprimée.
Ce tableau répertorie les méthodes que vous pouvez utiliser pour créer une interface
réseau.
Méthode Description
Azure Lorsque vous créez une machine virtuelle dans le Portail Azure, une interface réseau
portal est automatiquement créée pour vous. Le portail crée une machine virtuelle avec
une seule carte d’interface réseau. Si vous souhaitez créer une machine virtuelle avec
plusieurs cartes d’interface réseau, vous devez la créer en suivant une autre
méthode.
Azure CLI Pour fournir l’identificateur de l’adresse IP publique que vous avez créée
précédemment, utilisez az network nic create avec le paramètre --public-ip-
address .
Modèle Pour plus d’informations sur le déploiement d’une interface réseau à l’aide d’un
modèle, consultez Interface de réseau dans un Réseau virtuel avec une Adresse IP
publique .
Adresses IP
Vous pouvez attribuer ces types d’adresses IP à une interface réseau dans Azure :
Machines virtuelles
Machines virtuelles
Vous attribuez des adresses IP à une machine virtuelle à l’aide d’une interface réseau.
L’allocation d’une adresse IP à une ressource est possible à l’aide de deux méthodes :
dynamique ou statique. La méthode par défaut qui permet à Azure d’attribuer des
adresses IP est dynamique. Une adresse IP n’est pas spécifiée lors de sa création. Au lieu
de cela, l’adresse IP est allouée lorsque vous créez une machine virtuelle ou lorsque
vous démarrez une machine virtuelle arrêtée. L’adresse IP est libérée lorsque vous
arrêtez ou supprimez la machine virtuelle.
Pour vous assurer que l’adresse IP de la machine virtuelle ne change pas, vous pouvez
définir explicitement la méthode d’allocation sur statique. Dans ce cas, une adresse IP
est attribuée immédiatement. L’adresse est libérée uniquement quand vous supprimez
la machine virtuelle ou que vous définissez sa méthode d’allocation sur Dynamique.
Ce tableau répertorie les méthodes que vous pouvez utiliser pour créer une adresse IP.
Méthode Description
Azure Par défaut, les adresses IP publiques sont dynamiques. L’adresse IP peut changer
portal lorsque la machine virtuelle est arrêtée ou supprimée. Pour vous assurer que la
machine virtuelle utilise toujours la même adresse IP publique, créez une adresse IP
publique statique. Par défaut, le portail attribue une adresse IP privée dynamique à
une carte d’interface réseau lors de la création d’une machine virtuelle. Vous pouvez
modifier cette adresse IP statique après la création de la machine virtuelle.
Azure CLI Vous utilisez az network public-ip create avec le paramètre --allocation-method
défini sur la valeur Dynamique ou Statique.
Modèle Pour plus d’informations sur le déploiement d’une adresse IP publique à l’aide d’un
modèle, consultez Interface réseau dans un Réseau virtuel avec une Adresse IP
publique .
Après avoir créé une adresse IP publique, vous pouvez l’associer à une machine virtuelle
en l’attribuant à une carte d’interface réseau.
7 Notes
Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles
qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends
d’un Azure Load Balancer de base interne. Le mécanisme d’adresse IP d’accès
sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.
L’adresse IP d’accès sortant par défaut est désactivée quand une adresse IP
publique est affectée à la machine virtuelle, quand la machine virtuelle est placée
dans le pool back-end d’un équilibreur de charge standard, avec ou sans règles de
trafic sortant, ou si une ressource de passerelle NAT de réseau virtuel Azure est
affectée au sous-réseau de la machine virtuelle.
Les machines virtuelles créées par des groupes de machines virtuelles identiques en
mode d’orchestration flexible n’ont pas d’accès sortant par défaut.
Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès
sortant par défaut dans Azure et Utiliser la traduction d’adresses réseau sources
(SNAT) pour les connexions sortantes.
Lorsque vous configurez un réseau virtuel, vous spécifiez la topologie, y compris les
sous-réseaux et les espaces d’adressage disponibles. Sélectionnez des plages d’adresses
qui ne se chevauchent pas si le réseau virtuel est connecté à d’autres réseaux virtuels ou
à des réseaux locaux. Les adresses IP sont privées et ne sont pas accessibles à partir
d’Internet. Azure traite toute plage d’adresses dans le cadre de l’espace d’adressage IP
du réseau virtuel privé. La plage d’adresses est accessible uniquement au sein du réseau
virtuel, au sein de réseaux virtuels interconnectés et à partir de votre emplacement local.
Si vous travaillez au sein d’une organisation dans laquelle une autre personne est
responsable des réseaux internes, vous devez discuter avec elle avant de sélectionner
votre espace d’adressage. Assurez-vous qu’il n’y a pas de chevauchement dans l’espace
d’adressage. Indiquez-lui l’espace que vous souhaitez utiliser afin qu’elle n’essaie pas
d’utiliser la même plage d’adresses IP que vous.
Il n’existe pas de limites de sécurité par défaut entre les sous-réseaux. Les machines
virtuelles de chacun de ces sous-réseaux peuvent communiquer. Si votre déploiement
requiert des limites de sécurité, utilisez des Groupes de sécurité réseau (NSG) , qui
contrôlent le flux du trafic vers et depuis les sous-réseaux et les machines virtuelles.
Ce tableau répertorie les méthodes que vous pouvez utiliser pour créer un réseau virtuel
et des sous-réseaux.
Méthode Description
Méthode Description
Azure Si vous autorisez Azure à créer un réseau virtuel lors de la création d’une machine
portal virtuelle, le nom attribué sera une combinaison du nom du groupe de ressources qui
contient le réseau virtuel et de -vnet . L’espace d’adressage est 10.0.0.0/24, le nom
du sous-réseau nécessaire est default, et la plage d’adresses de sous-réseau est
10.0.0.0/24.
Azure CLI Le sous-réseau et le réseau virtuel sont créés en même temps. Fournissez un
paramètre --subnet-name à az network vnet create avec le nom du sous-réseau.
Modèle Pour plus d’informations sur l’utilisation d’un modèle pour créer un réseau virtuel et
des sous-réseaux, consultez Réseau virtuel avec deux sous-réseaux .
Les NSG contiennent deux ensembles de règles : les règles de trafic entrant et les règles
de trafic sortant. La priorité d’une règle doit être unique dans chaque ensemble.
Protocol
Préfixes d’adresse
Direction du trafic
Priority
Type d’accès
Tous les groupes de ressources réseau contiennent un ensemble de règles par défaut.
Vous ne pouvez pas supprimer ou remplacer ces règles par défaut, car elles ont la
priorité la plus faible et les règles que vous créez ne peuvent pas les remplacer.
Lorsque vous associez un groupe de sécurité réseau à une carte réseau, les règles
d’accès réseau du groupe de sécurité réseau sont appliquées uniquement à cette carte
d’interface réseau. Si un groupe de sécurité réseau est appliqué à une seule carte
d’interface réseau sur une machine virtuelle comprenant plusieurs cartes d’interface
réseau, celui-ci n’affecte pas le trafic lié aux autres cartes d’interface réseau. Vous
pouvez associer différents groupes de sécurité réseau à une carte d’interface réseau (ou
une machine virtuelle, selon le modèle de déploiement) et au sous-réseau auquel une
carte d’interface réseau ou une machine virtuelle est liée. La priorité est donnée en
fonction de la direction du trafic.
Veillez à planifier vos Groupes de sécurité réseau quand vous planifiez vos machines
virtuelles et le réseau virtuel.
Ce tableau répertorie les méthodes que vous pouvez utiliser pour créer un groupe de
sécurité réseau.
Méthode Description
Azure Lorsque vous créez une machine virtuelle dans le portail Azure, un groupe de
portal sécurité réseau est automatiquement créé et associé à la carte d’interface réseau
créée par le portail. Le nom du groupe de sécurité réseau est une combinaison du
nom de la machine virtuelle et de -nsg .
Ce groupe de sécurité réseau contient une règle de trafic entrant :
avec priorité de 1 000.
Le service est défini sur RDP.
Le protocole est défini sur TCP.
Le port est défini sur 3 389.
L’action est définie sur Autoriser.
Si vous souhaitez autoriser tout autre trafic entrant vers la machine virtuelle, créez
une ou plusieurs règles.
Azure CLI Utilisez az network nsg create pour créer initialement le groupe de sécurité réseau.
Utilisez az network nsg rule create pour ajouter des règles à un groupe de sécurité
réseau. Utilisez az network vnet subnet update pour ajouter le groupe de sécurité
réseau au sous-réseau.
Méthode Description
Modèle Utilisez Create a Network Security Group comme guide pour le déploiement d’un
groupe de sécurité réseau à l’aide d’un modèle.
Équilibreurs de charge
Azure Load Balancer offre une haute disponibilité et des performances réseau élevées
pour vos applications. Un équilibrage de charge peut être configuré pour équilibrer le
trafic Internet entrant vers les machines virtuelles ou pour équilibrer le trafic entre les
machines virtuelles d’un réseau virtuel. Un équilibrage de charge peut également
équilibrer le trafic entre les machines virtuelles et les ordinateurs locaux d’un réseau
intersite ou transférer le trafic externe vers une machine virtuelle spécifique.
Lorsque vous créez un équilibrage de charge, vous devez également prendre en compte
les éléments de configuration suivants :
Ce tableau répertorie les méthodes que vous pouvez utiliser pour créer un équilibrage
de charge accessible sur Internet.
Méthode Description
Portail Vous pouvez équilibrer la charge du trafic Internet sur les machines virtuelles avec le
Azure portail Azure.
Azure CLI Utilisez az network lb create pour créer la configuration d’équilibrage de charge
initiale. Utilisez az network lb frontend-ip create pour ajouter l’adresse IP publique
que vous avez créée précédemment. Utilisez az network lb address-pool create pour
ajouter la configuration du pool d’adresses principal. Utilisez az network lb inbound-
nat-rule create pour ajouter des règles de traduction d’adresses réseau. Utilisez az
network lb rule create pour ajouter les règles d’équilibrage de charge. Utilisez az
network lb probe create pour ajouter les sondes.
Modèle Utilisez 3 machines virtuelles dans un équilibreur de charge comme guide pour le
déploiement d’un équilibrage de charge à l’aide d’un modèle.
Ce tableau répertorie les méthodes que vous pouvez utiliser pour créer un équilibrage
de charge interne.
Méthode Description
Portail Vous pouvez équilibrer la charge du trafic interne avec un équilibreur de charge sur
Azure le portail Azure.
Méthode Description
Azure Pour fournir une adresse IP privée dans le sous-réseau du réseau, utilisez New-
PowerShell AzLoadBalancerFrontendIpConfig avec le paramètre -PrivateIpAddress . Utilisez
New-AzLoadBalancerBackendAddressPoolConfig pour créer la configuration du pool
d’adresses principal. Utilisez New-AzLoadBalancerInboundNatRuleConfig pour créer
des règles NAT de trafic entrant associées à la configuration IP frontale que vous
avez créée. Utilisez New-AzLoadBalancerProbeConfig pour créer les sondes dont
vous avez besoin. Utilisez New-AzLoadBalancerRuleConfig pour créer la
configuration d’équilibrage de charge. Utilisez New-AzLoadBalancer pour créer
l’équilibrage de charge.
Azure CLI Utilisez la commande az network lb create pour créer la configuration d’équilibrage
de charge initiale. Pour définir l’adresse IP privée, utilisez az network lb frontend-ip
create avec le paramètre --private-ip-address . Utilisez az network lb address-pool
create pour ajouter la configuration du pool d’adresses principal. Utilisez az network
lb inbound-nat-rule create pour ajouter des règles de traduction d’adresses réseau.
Utilisez az network lb rule create pour ajouter les règles d’équilibrage de charge.
Utilisez az network lb probe create pour ajouter les sondes.
Modèle Utilisez 2 machines virtuelles dans un équilibreur de charge comme guide pour le
déploiement d’un équilibrage de charge à l’aide d’un modèle.
Machines virtuelles
Les machines virtuelles peuvent être créées dans le même réseau virtuel et se connecter
les unes aux autres à l’aide d’adresses IP privées. Les machines virtuelles peuvent se
connecter si elles se trouvent dans des sous-réseaux différents. Elles se connectent sans
avoir besoin de configurer de passerelle ou d’utiliser d’adresses IP publiques. Pour
placer des machines virtuelles dans un réseau virtuel, vous devez créer le réseau virtuel.
Lorsque vous créez chaque machine virtuelle, vous l’affectez au réseau virtuel et au
sous-réseau. Les machines virtuelles acquièrent leurs paramètres réseau lors du
déploiement ou du démarrage.
Une adresse IP est affectée aux machines virtuelles lorsqu’elles sont déployées. Lorsque
vous déployez plusieurs machines virtuelles dans un réseau virtuel ou un sous-réseau,
des adresses IP leur sont attribuées lorsqu’elles démarrent. Vous pouvez également
allouer une adresse IP statique à une machine virtuelle. Si vous allouez une adresse IP
dynamique statique, vous devez envisager d’utiliser un sous-réseau spécifique afin
d’éviter de réutiliser accidentellement l’adresse IP statique pour une autre machine
virtuelle.
Si vous créez une machine virtuelle et que vous voulez la migrer plus tard vers un réseau
virtuel, il ne s’agit pas d’une modification de configuration simple. Redéployez la
machine virtuelle dans le réseau virtuel. Pour la redéployer, le plus simple consiste à
supprimer la machine virtuelle (mais pas les disques attachés à celle-ci), puis à recréer la
machine virtuelle à l’aide des disques d’origine dans le réseau virtuel.
Ce tableau répertorie les méthodes que vous pouvez utiliser pour créer une machine
virtuelle dans un réseau virtuel.
Méthode Description
Azure Utilise les paramètres de réseau par défaut qui ont été mentionnés précédemment
portal pour créer une machine virtuelle avec une seule carte d’interface réseau. Pour créer
une machine virtuelle avec plusieurs cartes d’interface réseau, vous devez utiliser
une autre méthode.
Azure CLI Créez et connectez une machine virtuelle à un réseau virtuel, un sous-réseau et une
carte d’interface réseau qui sont générés en tant qu’étapes individuelles.
NAT Gateway
Azure NAT Gateway simplifie la connectivité Internet sortante uniquement pour les
réseaux virtuels. Quand il est configuré sur un sous-réseau, toute la connectivité
sortante utilise vos adresses IP publiques statiques spécifiées. Une connectivité sortante
est possible sans équilibreur de charge ni adresses IP publiques directement attachées
aux machines virtuelles. NAT est complètement managé et hautement résilient.
Une connectivité sortante peut être définie pour chaque sous-réseau avec NAT.
Plusieurs sous-réseaux au sein du même réseau virtuel peuvent avoir différents services
NAT. Un sous-réseau est configuré en spécifiant la ressource de passerelle NAT à utiliser.
Tous les flux sortants UDP et TCP en provenance de toute instance de machine virtuelle
utilisent une passerelle NAT. NAT est compatible avec les ressources d’adresses IP
publiques ou les ressources de préfixes d’adresses IP publiques de la référence SKU
standard, ou avec une combinaison des deux. Vous pouvez utiliser directement un
préfixe d’adresse IP publique ou distribuer les adresses IP publiques du préfixe entre
plusieurs ressources de passerelle NAT. NAT nettoie tout le trafic vers la plage d’adresses
IP du préfixe. Le filtrage de toute adresse IP de vos déploiements est simple.
La passerelle NAT traite automatiquement tout le trafic sortant sans configuration client.
Les routes définies par l’utilisateur ne sont pas nécessaires. NAT est prioritaire sur les
autres scénarios de trafic sortant et remplace la destination Internet par défaut d’un
sous-réseau.
Les groupes de machines virtuelles identiques qui créent des machines virtuelles en
mode d’orchestration flexible n’ont pas d’accès sortant par défaut. La passerelle NAT
Azure est la méthode d’accès sortant recommandée pour les groupes de machines
virtuelles identiques en mode d’orchestration flexible.
Pour plus d’informations sur Azure NAT Gateway, consultez Qu’est-ce qu’Azure NAT
Gateway ?.
Ce tableau répertorie les méthodes que vous pouvez utiliser pour créer une ressource
de passerelle NAT.
Méthode Description
Azure Crée un réseau virtuel, un sous-réseau, une adresse IP publique, une passerelle NAT
portal et une machine virtuelle pour tester la ressource de passerelle NAT.
Azure CLI Inclut l’utilisation de az network nat gateway createpour créer une ressource de
passerelle NAT. Crée un réseau virtuel, un sous-réseau, une adresse IP publique, une
passerelle NAT et une machine virtuelle pour tester la ressource de passerelle NAT.
Modèle Crée un réseau virtuel, un sous-réseau, une adresse IP publique et une ressource de
passerelle NAT.
Azure Bastion
Azure Bastion est déployé pour fournir une connectivité de gestion sécurisée aux
machines virtuelles dans un réseau virtuel. Le service Azure Bastion vous permet
d’établir une connexion RDP et SSH sécurisée et fluide aux machines virtuelles de votre
réseau virtuel. Azure Bastion active les connexions sans exposer d’adresse IP publique
sur la machine virtuelle. Les connexions sont établies directement à partir du portail
Azure, sans qu’un client/agent ou logiciel supplémentaire ne soit nécessaire. Azure
Bastion prend en charge les adresses IP publiques de référence SKU Standard.
Pour plus d’informations sur Azure Bastion, consultez Présentation d’Azure Bastion.
Ce tableau répertorie les méthodes que vous pouvez utiliser pour créer le déploiement
d’un Bastion Azure.
Méthode Description
Azure Crée un réseau virtuel, des sous-réseaux, une adresse IP publique, un hôte bastion et
portal des machines virtuelles.
Azure Crée un réseau virtuel, des sous-réseaux, une adresse IP publique et un hôte bastion.
PowerShell Inclut l’utilisation de New-AzBastion pour créer l’hôte bastion.
Azure CLI Crée un réseau virtuel, des sous-réseaux, une adresse IP publique et un hôte bastion.
Inclut l’utilisation de az network bastion create pour créer l’hôte bastion.
Modèle Pour obtenir un exemple de déploiement de modèles qui intègrent un hôte Azure
Bastion avec un exemple de déploiement, consultez Démarrage rapide : créer un
équilibreur de charge public pour équilibrer la charge des machines virtuelles à
l’aide d’un modèle ARM.
Étapes suivantes
Pour connaître les étapes spécifiques aux machines virtuelles concernant la gestion des
réseaux virtuels Azure pour les machines virtuelles, consultez les didacticiels Windows
ou Linux.
Il existe également des démarrages rapides sur l’équilibrage de charge des machines
virtuelles et la création d’applications à haute disponibilité utilisant le CLI ou le
PowerShell
La création d’un réseau virtuel à titre d’essai est assez facile, mais vous risquez de
déployer plusieurs réseaux virtuels au fil du temps pour prendre en charge les besoins
en production de votre organisation. La planification vous permet de déployer des
réseaux virtuels et de vous connecter aux ressources dont vous avez besoin plus
efficacement. Les informations contenues dans cet article sont particulièrement utiles si
vous êtes déjà familiarisé avec les réseaux virtuels et que vous disposez d’expérience
dans leur utilisation. Si vous n’êtes pas familiarisé avec les réseaux virtuels, il vous est
recommandé de lire Virtual network overview (Vue d’ensemble du réseau virtuel).
Dénomination
Toutes les ressources Azure ont un nom. Le nom doit être unique au sein d’une étendue,
qui peut varier pour chaque type de ressource. Par exemple, le nom d’un réseau virtuel
doit être unique au sein d’un groupe de ressources, mais peut être dupliqué dans un
abonnement ou une région Azure. La définition d’une convention d’affectation de
noms que vous pouvez utiliser régulièrement lorsque vous nommez des ressources est
utile lors de la gestion de plusieurs ressources réseau au fil du temps. Pour des
suggestions, consultez Conventions d’affectation de noms.
Régions
Toutes les ressources Azure sont créées dans une région Azure et un abonnement. Une
ressource peut être connectée uniquement dans un réseau virtuel qui existe dans les
mêmes région et abonnement que la ressource. Toutefois, vous pouvez connecter des
réseaux virtuels qui existent dans différents abonnements et différentes régions. Pour
plus d’informations, consultez Connectivité. Lorsque vous choisissez les régions dans
lesquelles déployer des ressources, prenez en compte l’emplacement physique des
consommateurs des ressources :
Abonnements
Vous pouvez déployer autant de réseaux virtuels que nécessaire dans chaque
abonnement, jusqu’à la limite. Par exemple, certaines organisations disposent
d’abonnements distincts pour différents services. Pour plus d’informations et des
remarques relatives aux abonnements, consultez Subscription governance (Gouvernance
de l’abonnement).
Segmentation
Vous pouvez créer plusieurs réseaux virtuels par abonnement et par région. Vous
pouvez créer plusieurs sous-réseaux au sein de chaque réseau virtuel. Les remarques qui
suivent vous aident à déterminer le nombre de réseaux virtuels et sous-réseaux dont
vous avez besoin :
Réseaux virtuels
Un réseau virtuel est une partie virtuelle isolée du réseau public Azure. Chaque réseau
virtuel est dédié à votre abonnement. Éléments à prendre en compte lorsque vous
choisissez de créer un réseau virtuel ou plusieurs réseaux virtuels dans un abonnement :
Avez-vous des exigences de sécurité d’organisation pour isoler le trafic dans des
réseaux virtuels distincts ? Vous pouvez choisir de connecter des réseaux virtuels
ou non. Si vous connectez des réseaux virtuels, vous pouvez implémenter une
appliance virtuelle réseau, comme un pare-feu, pour contrôler le flux de trafic entre
les réseaux virtuels. Pour plus d’informations, consultez Sécurité et Connectivité.
Avez-vous des exigences d’organisation pour isoler les réseaux virtuels dans des
abonnements ou régions distincts ?
Une interface réseau permet à un machine virtuelle de communiquer avec d’autres
ressources. Une ou plusieurs adresses IP privées sont affectées à chaque interface
réseau. De combien d’interfaces réseau et d’adresses IP privées avez-vous besoin
dans un réseau virtuel ? Des limites s’appliquent quant au nombre d’interfaces
réseau et d’adresses IP privées que vous pouvez avoir dans un réseau virtuel.
Voulez-vous connecter le réseau virtuel à un autre réseau virtuel ou au réseau local
? Vous pouvez choisir de connecter certains réseaux virtuels entre eux ou des
réseaux locaux, mais pas d’autres. Pour plus d’informations, consultez Connectivité.
Chaque réseau virtuel que vous connectez à un autre réseau virtuel, ou au réseau
local, doit avoir un espace d’adresses unique. Chaque réseau virtuel comprend une
ou plusieurs plages d’adresses publiques ou privées affectées à son espace
d’adresses. Une plage d’adresses est spécifiée dans un format de routage de
domaine Interne sans classe (CIDR), par exemple, 10.0.0.0/16. En savoir plus sur
plages d’adresses pour les réseaux virtuels.
Avez-vous des exigences d’administration d’organisation pour les ressources dans
différents réseaux virtuels ? Si c’est le cas, vous pouvez séparer des ressources dans
un réseau virtuel distinct afin de simplifier l’affectation d’autorisations à des
personnes de votre organisation ou pour assigner différentes stratégies à
différents réseaux virtuels.
Lorsque vous déployez des ressources de service Azure dans un réseau virtuel,
elles créent leur propre réseau virtuel. Pour déterminer si un service Azure crée son
propre réseau virtuel, consultez les informations de chaque service Azure pouvant
être déployé dans un réseau virtuel.
Sous-réseaux
Un réseau virtuel peut être segmenté en un ou plusieurs sous-réseaux, jusqu’aux limites.
Éléments à prendre en compte lorsque vous choisissez de créer un sous-réseau ou
plusieurs réseaux virtuels dans un abonnement :
Chaque sous-réseau doit avoir une plage d’adresses unique, spécifiée au format
CIDR, dans l’espace d’adresses du réseau virtuel. La plage d’adresses ne peut pas
chevaucher d’autres sous-réseaux au sein du réseau virtuel.
Si vous envisagez de déployer des ressources de service Azure dans un réseau
virtuel, elles peuvent avoir besoin de créer leur propre sous-réseau. De l’espace
non alloué doit être suffisant pour le faire. Pour déterminer si un service Azure crée
son propre sous-réseau, consultez les informations de chaque service Azure
pouvant être déployé dans un réseau virtuel. Par exemple, si vous connectez un
réseau virtuel à un réseau local à l’aide d’une passerelle VPN Azure, le réseau
virtuel doit avoir un sous-réseau dédié pour la passerelle. En savoir plus sur les
sous-réseaux de passerelle.
Par défaut, Azure achemine le trafic réseau entre tous les sous-réseaux dans un
réseau virtuel. Par exemple, vous pouvez remplacer le routage par défaut d’Azure
pour empêcher le routage Azure entre des sous-réseaux ou pour acheminer le
trafic entre des sous-réseaux via une appliance virtuelle réseau. Si vous avez besoin
que le trafic entre des ressources d’un même réseau virtuel circulent via une
appliance virtuelle réseau (NVA), déployez les ressources sur des sous-réseaux
différents. En savoir plus la sécurité.
Vous pouvez limiter l’accès aux ressources Azure, un compte de stockage Azure ou
une base de données Azure SQL par exemple, à des sous-réseaux spécifiques avec
un point de terminaison de service de réseau virtuel. Vous pouvez également
refuser l’accès aux ressources à partir d’Internet. Vous pouvez créer plusieurs sous-
réseaux et activer un point de terminaison de service pour certains sous-réseaux,
mais pas pour d’autres. En savoir plus sur les points de terminaison de service, et
les ressources Azure pour lesquelles vous pouvez les activer.
Vous pouvez associer zéro ou un groupe de sécurité réseau à chaque sous-réseau
dans un réseau virtuel. Vous pouvez associer le même groupe de sécurité réseau,
ou un autre, à chaque sous-réseau. Chaque groupe de sécurité réseau contient des
règles, qui autorisent ou refusent le trafic vers et depuis des sources et des
destinations. En savoir plus sur les groupes de sécurité réseau.
Sécurité
Vous pouvez filtrer le trafic réseau vers et depuis des ressources dans un réseau virtuel à
l’aide de groupes de sécurité réseau et d’appliances virtuelles réseau. Vous pouvez
contrôler la façon selon laquelle Azure achemine le trafic à partir des sous-réseaux. Vous
pouvez également limiter qui dans votre organisation peut utiliser des ressources dans
des réseaux virtuels.
Filtrage du trafic
Vous pouvez filtrer le trafic réseau entre des ressources dans un réseau virtuel à
l’aide d’un groupe de sécurité réseau, d’une NVA qui filtre le trafic réseau, ou des
deux. Pour déployer une NVA, comme un pare-feu, pour filtrer le trafic réseau,
consultez la Place de marché Azure . Lorsque vous utilisez une NVA, vous créez
également des itinéraires personnalisés pour acheminer le trafic entre les sous-
réseaux et la NVA. En savoir plus sur le routage du trafic.
Un groupe de sécurité réseau contient plusieurs règles de sécurité par défaut qui
autorisent ou refusent le trafic vers ou depuis des ressources. Un groupe de
sécurité réseau peut être associé à une interface réseau, au sous-réseau où se
trouve l’interface réseau, ou aux deux. Pour simplifier la gestion des règles de
sécurité, il vous est recommandé d’associer, chaque fois que cela est possible, un
groupe de sécurité réseau à des sous-réseaux, plutôt qu’à des interfaces réseau du
sous-réseau.
Si différentes machines virtuelles au sein d’un sous-réseau ont besoin de règles de
sécurité différentes, vous pouvez associer l’interface réseau de la machine virtuelle
à un ou plusieurs groupes de sécurité d’application. Une règle de sécurité peut
spécifier un groupe de sécurité d’application dans sa source, sa destination, ou les
deux. Cette règle ne s’applique alors qu’aux interfaces réseau qui sont membres du
groupe de sécurité d’application. En savoir plus sur les groupes de sécurité réseau
et les groupes de sécurité d’application.
Lorsqu’un groupe de sécurité réseau est associé au niveau du sous-réseau, il
s’applique à toutes les cartes réseau du sous-réseau, et pas uniquement au trafic
provenant de l’extérieur du sous-réseau. Cela signifie que le trafic entre les
machines virtuelles contenues dans le sous-réseau peut également être affecté.
Azure crée plusieurs règles de sécurité par défaut dans chaque groupe de sécurité
réseau. Une règle par défaut autorise l’ensemble du trafic entre toutes les
ressources dans un réseau virtuel. Pour remplacer ce comportement, utilisez des
groupes de sécurité réseau, un routage personnaliser pour acheminer le trafic vers
une NVA, ou les deux. Il vous est recommandé de vous familiariser avec toutes les
règles de sécurité par défaut d’Azure et de comprendre comment les règles de
groupe de sécurité réseau s’appliquent à une ressource.
Vous pouvez consulter des exemples de conception pour l’implémentation d’un réseau
de périmètre (ou DMZ) entre Azure et Internet, à l’aide d’une appliance virtuelle réseau.
Routage du trafic
Azure crée plusieurs itinéraires par défaut pour le trafic sortant à partir d’un sous-réseau.
Vous pouvez remplacer le routage par défaut d’Azure en créant une table de routage et
en l’associant à un sous-réseau. Les raisons courantes du remplacement du routage par
défaut d’Azure sont les suivantes :
Car vous souhaitez que le trafic entre des sous-réseaux circule via une NVA. Pour
en savoir plus sur la configuration de tables de routage et forcer le trafic via une
NVA.
Car vous souhaitez forcer l’ensemble du trafic Internet via une NVA, ou en local, via
une passerelle VPN Azure. Le fait de forcer le trafic Internet en local pour
inspection et la journalisation sont souvent appelés le tunneling forcé. En savoir
plus sur la configuration du tunneling forcé.
Peering
Lorsque vous utilisez le peering de réseau virtuel, les réseaux virtuels peuvent se trouver
dans la même région, ou dans différentes régions Azure prises en charge. Les réseaux
virtuels peuvent se trouver dans le même abonnement ou dans des abonnements Azure
différents (voire dans des abonnements appartenant à des locataires Azure Active
Directory différents). Avant de créer un peering, il est recommandé de vous familiariser
avec toutes les exigences et contraintes du peering. La bande passante entre des
ressources figurant dans des réseaux virtuels homologués dans la même région est la
même que si ces ressources se trouvaient dans le même réseau virtuel.
passerelle VPN
Vous pouvez utiliser une passerelle VPN Azure pour connecter un réseau virtuel à votre
réseau local à l’aide un VPN site à site, ou à l’aide d’une connexion dédiée à Azure
ExpressRoute.
Vous pouvez combiner le peering avec une passerelle VPN pour créer des réseaux Hub
and Spoke, dans lesquels les réseaux virtuels Spoke se connectent à un réseau virtuel
Hub, et où le Hub se connecte à un réseau local, par exemple.
Résolution de noms
Les ressources dans un réseau virtuel ne peuvent pas résoudre les noms de ressources
dans un réseau virtuel homologué à l’aide du DNS intégré d’Azure. Pour résoudre les
noms dans un réseau virtuel homologué, déployez votre propre serveur DNS ou utilisez
des domaines privés Azure DNS. La résolution des noms entre des ressources dans un
réseau virtuel et des réseaux locaux requiert également que vous déployiez votre propre
serveur DNS.
Autorisations
Azure utilise le contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour gérer
l’accès aux ressources. Des autorisations sont affectées à une étendue dans la hiérarchie
suivante : groupe d’administration, abonnement, groupe de ressources et ressource
individuelle. Pour en savoir plus sur la hiérarchie, consultez Organize your resources
(Organiser vos ressources). Pour utiliser des réseaux virtuels Azure et toutes leurs
fonctionnalités associées, comme le peering, les groupes de sécurité réseau, les points
de terminaison de service et les tables de routage, vous pouvez assigner à des membres
de votre organisation le rôle Propriétaire, Contributeur ou Contributeur réseau intégré,
puis assigner le rôle à l’étendue appropriée. Si vous souhaitez assigner des autorisations
spécifiques pour un sous-ensemble de fonctionnalités de réseau virtuel, créez un rôle
personnalisé et assignez les autorisations spécifiques nécessaires pour les réseaux
virtuels, sous-réseaux et points de terminaison de service, interfaces réseau, peering,
groupes de sécurité réseau et d’application ou les tables de routage au rôle.
Policy
Azure Policy vous permet de créer, d’assigner et de gérer des définitions de stratégie.
Les définitions de stratégie appliquent différentes règles sur vos ressources, qui restent
donc conformes aux normes et aux contrats de niveau de service de l’organisation.
Azure Policy exécute une évaluation de vos ressources, en analysant les ressources qui
ne sont pas conformes avec les définitions de stratégie dont vous disposez. Par exemple,
vous pouvez définir et appliquer une stratégie qui autorise la création de réseaux
virtuels dans seulement une région ou un groupe de ressources spécifique. Une autre
stratégie peut exiger qu’un groupe de sécurité réseau soit associé à chaque sous-réseau.
Les stratégies sont alors évaluées lors de la création et de la mise à jour des ressources.
Étapes suivantes
En savoir plus sur les tâches, paramètres et options d’un réseau virtuel, d’un point de
terminaison de service et de sous-réseau, d’une interface réseau, d’un Peering, d’un
groupe de sécurité réseau et d’application ou d’une table de routage.
Résolution de noms des ressources dans
les réseaux virtuels Azure
Article • 05/05/2023
Vous pouvez utiliser Azure pour héberger des solutions IaaS, PaaS et hybrides. Pour
faciliter la communication entre les machines virtuelles et les autres ressources
déployées dans un réseau virtuel, il peut être nécessaire de les autoriser à communiquer
entre elles. L’utilisation de noms facilement mémorisables et immuables simplifie le
processus de communication, plutôt que de s’appuyer sur des adresses IP.
Quand des ressources déployées sur des réseaux virtuels doivent résoudre des noms de
domaine en adresses IP internes, elles peuvent utiliser l’une des quatre méthodes
suivantes :
Résolution de noms à l’aide de votre propre serveur DNS (qui peut rediriger les
requêtes vers les serveurs DNS fournis par Azure)
Le type de résolution de noms que vous utilisez dépend de la manière dont vos
ressources doivent communiquer entre elles. Le tableau suivant montre des scénarios et
les solutions de résolution de noms correspondantes :
7 Notes
Azure DNS Private Zones constitue la solution par défaut et vous offre la flexibilité
nécessaire pour gérer vos enregistrements et zones DNS. Pour plus d’informations,
consultez Utilisation d’Azure DNS pour les domaines privés.
7 Notes
Si vous utilisez le service DNS fourni par Azure, le suffixe DNS approprié est
appliqué automatiquement à vos machines virtuelles. Pour toutes les autres
options, vous devez utiliser des noms de domaine complets (FQDN) ou appliquer
manuellement le suffixe DNS approprié à vos machines virtuelles.
Scénario Solution Suffixe
DNS
Résolution de noms entre des Zones privées Azure DNS ou résolution de Nom d’hôte
machines virtuelles situées dans noms fournie par Azure ou nom de
le même réseau virtuel, ou entre domaine
des instances de rôle Azure complet
Cloud Services situées dans le
même service cloud.
Résolution de noms entre des Zones privées Azure DNS, Azure DNS Private Nom de
machines virtuelles situées dans Resolver ou serveurs DNS gérés par le client qui domaine
différents réseaux virtuels ou transfèrent les requêtes entre les réseaux complet
entre des instances de rôle virtuels pour une résolution par Azure (proxy uniquement
situées dans différents services DNS). Consultez Résolution de noms à l’aide de
cloud. votre propre serveur DNS.
Résolution de noms à partir Azure DNS Private Resolver ou serveurs DNS Nom de
d’Azure App Service (application gérés par le client qui transfèrent les requêtes domaine
web, fonction ou Bot) à l’aide de entre les réseaux virtuels pour une résolution complet
l’intégration au réseau virtuel par Azure (proxy DNS). Consultez Résolution de uniquement
pour les instances de rôle ou noms à l’aide de votre propre serveur DNS.
machines virtuelles dans le
même réseau virtuel.
Résolution de noms à partir Azure DNS Private Resolver ou serveurs DNS Nom de
d’App Service Web Apps vers gérés par le client qui transfèrent les requêtes domaine
des machines virtuelles dans le entre les réseaux virtuels pour une résolution complet
même réseau virtuel. par Azure (proxy DNS). Consultez Résolution de uniquement
noms à l’aide de votre propre serveur DNS.
Résolution de noms à partir Azure DNS Private Resolver ou serveurs DNS Nom de
d’App Service Web Apps dans gérés par le client qui transfèrent les requêtes domaine
un réseau virtuel vers des entre les réseaux virtuels pour une résolution complet
machines virtuelles situées dans par Azure (proxy DNS). Consultez Résolution de uniquement
un réseau virtuel différent. noms à l’aide de votre propre serveur DNS.
Résolution des noms de service Azure DNS Private Resolver ou serveurs DNS Nom de
et d’ordinateur locaux à partir gérés par le client (par exemple, contrôleur de domaine
des machines virtuelles ou des domaine local, contrôleur de domaine en complet
instances de rôle dans Azure. lecture seule local ou serveur DNS secondaire uniquement
synchronisé via des transferts de zone).
Consultez Résolution de noms à l’aide de votre
propre serveur DNS.
Scénario Solution Suffixe
DNS
Résolution de noms d’hôte Transférer les requêtes vers un serveur proxy Nom de
Azure à partir d’ordinateurs DNS géré par le client dans le réseau virtuel domaine
locaux. correspondant ; le serveur proxy transfère les complet
requêtes vers Azure en vue de la résolution. uniquement
Consultez Résolution de noms à l’aide de votre
propre serveur DNS.
DNS inversé pour les adresses IP Zones privées Azure DNS, résolution de noms Non
internes. fournie par Azure, Azure DNS Private Resolver applicable
ou résolution de noms à l’aide de votre propre
serveur DNS.
Résolution de noms entre des Non applicable. La connectivité entre des Non
machines virtuelles ou instances machines virtuelles et des instances de rôle de applicable
de rôle situées dans différents différents services cloud n’est pas prise en
services cloud, et non dans un charge en dehors d’un réseau virtuel.
réseau virtuel.
Avec la résolution des noms DNS publics, Azure fournit la résolution de noms interne
pour les machines virtuelles et les instances de rôle qui résident dans le même réseau
virtuel ou service cloud. Les machines virtuelles et les instances d’un service cloud
partagent le même suffixe DNS ; le nom d’hôte est donc suffisant. Toutefois, dans les
réseaux virtuels déployés à l’aide du modèle de déploiement classique, les différents
services cloud n’ont pas le même suffixe DNS. Dans ce cas, vous avez besoin du nom de
domaine complet pour résoudre les noms des différents services cloud. Dans les réseaux
virtuels déployés à l’aide du modèle de déploiement Azure Resource Manager, le suffixe
DNS est le même sur toutes les machines virtuelles d’un réseau virtuel, si bien que le
nom de domaine complet n’est pas nécessaire. Vous pouvez affecter des noms DNS aux
machines virtuelles et aux interfaces réseau. Bien que la résolution de noms fournie par
Azure ne nécessite aucune configuration, elle ne convient pas à certains scénarios de
déploiement, comme expliqué dans le tableau précédent.
7 Notes
Quand vous utilisez des rôles de travail et web de services cloud, vous pouvez
également accéder aux adresses IP internes des instances de rôle à l’aide de l’API
REST de gestion des services Azure. Pour plus d’informations, consultez Référence
de l’API REST de gestion des services. L’adresse est basée sur le nom de rôle et le
numéro d’instance.
Fonctionnalités
La résolution de noms fournie par Azure présente les avantages suivants :
Haute disponibilité : Vous n’avez pas besoin de créer et de gérer les clusters de vos
propres serveurs DNS.
Vous pouvez utiliser le service avec vos propres serveurs DNS pour résoudre des
noms d’hôte locaux et Azure.
Vous pouvez utiliser la résolution de noms entre les machines virtuelles et les
instances de rôle du même service cloud, sans qu’un nom de domaine complet
soit nécessaire.
Vous pouvez utiliser la résolution de noms entre les machines virtuelles des
réseaux virtuels qui utilisent le modèle de déploiement Azure Resource Manager,
sans qu’un nom de domaine complet ne soit nécessaire. Les réseaux virtuels du
modèle de déploiement classique nécessitent un nom de domaine complet lors de
la résolution de noms dans des services cloud différents.
Vous pouvez utiliser des noms d’hôte qui décrivent vos déploiements de façon
plus appropriée, au lieu d’utiliser des noms générés automatiquement.
Considérations
Éléments à prendre en compte lorsque vous utilisez la résolution de noms fournie par
Azure :
La recherche DNS est étendue à un réseau virtuel. Les noms DNS créés pour un
réseau virtuel ne peuvent pas être résolus à partir d’autres réseaux virtuels.
Vous ne pouvez pas inscrire manuellement vos propres enregistrements.
WINS et NetBIOS ne sont pas pris en charge. Vous ne pouvez pas voir vos
machines virtuelles dans l’Explorateur Windows.
Les noms d’hôte doivent être compatibles avec DNS. Les noms ne peuvent
comporter que les caractères 0-9, a-z et « - », et ils ne peuvent pas commencer ou
se terminer par « - ».
Le trafic de requêtes DNS est limité pour chaque machine virtuelle. La limitation ne
doit pas affecter la plupart des applications. Si la limitation de requêtes est
respectée, assurez-vous que la mise en cache côté client est activée. Pour plus
d’informations, consultez Configuration du client DNS.
Utilisez un nom différent pour chaque machine virtuelle dans un réseau virtuel afin
d’éviter les problèmes de résolution DNS.
Seules les machines virtuelles des 180 premiers services cloud sont inscrites pour
chaque réseau virtuel dans un modèle de déploiement classique. Cette limite ne
s’applique pas aux réseaux virtuels d’Azure Resource Manager.
Non-authoritative answer:
4.0.11.10.in-addr.arpa name = myeastspokevm1.internal.cloudapp.net
La zone de DNS inversé internal.cloudapp.net est gérée par Azure, et ne peut pas être
directement consultée ou modifiée. La recherche directe sur un nom de domaine
complet au format [vmname].internal.cloudapp.net se résout sur l’adresse IP attribuée
à la machine virtuelle.
Si une zone privée Azure DNS est liée au réseau virtuel à l’aide d’un lien de réseau
virtuel et que l’inscription automatique est activée sur ce lien, les requêtes de DNS
inversé renvoient alors deux enregistrements. L’un des enregistrements se présente sous
la forme [vmname].[privatednszonename], et l’autre sous la forme
[vmname].internal.cloudapp.net. Voir l’exemple suivant :
Non-authoritative answer:
4.2.20.10.in-addr.arpa name = mywestvm1.internal.cloudapp.net
4.2.20.10.in-addr.arpa name = mywestvm1.azure.contoso.com
Lorsque deux enregistrements PTR sont renvoyés comme illustré ci-dessus, la recherche
directe de l’un ou l’autre des noms de domaine complets renvoie alors l’adresse IP de la
machine virtuelle.
Les recherches DNS inversées sont limitées à un réseau virtuel donné, même s’il est
appairé à d’autres réseaux virtuels. Des requêtes de DNS inversé relatives aux
adresses IP des machines virtuelles situées dans des réseaux virtuels appairés renvoient
NXDOMAIN.
7 Notes
Les enregistrements DNS inversés (PTR) ne sont pas stockés dans une zone DNS
privée directe. Les enregistrements DNS inversés sont stockés dans une zone DNS
inversée (in-addr.arpa). La zone DNS inversée par défaut associée à un réseau
virtuel n’est ni visible ni modifiable.
Vous pouvez désactiver la fonction de DNS inversé dans un réseau virtuel en créant
votre propre zone de recherche inversée à l’aide de zones privées Azure DNS, puis en
liant cette zone à votre réseau virtuel. Par exemple, si l’espace d’adressage IP de votre
réseau virtuel est 10.20.0.0/16, vous pouvez créer la zone DNS privée vide 20.10.in-
addr.arpa et la lier au réseau virtuel. Cette zone remplace les zones de recherche
inversée par défaut pour le réseau virtuel. Cette zone est vide. Le DNS inversé retourne
NXDOMAIN , sauf si vous créez ces entrées manuellement.
L’inscription automatique des enregistrements PTR n’est pas prise en charge. Si vous
souhaitez créer des entrées, entrez-les manuellement. Vous devez désactiver l’inscription
automatique dans le réseau virtuel si elle est activée pour d’autres zones. Cette
limitation est due aux restrictions qui permettent de lier une seule zone privée si
l’inscription automatique est activée. Pour plus d’informations sur la création d’une zone
DNS privée et sa liaison à un réseau virtuel, consultez notre guide de démarrage rapide
consacré au DNS privé.
7 Notes
Étant donné que les zones privées Azure DNS sont globales, vous pouvez créer une
recherche DNS inversée pour couvrir plusieurs réseaux virtuels. Pour ce faire, créez
une zone privée Azure DNS destinée aux recherches inversées (zone in-addr.arpa)
et liez-la aux réseaux virtuels. Vous devez gérer manuellement les enregistrements
DNS inversés pour les machines virtuelles.
Le client DNS Windows par défaut comprend un cache DNS intégré. Certaines
distributions Linux n’incluent pas la mise en cache par défaut. Si vous ne disposez pas
déjà d’un cache local, ajoutez un cache DNS à chaque machine virtuelle Linux.
RHEL, CentOS
Bash
Bash
Bash
Bash
7 Notes
Le package dnsmasq constitue l’un des nombreux caches DNS disponibles pour
Linux. Avant de l’utiliser, vérifiez son adéquation à vos besoins et vérifiez qu’aucun
autre cache n’est installé.
Vérifiez les paramètres actuels sur une machine virtuelle Linux avec cat
/etc/resolv.conf . Examinez la ligne options, par exemple :
Sortie
Le fichier resolv.conf est généré automatiquement et ne doit pas être modifié. Les
étapes spécifiques pour l’ajout de la ligne options varient selon la distribution :
RHEL, CentOS
Bash
7 Notes
Azure DNS Private Resolver remplace la nécessité d’utiliser des serveurs DNS basés
sur des machines virtuelles dans un réseau virtuel. Vous pouvez consulter la section
suivante si vous souhaitez utiliser une solution DNS basée sur des machines
virtuelles, mais il existe de nombreux avantages à l’utilisation d’Azure DNS Private
Resolver, notamment la réduction des coûts, la haute disponibilité intégrée, la
scalabilité et la flexibilité.
Les serveurs DNS d’un réseau virtuel peuvent transférer des requêtes DNS vers le
programme de résolution récursive dans Azure. Cette procédure vous permet de
résoudre des noms d’hôte au sein de ce réseau virtuel. Par exemple, un contrôleur de
domaine exécuté dans Azure peut répondre aux requêtes DNS concernant ses domaines
et transférer toutes les autres requêtes vers Azure. Le transfert des requêtes permet aux
machines virtuelles de voir vos ressources locales (par le biais du contrôleur de
domaine) et les noms d’hôte fournis par Azure (par le biais du redirecteur). Les
programmes de résolution récursive d’Azure sont accessibles via l’adresse IP virtuelle
168.63.129.16.
Le transfert DNS permet aussi la résolution DNS entre réseaux virtuels et permet à vos
machines locales de résoudre les noms d’hôte fournis par Azure. Pour résoudre le nom
d’hôte d’une machine virtuelle, la machine virtuelle du serveur DNS doit résider dans le
même réseau virtuel et être configurée pour rediriger les requêtes de nom d’hôte vers
Azure. Comme le suffixe DNS est différent dans chaque réseau virtuel, vous pouvez
utiliser des règles de redirection conditionnelles pour envoyer les requêtes DNS au
réseau virtuel approprié en vue de la résolution. L’image suivante montre deux réseaux
virtuels et un réseau local effectuant une résolution DNS entre réseaux virtuels à l’aide
de cette méthode. Un exemple de redirecteur DNS est disponible dans la Galerie de
modèles de démarrage rapide Azure et sur GitHub .
7 Notes
Une instance de rôle peut résoudre les noms des machines virtuelles appartenant
au même réseau virtuel. Pour cela, elle utilise le nom de domaine complet, qui est
constitué du nom d’hôte de la machine virtuelle et du suffixe DNS
internal.cloudapp.net. Toutefois, dans ce cas, la résolution de noms réussit
uniquement si l’instance de rôle a le nom de la machine virtuelle défini dans le
Schéma Rôle (fichier .cscfg). <Role name="<role-name>" vmName="<vm-name>">
Les instances de rôle qui doivent effectuer une résolution de noms des machines
virtuelles dans un autre réseau virtuel (nom de domaine complet utilisant le suffixe
internal.cloudapp.net) doivent le faire à l’aide de la méthode décrite dans cette
section, c’est-à-dire, en transférant les serveurs DNS personnalisés entre les deux
réseaux virtuels.
Lorsque vous utilisez la résolution de noms fournie par Azure, le protocole DHCP
d’Azure fournit un suffixe DNS interne (.internal.cloudapp.net) à chaque machine
virtuelle. Ce suffixe permet d’effectuer la résolution des noms d’hôte, car les
enregistrements de noms d’hôte se trouvent dans la zone internal.cloudapp.net.
Lorsque vous utilisez votre propre solution de résolution de noms, ce suffixe n’est pas
fourni aux machines virtuelles, car il interfère avec d’autres architectures DNS (comme
dans les scénarios avec jointure de domaine). Au lieu de cela, Azure fournit un espace
réservé non fonctionnel (reddog.microsoft.com).
Pour les réseaux virtuels des modèles de déploiement Azure Resource Manager, le
suffixe est disponible via l’API REST d’interface réseau, la cmdlet PowerShell Get-
AzNetworkInterface et la commande az network nic show Azure CLI.
Si le transfert de requêtes vers Azure ne répond pas à vos besoins, fournissez votre
propre solution DNS ou déployez une instance d’Azure DNS Private Resolver.
Fournir la résolution de noms d’hôte appropriée, via DDNS par exemple. Si vous
utilisez DDNS, il peut être nécessaire de désactiver le nettoyage des
enregistrements DNS. Les baux DHCP d’Azure sont longs et le nettoyage peut
supprimer prématurément des enregistrements DNS.
Être accessible (TCP et UDP sur le port 53) à partir des clients dont elle traite les
demandes et être en mesure d’accéder à Internet.
Être protégée contre tout accès à partir d’Internet, pour atténuer les menaces
posées par les agents externes.
7 Notes
2. Dans le portail Azure, pour le plan App Service qui héberge l’application web,
sélectionnez Synchroniser le réseau sous Mise en réseau, Intégration du réseau
virtuel.
Si vous devez effectuer une résolution de noms à partir de votre application web liée à
un réseau virtuel (créée à l’aide d’App Service) vers des machines virtuelles situées dans
un autre réseau virtuel qui n’est pas lié à la même zone privée, utilisez des serveurs DNS
personnalisés ou des instances d’Azure DNS Private Resolver sur les deux réseaux
virtuels.
Configurez un serveur DNS dans votre réseau virtuel cible, sur une machine
virtuelle qui peut également transférer les requêtes vers le programme de
résolution récursive d’Azure (adresse IP virtuelle : 168.63.129.16). Un exemple de
redirecteur DNS est disponible dans la Galerie de modèles de démarrage rapide
Azure et sur GitHub .
Configurez un redirecteur DNS dans le réseau virtuel source sur une machine
virtuelle. Configurez ce redirecteur DNS pour transférer les requêtes au serveur
DNS dans votre réseau virtuel cible.
Configurez votre serveur DNS source dans les paramètres de votre réseau virtuel
source.
Activez l’intégration de réseau virtuel pour votre application web afin de créer un
lien vers le réseau virtuel source, en suivant les instructions de l’article Intégrer une
application à un réseau virtuel Azure.
Dans le portail Azure, pour le plan App Service qui héberge l’application web,
sélectionnez Synchroniser le réseau sous Mise en réseau, Intégration du réseau
virtuel.
Pour utiliser une instance d’Azure DNS Private Resolver, consultez Liens de l’ensemble
de règles.
7 Notes
Les propriétés d’une connexion réseau, telles que les adresses IP des serveurs DNS,
ne doivent pas être modifiées directement dans les machines virtuelles. En effet, ces
propriétés risquent d’être effacées pendant la réparation du service, lors du
remplacement de la carte réseau virtuelle. Cela s’applique pour les machines
virtuelles Windows et Linux.
Lorsque vous utilisez le modèle de déploiement Azure Resource Manager, vous pouvez
spécifier des serveurs DNS pour un réseau virtuel et une interface réseau. Pour plus
d’informations, consultez Gérer un réseau virtuel et Gérer une interface réseau.
7 Notes
Si vous choisissez un serveur DNS personnalisé pour votre réseau virtuel, vous
devez spécifier au moins une adresse d’IP de serveur DNS, à défaut de quoi, le
réseau virtuel ignorera la configuration et utilisera le DNS fourni par Azure.
7 Notes
Si vous modifiez les paramètres DNS d’un réseau virtuel ou d’une machine virtuelle
déjà déployée, pour que les nouveaux paramètres DNS prennent effet, vous devez
effectuer un renouvellement de bail DHCP sur toutes les machines virtuelles
affectées dans le réseau virtuel. Pour les machines virtuelles exécutant le système
d’exploitation Windows, vous pouvez taper ipconfig /renew directement sur la
machine virtuelle. Les étapes varient selon le système d’exploitation. Consultez la
documentation relative à votre type de système d’exploitation.
Étapes suivantes
Modèle de déploiement Azure Resource Manager :
Azure fournit la résolution de noms pour les machines virtuelles et les instances de rôle.
Quand vous avez besoin d’autres fonctionnalités que celles fournies par le DNS par
défaut d’Azure pour la résolution de noms, vous pouvez fournir vos propres serveurs
DNS. Utiliser vos propres serveurs DNS vous permet de personnaliser votre solution
DNS pour l’adapter à vos propres besoins. Par exemple, vous pouvez avoir besoin
d’accéder à des ressources locales avec votre contrôleur de domaine Active Directory.
Quand vos serveurs DNS personnalisés sont hébergés en tant que machines virtuelles
Azure, vous pouvez transférer les requêtes de nom d’hôte (pour le même réseau virtuel)
vers Azure pour résoudre les noms d’hôte. Si vous ne souhaitez pas utiliser cette option,
vous pouvez inscrire les noms d’hôte de votre machine virtuelle sur votre serveur DNS à
l’aide du DNS dynamique (DDNS, Dynamic DNS). Comme Azure ne dispose pas des
informations d’identification permettant de créer directement des enregistrements sur
vos serveurs DNS, d’autres mécanismes sont souvent nécessaires. Nous présentons ci-
après quelques scénarios courants avec des solutions alternatives :
Clients Windows
Les clients Windows non joints à un domaine tentent des mises à jour DDNS non
sécurisées pendant le démarrage ou la modification de leurs adresses IP. Le nom DNS se
compose du nom d’hôte et du suffixe DNS principal. Azure laisse le suffixe DNS principal
vide, mais vous pouvez définir le suffixe dans la machine virtuelle, par le biais de
l’interface utilisateur ou de PowerShell.
Clients Linux
En général, les clients Linux ne s’inscrivent pas eux-mêmes auprès du serveur DNS au
démarrage et présument que ce dernier le fait à leur place. Les serveurs DHCP d’Azure
ne disposent pas des informations d’identification permettant de stocker des
enregistrements sur votre serveur DNS. Vous pouvez utiliser un outil appelé nsupdate ,
qui est inclus dans le package Bind, pour envoyer des mises à jour DDNS. Comme le
protocole DDNS est normalisé, vous pouvez utiliser nsupdate même quand vous
n’utilisez pas Bind sur le serveur DNS.
Vous pouvez utiliser les raccordements fournis par le client DHCP pour créer et gérer
l’entrée du nom d’hôte sur le serveur DNS. Au cours du cycle DHCP, le client exécute les
scripts dans /etc/dhcp/dhclient-exit-hooks.d/ . Vous pouvez utiliser les raccordements
pour inscrire la nouvelle adresse IP à l’aide nsupdate . Par exemple :
Bash
#!/bin/sh
requireddomain=mydomain.local
nsupdate $nsupdatecmds
fi
Vous pouvez également utiliser la commande nsupdate pour effectuer des mises à jour
DDNS sécurisées. Par exemple, quand vous utilisez un serveur DNS Bind, une paire de
clés publique-privée est générée ( http://linux.yyz.us/nsupdate/ ). Le serveur DNS est
configuré ( http://linux.yyz.us/dns/ddns-server.html ) avec la partie publique de la clé,
ce qui lui permet de vérifier la signature sur la demande. Pour fournir la paire de clés à
nsupdate , utilisez l’option -k , afin que la demande de mise à jour DDNS soit signée.
Quand vous utilisez un serveur DNS Windows, vous pouvez utiliser l’authentification
Kerberos avec le paramètre -g dans nsupdate (mais elle n’est pas disponible dans la
version Windows de nsupdate ). Pour utiliser Kerberos, utilisez kinit afin de charger les
informations d’identification. Par exemple, vous pouvez charger les informations
d’identification à partir d’un fichier keytab , puis nsupdate -g récupère les informations
d’identification à partir du cache.
Les machines virtuelles Azure disposent de paramètres réseau par défaut qui peuvent
être davantage optimisés pour le débit du réseau. Cet article décrit comment optimiser
le débit du réseau pour les machines virtuelles Microsoft Azure Windows et Linux,
notamment les distributions majeures telles que Ubuntu, CentOS et Red Hat.
Pour toutes les autres machines virtuelles Windows, l’utilisation de la mise à l’échelle
côté réception (RSS) peut permettre d’atteindre un débit maximal supérieur à celui
d’une machine virtuelle sans RSS. La mise à l’échelle côté réception (RSS) peut être
désactivée par défaut sur une machine virtuelle Windows. Pour déterminer si la mise à
l’échelle côté réception (RSS) est activée et, si elle ne l’est pas, l’activer, effectuez les
étapes suivantes :
PowerShell
Name : Ethernet
InterfaceDescription : Microsoft Hyper-V Network Adapter
Enabled : False
2. Pour activer la mise à l’échelle côté réception (RSS), entrez la commande suivante :
PowerShell
3. Vérifiez que la mise à l’échelle côté réception (RSS) est activée sur la machine
virtuelle en entrant de nouveau la commande Get-NetAdapterRss . Si l’opération
réussit, l’exemple de sortie suivant est retourné :
PowerShell
Name : Ethernet
InterfaceDescription : Microsoft Hyper-V Network Adapter
Enabled : True
JSON
"Publisher": "Canonical",
"Offer": "UbuntuServer",
"Sku": "18.04-LTS",
"Version": "latest"
Une fois la création terminée, entrez les commandes suivantes pour obtenir les mises à
jour les plus récentes. Ces étapes fonctionnent aussi pour les machines virtuelles qui
s’exécutent actuellement sur le noyau Ubuntu Azure.
Bash
En cas d’échec de la mise à jour avec erreurs sur un déploiement Ubuntu existant ayant
déjà le noyau Azure, ce jeu de commandes facultatif peut être utile.
Bash
Bash
Bash
JSON
"Publisher": "OpenLogic",
"Offer": "CentOS",
"Sku": "7.7",
"Version": "latest"
Il peut être bénéfique pour les machines virtuelles nouvelles ou existantes d’installer la
dernière version de Linux Integration Services (LIS). L’optimisation du débit est incluse
dans les LIS, à partir de la version 4.2.2-2. Les versions ultérieures contiennent d’autres
améliorations. Entrez les commandes suivantes pour installer la dernière version de LIS :
Bash
Red Hat
Pour bénéficier des optimisations, nous vous recommandons de créer une machine
virtuelle avec la version la plus récente prise en charge en spécifiant les paramètres
suivants :
JSON
"Publisher": "RedHat"
"Offer": "RHEL"
"Sku": "7-RAW"
"Version": "latest"
Bash
wget https://aka.ms/lis
tar xvf lis
cd LISISO
sudo ./install.sh #or upgrade.sh if prior LIS was previously installed
Pour en savoir plus sur Linux Integration Services version 4.3 pour Hyper-V, consultez la
page de téléchargement .
Étapes suivantes
Déployer des machines virtuelles proches les unes des autres pour une faible
latence avec des groupes de placement de proximité.
Découvrir le résultat optimisé avec le test de bande passante/débit pour votre
scénario.
Découvrir comment la bande passante est allouée aux machines virtuelles.
En savoir plus avec le FAQ sur les réseaux virtuels Azure.
Afficher et modifier les noms d’hôte
Article • 03/04/2023 • 4 minutes de lecture
Le nom d’hôte identifie votre machine virtuelle (MV) dans l’interface utilisateur et les
opérations Azure. Vous devez d’abord attribuer le nom d’hôte d’une MV dans le champ
Nom de la machine virtuelle pendant le processus de création dans le portail Azure.
Après avoir créé une MV, vous pouvez afficher et modifier le nom d’hôte via une
connexion à distance ou dans le portail Azure.
Portail Azure
Dans le portail Azure, accédez à votre MV, puis sélectionnez Propriétés dans le volet de
navigation de gauche. Dans la page Propriétés, vous pouvez afficher le nom d’hôte sous
Nom de l’ordinateur.
Bureau à distance
Vous pouvez vous connecter à votre MV à l’aide d’un outil de bureau à distance tel que
Bureau à distance (Windows), la communication à distance Windows PowerShell
(Windows), SSH (Linux et Windows) ou Bastion (portail Azure). Vous pouvez ensuite
afficher le nom d’hôte de plusieurs façons :
1. Vérifiez que vous disposez d’une connexion authentifiée au portail Azure. Suivez
les étapes présentées dans Créer une application et un principal du service Azure
Active Directory pouvant accéder aux ressources.
HTTP
GET
https://management.azure.com/subscriptions/{subscriptionId}/resourceGro
ups/{resourceGroupName}/providers/Microsoft.Compute/virtualMachines/{vm
Name}?api-version=2022-11-01`.
Pour plus d’informations sur les demandes GET pour les machines virtuelles,
consultez Machines virtuelles - Get.
2 Avertissement
Pour Windows, vous pouvez modifier le nom d’hôte à partir de PowerShell à l’aide
de la commande Renommer-ordinateur.
Pour Linux, vous pouvez modifier le nom d’hôte à l’aide de hostnamectl .
Vous pouvez également utiliser exécuter ces commandes pour rechercher le nom d’hôte
de votre MV à partir du portail Azure en utilisant Exécuter la commande. Dans le portail
Azure, accédez à votre MV, puis sélectionnez Exécuter la commande dans le volet de
navigation de gauche. Sur la page Exécuter la commande dans le portail Azure :
L’image suivante montre la page Exécuter la commande dans le portail Azure pour une
MV Windows.
Après avoir exécuté Rename-Computer ou hostnamectl sur votre MV, vous devez
redémarrer votre MV pour changer le nom d’hôte.
Par exemple, si vmName est webrole et qu’il existe trois instances de ce rôle, les noms
d’hôte des instances s’intitulent webrole0, webrole1 et webrole2. Il n’est pas nécessaire
de définir un nom d’hôte pour les machines virtuelles dans le fichier config, car le nom
d’hôte d’une MV est renseigné en fonction du nom de la machine virtuelle. Pour en
savoir plus sur la configuration d’un service Microsoft Azure, consultez la section
Schéma de configuration du service Azure (fichier .cscfg)
Étapes suivantes
Résolution de noms pour les machines virtuelles et les instances de rôle
Définir les paramètres DNS à l'aide de fichiers de configuration réseau
Journalisation des ressources pour un groupe
de sécurité réseau
Article • 29/03/2023 • 9 minutes de lecture
Un groupe de sécurité réseau (NSG) comprend les règles qui autorisent ou refusent le trafic vers un
sous-réseau de réseau virtuel, une interface réseau, ou les deux à la fois.
Quand vous activez la journalisation pour un groupe de sécurité réseau, vous pouvez collecter les
types suivants d’informations sur le journal de ressources :
Événement : Entrées enregistrées pour lesquelles des règles NSG sont appliquées aux machines
virtuelles, en fonction de l’adresse MAC.
Compteur de règle : contient des entrées correspondant au nombre de fois où chaque règle
NSG est appliquée pour autoriser ou refuser le trafic. L’état de ces règles est collecté toutes les
300 secondes.
Les journaux de ressources ne sont disponibles que pour les groupes de sécurité réseau déployés via
le modèle de déploiement Azure Resource Manager. Vous ne pouvez pas activer la journalisation des
ressources pour des groupes de sécurité réseau déployés via le modèle de déploiement classique.
Pour plus d’informations, consultez Comprendre les modèles de déploiement.
La journalisation des ressources est activée séparément pour chaque groupe de sécurité réseau sur
lequel des données de diagnostic sont collectées. Si vous êtes plutôt intéressé par les journaux
d’activité ou opérationnels, consultez Vue d’ensemble des journaux de la plateforme Azure. Si vous
êtes intéressé par le trafic IP passant via les groupes de sécurité réseau, consultez les Journaux de
flux des groupes de sécurité réseau.
Activation de la journalisation
Vous pouvez utiliser le portail Azure, Azure PowerShell ou Azure CLI pour activer la journalisation des
ressources.
Portail Azure
1. Connectez-vous au portail Azure .
2. Dans la zone de recherche située en haut du portail Azure, entrez des groupes de sécurité
réseau. Dans les résultats de la recherche, sélectionnez Groupe de sécurité réseau.
6. Pour Journaux, sélectionnez allLogs ou des catégories individuelles de journaux. Pour plus
d’informations sur chaque catégorie, consultez Catégories de journaux.
8. Sélectionnez Enregistrer.
9. Consultez et analysez les journaux d’activité. Pour plus d’informations, voir Afficher et analyser
les journaux d’activité.
Azure PowerShell
7 Notes
Nous vous recommandons d’utiliser le module Azure Az PowerShell pour interagir avec Azure.
Pour commencer, consultez Installer Azure PowerShell. Pour savoir comment migrer vers le
module Az PowerShell, consultez Migrer Azure PowerShell depuis AzureRM vers Az.
Vous pouvez exécuter les commandes contenues dans cette section dans Azure Cloud Shell , ou en
exécutant PowerShell à partir de votre ordinateur. Azure Cloud Shell est un interpréteur de
commandes interactif gratuit. Il contient des outils Azure courants préinstallés et configurés pour
être utilisés avec votre compte.
Si vous exécutez PowerShell sur votre ordinateur, vous devez utiliser le module Azure PowerShell
version 1.0.0 ou ultérieure. Exécutez Get-Module -ListAvailable Az pour rechercher la version
installée. Si vous devez effectuer une mise à niveau, consultez Installer le module Azure PowerShell.
Si vous exécutez PowerShell localement, vous devez aussi exécuter la cmdlet Connect-AzAccount
pour vous connecter à Azure avec un compte disposant des autorisations nécessaires.
Pour activer la journalisation des ressources, vous avez besoin de l’ID d’un groupe de sécurité réseau
existant. Si vous n’avez pas de groupe de sécurité réseau, créez-en un à l’aide de la cmdlet New-
AzNetworkSecurityGroup.
Obtenez le groupe de sécurité réseau sur lequel vous souhaitez activer la journalisation des
ressources à l’aide de la cmdlet Get-AzNetworkSecurityGroup. Stockez le groupe de sécurité réseau
dans une variable pour une utilisation ultérieure. Par exemple, pour récupérer un groupe de sécurité
réseau nommé myNsg, qui existe dans un groupe de ressources appelé myResourceGroup, entrez la
commande suivante :
Azure PowerShell
$Nsg=Get-AzNetworkSecurityGroup `
-Name myNsg `
-ResourceGroupName myResourceGroup
Vous pouvez écrire des journaux de ressources sur différents types de destination. Pour plus
d’informations, consultez Destinations de journaux. Dans cet article, les journaux sont envoyés vers
une destination d’espace de travail Log Analytics. Si vous n’avez pas d’espace de travail, vous pouvez
en créer un à l’aide de la cmdlet New-AzOperationalInsightsWorkspace.
Azure PowerShell
$Oms=Get-AzOperationalInsightsWorkspace `
-ResourceGroupName myWorkspaces `
-Name myWorkspace
Il existe deux catégories de journalisation que vous pouvez activer. Pour plus d’informations,
consultez Catégories de journal. Activez la journalisation des ressources du groupe de sécurité
réseau à l’aide de la cmdlet New-AzDiagnosticSetting. L’exemple suivant journalise des données de
catégorie événements et compteur dans l’espace de travail d’un groupe de sécurité réseau. Il utilise
les ID du groupe de sécurité réseau et de l’espace de travail que vous avez obtenus avec les
commandes précédentes :
Azure PowerShell
New-AzDiagnosticSetting `
-Name myDiagnosticSetting `
-ResourceId $Nsg.Id `
-WorkspaceId $Oms.ResourceId
Si vous voulez journaliser les données dans une autre destination que celle d’un espace de travail
Log Analytics, utilisez un paramètre approprié dans la commande. Pour plus d’informations,
consultez la page Journaux de ressources dans Azure.
Consultez et analysez les journaux d’activité. Pour plus d’informations, voir Afficher et analyser les
journaux d’activité.
Azure CLI
Vous pouvez exécuter les commandes contenues dans cette section dans Azure Cloud Shell , ou en
exécutant Azure CLI à partir de votre ordinateur. Azure Cloud Shell est un interpréteur de
commandes interactif gratuit. Il contient des outils Azure courants préinstallés et configurés pour
être utilisés avec votre compte.
Si vous exécutez l’interface CLI à partir de votre ordinateur, vous avez besoin de la version 2.0.38 ou
ultérieure. Exécutez az --version sur votre ordinateur pour trouver la version installée. Si vous devez
mettre à niveau, consultez Installation d’Azure CLI. Si vous exécutez l’interface CLI localement, vous
devez aussi exécuter az login pour vous connecter à Azure avec un compte disposant des
autorisations nécessaires.
Pour activer la journalisation des ressources, vous avez besoin de l’ID d’un groupe de sécurité réseau
existant. Si vous n’avez pas de groupe de sécurité réseau, créez-en un à l’aide de az network nsg
create.
Obtenez et stockez le groupe de sécurité réseau pour lequel vous souhaitez activer la journalisation
des ressources avec az network nsg show. Par exemple, pour récupérer un groupe de sécurité réseau
nommé myNsg, qui existe dans un groupe de ressources appelé myResourceGroup, entrez la
commande suivante :
Azure CLI
Vous pouvez écrire des journaux de ressources sur différents types de destination. Pour plus
d’informations, consultez Destinations de journaux. Dans cet article, des journaux sont envoyés vers
une destination d’espace de travail Log Analytics, par exemple. Pour plus d’informations, consultez
Catégories de journal.
Activez la journalisation des ressources pour le groupe de sécurité réseau avec az monitor
diagnostic-settings create. L’exemple suivant journalise les données de catégorie événements et
compteur dans un espace de travail existant appelé myWorkspace, qui se trouve dans un groupe de
ressources appelé myWorkspaces. Il utilise l’ID du groupe de sécurité réseau que vous avez
enregistré à l’aide de la commande précédente.
Azure CLI
Si vous n’avez pas d’espace de travail, créez-en un à l’aide du portail Azure ou de PowerShell. Il existe
deux catégories de journalisation pour lesquelles vous pouvez activer les journaux d’activité.
Si vous souhaitez journaliser les données d’une seule des deux catégories, supprimez l’autre
catégorie de la commande précédente. Si vous voulez journaliser les données dans une autre
destination que celle d’un espace de travail Log Analytics, utilisez un paramètre approprié. Pour plus
d’informations, consultez la page Journaux de ressources dans Azure.
Consultez et analysez les journaux d’activité. Pour plus d’informations, voir Afficher et analyser les
journaux d’activité.
Catégories de journal
Les données au format JSON sont écrites pour les catégories de journaux suivantes : événements et
compteur de règle.
Événement
Le journal des événements contient des informations sur les règles des groupes de sécurité réseau
qui sont appliquées aux machines virtuelles, en fonction de l’adresse MAC. Les données suivantes
sont enregistrées pour chaque événement. Dans l’exemple suivant, les données sont enregistrées
pour une machine virtuelle avec l’adresse IP 192.168.1.4 et l’adresse MAC 00-0D-3A-92-6A-7C :
JSON
{
"time": "[DATE-TIME]",
"systemId": "[ID]",
"category": "NetworkSecurityGroupEvent",
"resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION-ID]/RESOURCEGROUPS/[RESOURCE-GROUP-
NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
"operationName": "NetworkSecurityGroupEvents",
"properties": {
"vnetResourceGuid":"[ID]",
"subnetPrefix":"192.168.1.0/24",
"macAddress":"00-0D-3A-92-6A-7C",
"primaryIPv4Address":"192.168.1.4",
"ruleName":"[SECURITY-RULE-NAME]",
"direction":"[DIRECTION-SPECIFIED-IN-RULE]",
"priority":"[PRIORITY-SPECIFIED-IN-RULE]",
"type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
"conditions":{
"protocols":"[PROTOCOLS-SPECIFIED-IN-RULE]",
"destinationPortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
"sourcePortRange":"[PORT-RANGE-SPECIFIED-IN-RULE]",
"sourceIP":"[SOURCE-IP-OR-RANGE-SPECIFIED-IN-RULE]",
"destinationIP":"[DESTINATION-IP-OR-RANGE-SPECIFIED-IN-RULE]"
}
}
}
Compteur de règles
Le journal du compteur de règles contient des informations sur chacune des règles appliquées aux
ressources. Les données de l’exemple suivant sont enregistrées chaque fois qu’une règle est
appliquée. Dans l’exemple suivant, les données sont enregistrées pour une machine virtuelle avec
l’adresse IP 192.168.1.4 et l’adresse MAC 00-0D-3A-92-6A-7C :
JSON
{
"time": "[DATE-TIME]",
"systemId": "[ID]",
"category": "NetworkSecurityGroupRuleCounter",
"resourceId": "/SUBSCRIPTIONS/[SUBSCRIPTION ID]/RESOURCEGROUPS/[RESOURCE-GROUP-
NAME]/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/[NSG-NAME]",
"operationName": "NetworkSecurityGroupCounters",
"properties": {
"vnetResourceGuid":"[ID]",
"subnetPrefix":"192.168.1.0/24",
"macAddress":"00-0D-3A-92-6A-7C",
"primaryIPv4Address":"192.168.1.4",
"ruleName":"[SECURITY-RULE-NAME]",
"direction":"[DIRECTION-SPECIFIED-IN-RULE]",
"type":"[ALLOW-OR-DENY-AS-SPECIFIED-IN-RULE]",
"matchedConnections":125
}
}
7 Notes
L’adresse IP source pour la communication n’est pas enregistrée. Vous pouvez activer la
journalisation des flux NSG d’un groupe de sécurité réseau ; il journalise toutes les informations
du compteur de règle et l’adresse IP source qui a initié la communication. Les données du
journal de flux NSG sont écrites dans un compte Stockage Azure. Vous pouvez analyser les
données avec la fonctionnalité d’analytique du trafic d’Azure Network Watcher.
Journaux d’activité Azure Monitor : vous pouvez utiliser la solution d’analytique de groupe de
sécurité réseau pour obtenir des insights plus poussés. La solution offre des visualisations pour
les règles NSG qui autorisent ou refusent le trafic, par adresse MAC, de l’interface réseau sur
une machine virtuelle.
Compte de stockage Azure : les données sont écrites dans un fichier PT1H.json. Vous pouvez
trouver le :
Journal des événements qui se trouve dans le chemin suivant : insights-logs-
networksecuritygroupevent/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-
GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.
NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=
[HOUR]/m=[MINUTE]
Journal du compteur de règle qui se trouve dans le chemin suivant : insights-logs-
networksecuritygrouprulecounter/resourceId=/SUBSCRIPTIONS/[ID]/RESOURCEGROUPS/[RESOURCE-
GROUP-NAME-FOR-NSG]/PROVIDERS/MICROSOFT.
NETWORK/NETWORKSECURITYGROUPS/[NSG NAME]/y=[YEAR]/m=[MONTH/d=[DAY]/h=
[HOUR]/m=[MINUTE]
Pour savoir comment afficher les données des journaux de ressources, consultez Vue d’ensemble des
journaux de la plateforme Azure.
Étapes suivantes
Pour plus d’informations sur la journalisation d’activité, consultez Vue d’ensemble des journaux
d’une plateforme Azure.
La journalisation des activités est activée par défaut pour les groupes de sécurité réseau créés
au moyen d’un modèle de déploiement Azure. Pour déterminer les opérations qui ont été
effectuées sur les groupes de sécurité réseau dans le journal d’activité, recherchez les entrées
qui contiennent les types de ressources suivants :
Microsoft.ClassicNetwork/networkSecurityGroups
Microsoft.ClassicNetwork/networkSecurityGroups/securityRules
Microsoft.Network/networkSecurityGroups
Microsoft.Network/networkSecurityGroups/securityRules
Pour savoir comment journaliser des informations de diagnostic, consultez Journaliser le trafic
réseau vers et depuis une machine virtuelle à l'aide du portail Azure.
Tutoriel : Acheminer le trafic réseau avec
une table de routage à l’aide du portail
Azure
Article • 14/04/2023
Azure achemine le trafic entre tous les sous-réseaux au sein d’un réseau virtuel par
défaut. Vous pouvez créer vos propres itinéraires pour remplacer le routage par défaut
d’Azure. Les itinéraires personnalisés sont utiles, par exemple, quand vous souhaitez
router le trafic entre des sous-réseaux via une appliance virtuelle réseau (NVA).
Ce tutoriel utilise le portail Azure. Vous pouvez également le suivre avec l’interface Azure
CLI ou PowerShell.
Vue d’ensemble
Ce diagramme montre les ressources créées dans ce tutoriel ainsi que les routes réseau
attendues.
Prérequis
Un abonnement Azure
Connexion à Azure
Connectez-vous au portail Azure .
Paramètre Valeur
7. Sélectionnez Ajouter.
9. Sélectionnez Ajouter.
10. Sélectionnez + Ajouter un sous-réseau, puis entrez DMZ comme Nom du sous-
réseau et 10.0.2.0/24 comme Plage d’adresses de sous-réseau.
Paramètre Valeur
3. Sous l’onglet Informations de base de la page Créer une machine virtuelle, entrez
ou sélectionnez les informations suivantes :
Paramètre Valeur
Détails du
projet
Détails de
l’instance
Compte
administrateur
Mot de passe Entrez un mot de passe. Le mot de passe doit contenir au moins 12
caractères et satisfaire aux exigences de complexité définies.
Règles des
ports d’entrée
Paramètre Valeur
Interface réseau
7 Notes
Paramètre Valeur
Détails du
projet
Détails de
l’instance
Paramètre Valeur
Compte
administrateur
Mot de passe Entrez un mot de passe. Le mot de passe doit contenir au moins 12
caractères et satisfaire aux exigences de complexité définies.
Règles des
ports d’entrée
Paramètre Valeur
Interface réseau
Paramètre Valeur
Détails du
projet
Détails de
l’instance
Compte
administrateur
Mot de passe Entrez un mot de passe. Le mot de passe doit contenir au moins 12
caractères et satisfaire aux exigences de complexité définies.
Règles des
ports d’entrée
Paramètre Valeur
Interface réseau
3. Entrez le nom d’utilisateur et le mot de passe que vous avez précédemment créés
pour la machine virtuelle myVMPrivate.
PowerShell
PowerShell
mstsc /v:myvmpublic
Activer le transfert IP
Pour acheminer le trafic via l’appliance virtuelle réseau (NVA), activez le transfert IP dans
Azure et dans le système d’exploitation de la machine virtuelle myVMNVA. Une fois le
transfert IP activé, tout trafic reçu par la machine virtuelle myVMNVA et destiné à une
autre adresse IP ne fait l’objet d’aucune suppression et est transféré vers la bonne
destination.
PowerShell
mstsc /v:myvmnva
PowerShell
Set-ItemProperty -Path
HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name
IpEnableRouter -Value 1
PowerShell
Restart-Computer
Créer une table de routage
Dans cette section, vous allez créer une table de routage.
3. Sous l’onglet Informations de base de la page Créer une table de routage, entrez
ou sélectionnez les informations suivantes :
Paramètre Valeur
Détails du projet
Détails de l’instance
Créer un itinéraire
Dans cette section, vous allez créer un itinéraire dans la table de routage que vous avez
créée précédemment.
Paramètre Valeur
5. Sélectionnez Ajouter.
PowerShell
mstsc /v:myvmpublic
PowerShell
tracert myvmprivate
PowerShell
Tracing route to
myvmprivate.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net
[10.0.1.4]
over a maximum of 30 hops:
1 1 ms * 2 ms myvmnva.internal.cloudapp.net
[10.0.2.4]
2 2 ms 1 ms 1 ms myvmprivate.internal.cloudapp.net
[10.0.1.4]
Trace complete.
Vous pouvez voir qu’il existe deux tronçons dans la réponse ci-dessus pour le suivi
tracert du trafic ICMP de la machine virtuelle myVMPublic vers la machine virtuelle
myVMPrivate. Le premier tronçon correspond à la machine virtuelle myVMNVA et
le deuxième à la machine virtuelle myVMPrivate de destination.
Azure a envoyé le trafic du sous-réseau Public à travers la NVA et non directement
vers le sous-réseau Privé parce que vous avez précédemment ajouté l’itinéraire
ToPrivateSubnet à la table de routage myRouteTablePublic et l'avez associée au
sous-réseau Public.
PowerShell
tracert myvmpublic
PowerShell
Tracing route to
myvmpublic.q04q2hv50taerlrtdyjz5nza1f.bx.internal.cloudapp.net
[10.0.0.4]
over a maximum of 30 hops:
1 1 ms 1 ms 1 ms myvmpublic.internal.cloudapp.net
[10.0.0.4]
Trace complete.
Vous pouvez voir qu’il n’existe qu’un seul tronçon dans la réponse ci-dessus. Celui-
ci correspond à la machine virtuelle myVMPublic de destination.
Étapes suivantes
Dans ce tutoriel, vous allez :
Pour en savoir plus sur le routage, consultez Routage du trafic de réseau virtuel et Créer,
modifier ou supprimer une table de routage.
Pour apprendre à restreindre l’accès réseau aux ressources PaaS avec des points de
terminaison de service de réseau virtuel, passez au tutoriel suivant.
Par défaut, Azure achemine automatiquement le trafic entre tous les sous-réseaux au
sein d’un réseau virtuel. Vous pouvez créer vos propres itinéraires pour remplacer le
routage par défaut d’Azure. La possibilité de créer des itinéraires personnalisés est utile
si, par exemple, vous souhaitez router le trafic entre des sous-réseaux via une appliance
virtuelle réseau (NVA). Dans cet article, vous apprendrez comment :
Option Exemple/Lien
Azure PowerShell
Créez une table de routage avec New-AzRouteTable. L’exemple suivant crée une table
de routage nommée myRouteTablePublic.
Azure PowerShell
$routeTablePublic = New-AzRouteTable `
-Name 'myRouteTablePublic' `
-ResourceGroupName myResourceGroup `
-location EastUS
Créer un itinéraire
Créez un itinéraire en récupérant l’objet de table de routage avec Get-AzRouteTable,
créez un itinéraire avec Add-AzRouteConfig, puis écrivez la configuration de l’itinéraire
dans la table de routage avec Set-AzRouteTable.
Azure PowerShell
Get-AzRouteTable `
-ResourceGroupName "myResourceGroup" `
-Name "myRouteTablePublic" `
| Add-AzRouteConfig `
-Name "ToPrivateSubnet" `
-AddressPrefix 10.0.1.0/24 `
-NextHopType "VirtualAppliance" `
-NextHopIpAddress 10.0.2.4 `
| Set-AzRouteTable
Azure PowerShell
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName myResourceGroup `
-Location EastUS `
-Name myVirtualNetwork `
-AddressPrefix 10.0.0.0/16
Azure PowerShell
$subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig `
-Name Public `
-AddressPrefix 10.0.0.0/24 `
-VirtualNetwork $virtualNetwork
$subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig `
-Name Private `
-AddressPrefix 10.0.1.0/24 `
-VirtualNetwork $virtualNetwork
$subnetConfigDmz = Add-AzVirtualNetworkSubnetConfig `
-Name DMZ `
-AddressPrefix 10.0.2.0/24 `
-VirtualNetwork $virtualNetwork
Azure PowerShell
$virtualNetwork | Set-AzVirtualNetwork
Azure PowerShell
Set-AzVirtualNetworkSubnetConfig `
-VirtualNetwork $virtualNetwork `
-Name 'Public' `
-AddressPrefix 10.0.0.0/24 `
-RouteTable $myRouteTablePublic | `
Set-AzVirtualNetwork
Azure PowerShell
Azure PowerShell
# Create a VM configuration.
$vmConfig = New-AzVMConfig `
-VMName 'myVmNva' `
-VMSize Standard_DS2 | `
Set-AzVMOperatingSystem -Windows `
-ComputerName 'myVmNva' `
-Credential $cred | `
Set-AzVMSourceImage `
-PublisherName MicrosoftWindowsServer `
-Offer WindowsServer `
-Skus 2016-Datacenter `
-Version latest | `
Add-AzVMNetworkInterface -Id $nic.Id
Azure PowerShell
$vmNva = New-AzVM `
-ResourceGroupName myResourceGroup `
-Location EastUS `
-VM $vmConfig `
-AsJob
L’option -AsJob crée la machine virtuelle en arrière-plan. Vous pouvez donc passer à
l’étape suivante.
Créez une machine virtuelle dans le sous-réseau Public avec New-AzVM. L’exemple
suivant crée une machine virtuelle nommée myVmPublic dans le sous-réseau Public du
réseau virtuel myVirtualNetwork.
Azure PowerShell
New-AzVm `
-ResourceGroupName "myResourceGroup" `
-Location "East US" `
-VirtualNetworkName "myVirtualNetwork" `
-SubnetName "Public" `
-ImageName "Win2016Datacenter" `
-Name "myVmPublic" `
-AsJob
Azure PowerShell
New-AzVm `
-ResourceGroupName "myResourceGroup" `
-Location "East US" `
-VirtualNetworkName "myVirtualNetwork" `
-SubnetName "Private" `
-ImageName "Win2016Datacenter" `
-Name "myVmPrivate"
Azure PowerShell
Get-AzPublicIpAddress `
-Name myVmPrivate `
-ResourceGroupName myResourceGroup `
| Select IpAddress
Utilisez la commande suivante pour créer une session Bureau à distance avec la machine
virtuelle myVmPrivate à partir de votre ordinateur local. Remplacez <publicIpAddress>
par l’adresse IP retournée par la commande précédente.
mstsc /v:<publicIpAddress>
À une étape ultérieure, la commande tracert.exe est utilisée pour tester le routage.
Tracert utilise le protocole ICMP (Internet Control Message Protocol), qui est refusé via
le Pare-feu Windows. Autorisez le protocole ICMP dans le pare-feu Windows en entrant
la commande suivante de PowerShell sur la machine virtuelle myVmPrivate :
PowerShell
Bien que tracert soit utilisé pour tester le routage dans cet article, il n’est pas
recommandé d’autoriser le protocole IMCP dans le pare-feu Windows lors de
déploiements en production.
Vous avez activé le transfert d’IP dans Azure pour l’interface réseau de la machine
virtuelle dans Activer le transfert IP. Sur la machine virtuelle, le système d’exploitation ou
une application exécutée dans la machine virtuelle, doit également pouvoir transférer le
trafic réseau. Activez le transfert IP au sein du système d’exploitation de la machine
virtuelle myVmNva.
mstsc /v:myvmnva
PowerShell
Set-ItemProperty -Path
HKLM:\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters -Name
IpEnableRouter -Value 1
mstsc /v:myVmPublic
PowerShell
Pour tester le routage du trafic réseau vers la machine virtuelle myVmPrivate à partir de
la machine virtuelle myVmPublic, entrez la commande suivante de PowerShell sur la
machine virtuelle myVmPublic :
tracert myVmPrivate
Tracing route to
myVmPrivate.vpgub4nqnocezhjgurw44dnxrc.bx.internal.cloudapp.net [10.0.1.4]
over a maximum of 30 hops:
1 <1 ms * 1 ms 10.0.2.4
2 1 ms 1 ms 1 ms 10.0.1.4
Trace complete.
Vous voyez que le premier tronçon est 10.0.2.4, ce qui correspond à l’adresse IP privée
de l’appliance virtuelle réseau (NVA). Le second tronçon est 10.0.1.4, ce qui correspond à
l’adresse IP privée de la machine virtuelle myVmPrivate. L’itinéraire ajouté à la table de
routage myRouteTablePublic et associé au sous-réseau Public a contraint Azure à
acheminer le trafic via l’appliance virtuelle réseau et non directement au sous-réseau
Private.
Pour tester le routage du trafic réseau vers la machine virtuelle myVmPublic à partir de
la machine virtuelle myVmPrivate, entrez la commande suivante à l’invite de commandes
sur la machine virtuelle myVmPrivate :
tracert myVmPublic
Tracing route to
myVmPublic.vpgub4nqnocezhjgurw44dnxrc.bx.internal.cloudapp.net [10.0.0.4]
over a maximum of 30 hops:
1 1 ms 1 ms 1 ms 10.0.0.4
Trace complete.
Vous pouvez voir que le trafic est routé directement de la machine virtuelle
myVmPrivate vers la machine virtuelle myVmPublic. Par défaut, Azure achemine
directement le trafic entre les sous-réseaux.
Azure PowerShell
Étapes suivantes
Dans cet article, vous avez créé une table de routage que vous avez associée à un sous-
réseau. Vous avez créé une appliance virtuelle réseau qui a acheminé le trafic d’un sous-
réseau public vers un sous-réseau privé. Vous pouvez déployer différentes appliances
virtuelles réseau préconfigurées ayant des fonctions de réseau, telles que la fonction de
pare-feu ou l’optimisation WAN, à partir de la Place de marché Microsoft Azure . Pour
en savoir plus sur le routage, consultez Routage du trafic de réseau virtuel et Créer,
modifier ou supprimer une table de routage.
Alors que vous pouvez déployer de nombreuses ressources Azure dans un réseau
virtuel, les ressources pour certains services Azure PaaS ne peuvent pas être déployées
dans un réseau virtuel. Cependant, vous pouvez toujours restreindre l’accès aux
ressources de certains services Azure PaaS au trafic provenant uniquement d’un sous-
réseau de réseau virtuel. Pour connaître la marche à suivre, consultez Restreindre l’accès
réseau aux ressources PaaS.
Acheminer le trafic réseau avec une
table de routage à l’aide de l’interface
de ligne de commande Azure
Article • 30/04/2023
Par défaut, Azure achemine automatiquement le trafic entre tous les sous-réseaux au
sein d’un réseau virtuel. Vous pouvez créer vos propres itinéraires pour remplacer le
routage par défaut d’Azure. La possibilité de créer des itinéraires personnalisés est utile
si, par exemple, vous souhaitez router le trafic entre des sous-réseaux via une appliance
virtuelle réseau (NVA). Dans cet article, vous apprendrez comment :
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de
commencer.
Prérequis
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations,
consultez Démarrage rapide pour Bash dans Azure Cloud Shell.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première
utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des
extensions avec Azure CLI.
Cet article nécessite la version 2.0.28 ou ultérieure d’Azure CLI. Si vous utilisez
Azure Cloud Shell, la version la plus récente est déjà installée.
Azure CLI
Créez une table de routage avec az network route-table create. L’exemple suivant crée
une table de routage nommée myRouteTablePublic.
Azure CLI
Créer un itinéraire
Créez un itinéraire dans la table de routage avec az network route-table route create.
Azure CLI
Azure CLI
Azure CLI
Azure CLI
Créez une machine virtuelle à utiliser comme appliance virtuelle réseau dans le sous-
réseau DMZ avec az vm create. Par défaut, quand vous créez une machine virtuelle,
Azure crée et affecte une interface réseau myVmNvaVMNic et une adresse IP publique à
l’affecte à la machine virtuelle. Le paramètre --public-ip-address "" indique à Azure de
ne pas créer d’adresse IP publique et de ne pas l’affecter à la machine virtuelle, car celle-
ci n’a pas besoin de se connecter à Internet. Si des clés SSH n’existent pas déjà dans un
emplacement de clé par défaut, la commande les crée. Pour utiliser un ensemble
spécifique de clés, utilisez l’option --ssh-key-value .
Azure CLI
az vm create \
--resource-group myResourceGroup \
--name myVmNva \
--image UbuntuLTS \
--public-ip-address "" \
--subnet DMZ \
--vnet-name myVirtualNetwork \
--generate-ssh-keys
Azure CLI
Azure CLI
az vm extension set \
--resource-group myResourceGroup \
--vm-name myVmNva \
--name customScript \
--publisher Microsoft.Azure.Extensions \
--settings '{"commandToExecute":"sudo sysctl -w net.ipv4.ip_forward=1"}'
L’exécution de la commande peut prendre jusqu’à une minute. Notez que cette
modification ne sera pas conservée après un redémarrage de machine virtuelle. Par
conséquent, si la machine virtuelle réseau est redémarrée pour une raison quelconque,
vous devez répéter le script.
Créez une machine virtuelle dans le sous-réseau Public avec az vm create. Le paramètre
--no-wait permet à Azure d’exécuter la commande en arrière-plan de façon que vous
puissiez continuer jusqu’à la commande suivante. Pour simplifier cet article, un mot de
passe est utilisé. Les clés sont généralement utilisées dans les déploiements en
production. Si vous utilisez des clés, vous devez également configurer le transfert de
l’agent SSH. Pour plus d’informations, consultez la documentation associée à votre client
SSH. Remplacez <replace-with-your-password> dans la commande suivante par un mot
de passe de votre choix.
Azure CLI
adminPassword="<replace-with-your-password>"
az vm create \
--resource-group myResourceGroup \
--name myVmPublic \
--image UbuntuLTS \
--vnet-name myVirtualNetwork \
--subnet Public \
--admin-username azureuser \
--admin-password $adminPassword \
--no-wait
Azure CLI
az vm create \
--resource-group myResourceGroup \
--name myVmPrivate \
--image UbuntuLTS \
--vnet-name myVirtualNetwork \
--subnet Private \
--admin-username azureuser \
--admin-password $adminPassword
Sortie
{
"fqdns": "",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virt
ualMachines/myVmPrivate",
"location": "eastus",
"macAddress": "00-0D-3A-23-9A-49",
"powerState": "VM running",
"privateIpAddress": "10.0.1.4",
"publicIpAddress": "13.90.242.231",
"resourceGroup": "myResourceGroup"
}
Veuillez noter publicIpAddress. Cette adresse sera utilisée pour accéder à la machine
virtuelle à partir d’Internet dans une prochaine étape.
Bash
ssh azureuser@<publicIpAddress>
Quand vous êtes invité à indiquer un mot de passe, entrez celui que vous avez
sélectionné dans Créer des machines virtuelles.
Bash
Utilisez la commande suivante pour tester le routage du trafic réseau vers la machine
virtuelle myVmPublic à partir de la machine virtuelle myVmPrivate.
Bash
traceroute myVmPublic
Sortie
Vous pouvez voir que le trafic est routé directement de la machine virtuelle
myVmPrivate vers la machine virtuelle myVmPublic. Les itinéraires par défaut d’Azure
acheminent directement le trafic entre les sous-réseaux.
Utilisez la commande suivante pour établir une connexion SSH avec la machine virtuelle
myVmPublic à partir de la machine virtuelle myVmPrivate :
Bash
ssh azureuser@myVmPublic
Utilisez la commande suivante pour installer la détermination d’itinéraire sur la machine
virtuelle myVmPublic :
Bash
Utilisez la commande suivante pour tester le routage du trafic réseau vers la machine
virtuelle myVmPrivate à partir de la machine virtuelle myVmPublic.
Bash
traceroute myVmPrivate
Sortie
Vous voyez que le premier tronçon est 10.0.2.4, ce qui correspond à l’adresse IP privée
de l’appliance virtuelle réseau (NVA). Le second tronçon est 10.0.1.4, ce qui correspond à
l’adresse IP privée de la machine virtuelle myVmPrivate. L’itinéraire ajouté à la table de
routage myRouteTablePublic et associé au sous-réseau Public a contraint Azure à
acheminer le trafic via l’appliance virtuelle réseau et non directement au sous-réseau
Private.
Fermez les sessions SSH sur les machines virtuelles myVmPublic et myVmPrivate.
Azure CLI
Étapes suivantes
Dans cet article, vous avez créé une table de routage que vous avez associée à un sous-
réseau. Vous avez créé une appliance virtuelle réseau (NVA) simple qui a routé le trafic
d’un sous-réseau public vers un sous-réseau privé. Déployez différentes NVA
préconfigurées exécutant des fonctions de réseau, telles que la fonction de pare-feu ou
l’optimisation WAN, à partir de la Place de marché Azure . Pour en savoir plus sur le
routage, consultez Routage du trafic de réseau virtuel et Créer, modifier ou supprimer
une table de routage.
Alors que vous pouvez déployer de nombreuses ressources Azure dans un réseau
virtuel, les ressources pour certains services Azure PaaS ne peuvent pas être déployées
dans un réseau virtuel. Cependant, vous pouvez toujours restreindre l’accès aux
ressources de certains services Azure PaaS au trafic provenant uniquement d’un sous-
réseau de réseau virtuel. Pour connaître la marche à suivre, consultez Restreindre l’accès
réseau aux ressources PaaS.
Tutoriel : Configurer des tables de
routage Azure avec Ansible
Article • 08/06/2023
) Important
Ansible 2.8 (ou version ultérieure) est nécessaire pour exécuter les exemples de
playbooks dans cet article.
Azure achemine automatiquement le trafic entre les sous-réseaux, les réseaux virtuels et
les réseaux locaux Azure. Si vous avez besoin d’une maîtrise plus stricte du routage de
votre environnement, vous pouvez créer une table de routage.
Créer une table de routage Créer un réseau virtuel et un sous-réseau Associer une table
de routage à un sous-réseau Dissocier une table de routage d’un sous-réseau Créer et
supprimer des itinéraires Interroger une table de routage Supprimer une table de
routage
Prérequis
Abonnement Azure : Si vous n’avez pas d’abonnement Azure, créez un compte
gratuit avant de commencer.
yml
- hosts: localhost
vars:
route_table_name: myRouteTable
resource_group: myResourceGroup
tasks:
- name: Create a route table
azure_rm_routetable:
name: "{{ route_table_name }}"
resource_group: "{{ resource_group }}"
Bash
ansible-playbook route_table_create.yml
Les tables de routage ne sont pas associées à des réseaux virtuels, mais au sous-réseau
d’un réseau virtuel.
Le réseau virtuel doit être connecté à une passerelle de réseau virtuel Azure, qui peut
être ExpressRoute ou un VPN si vous utilisez BGP avec une passerelle VPN.
- hosts: localhost
vars:
subnet_name: mySubnet
virtual_network_name: myVirtualNetwork
route_table_name: myRouteTable
resource_group: myResourceGroup
tasks:
- name: Create virtual network
azure_rm_virtualnetwork:
name: "{{ virtual_network_name }}"
resource_group: "{{ resource_group }}"
address_prefixes_cidr:
- 10.1.0.0/16
- 172.100.0.0/16
dns_servers:
- 127.0.0.1
- 127.0.0.3
- name: Create a subnet with route table
azure_rm_subnet:
name: "{{ subnet_name }}"
virtual_network_name: "{{ virtual_network_name }}"
resource_group: "{{ resource_group }}"
address_prefix_cidr: "10.1.0.0/24"
route_table: "{{ route_table_name }}"
Bash
ansible-playbook route_table_associate.yml
Pour dissocier une table de routage d’un sous-réseau, définissez route_table sur None .
yml
- hosts: localhost
vars:
subnet_name: mySubnet
virtual_network_name: myVirtualNetwork
resource_group: myResourceGroup
tasks:
- name: Dissociate a route table
azure_rm_subnet:
name: "{{ subnet_name }}"
virtual_network_name: "{{ virtual_network_name }}"
resource_group: "{{ resource_group }}"
address_prefix_cidr: "10.1.0.0/24"
Bash
ansible-playbook route_table_dissociate.yml
Créer un itinéraire
Le code du playbook de cette section crée un itinéraire dans une table de routage.
yml
- hosts: localhost
vars:
route_name: myRoute
route_table_name: myRouteTable
resource_group: myResourceGroup
tasks:
- name: Create route
azure_rm_route:
name: "{{ route_name }}"
resource_group: "{{ resource_group }}"
next_hop_type: virtual_network_gateway
address_prefix: "10.1.0.0/16"
route_table_name: "{{ route_table_name }}"
ansible-playbook route_create.yml
Supprimer un itinéraire
Le code du playbook de cette section supprime un itinéraire d’une table de routage.
yml
- hosts: localhost
vars:
route_name: myRoute
route_table_name: myRouteTable
resource_group: myResourceGroup
tasks:
- name: Remove route
azure_rm_route:
name: "{{ route_name }}"
resource_group: "{{ resource_group }}"
route_table_name: "{{ route_table_name }}"
state: absent
Bash
ansible-playbook route_delete.yml
yml
- hosts: localhost
vars:
route_table_name: myRouteTable
resource_group: myResourceGroup
tasks:
- name: Get route table information
azure_rm_routetable_facts:
resource_group: "{{ resource_group }}"
name: "{{ route_table_name }}"
register: query
- debug:
var: query.route_tables[0]
Bash
ansible-playbook route_table_facts.yml
Lorsqu’une table de routage est supprimée, tous ses itinéraires le sont également.
yml
- hosts: localhost
vars:
route_table_name: myRouteTable
resource_group: myResourceGroup
tasks:
- name: Create a route table
azure_rm_routetable:
name: "{{ route_table_name }}"
resource_group: "{{ resource_group }}"
state: absent
Bash
ansible-playbook route_table_delete.yml
Étapes suivantes
Ansible sur Azure
Créer, modifier ou supprimer une table
de routage
Article • 01/05/2023
Azure achemine automatiquement le trafic entre les sous-réseaux, les réseaux virtuels et
les réseaux locaux Azure. Si vous souhaitez modifier le routage par défaut de Azure,
vous pouvez le faire en créant une table de routage. Si vous ne maîtrisez pas encore le
routage des réseaux virtuels, vous trouverez plus d’informations à ce sujet dans Routage
du trafic de réseau virtuel ou en suivant un tutoriel.
Avant de commencer
Si vous n’en avez pas, configurez un compte Azure avec un abonnement actif. Créez un
compte gratuitement . Accomplissez ensuite l’une des tâches suivantes avant
d’exécuter les étapes décrites dans les sections de cet article :
Utilisateurs d’Azure CLI : exécutez les commandes via Azure Cloud Shell ou
Azure CLI en local. Si vous exécutez l’interface Azure CLI localement, utilisez Azure
CLI version 2.0.31 ou ultérieure. Exécutez az --version pour rechercher la version
installée. Si vous devez installer ou mettre à niveau, voir Installer Azure CLI.
Exécutez également az login pour créer une connexion avec Azure.
Attribuez le rôle Contributeur réseau ou un rôle Personnalisé avec les autorisations
appropriées.
1. Dans le menu du Portail Azure ou dans la page Accueil, sélectionnez Créer une
ressource.
2. Dans la zone de recherche, entrez table de route. Quand le terme table de route
s’affiche dans les résultats de recherche, sélectionnez-le.
Paramètre Valeur
Emplacement Sélectionnez une région dans laquelle la table de route sera déployée.
Propager des Si vous envisagez d’associer la table de routes à un sous-réseau d’un réseau
itinéraires de virtuel connecté à votre réseau local via une passerelle VPN et que vous ne
passerelle voulez pas propager vos routes locales aux interfaces réseau dans le sous-
réseau, définissez Propagation de la route de la passerelle de réseau
virtuel sur Désactivé.
5. Sélectionnez Vérifier + créer, puis Créer pour créer votre table de route.
Outil Commande
PowerShell New-AzRouteTable
Outil Commande
Outil Commande
PowerShell Get-AzRouteTable
2. Dans la liste des tables de routes, choisissez la table de routes dont vous souhaitez
afficher les détails.
3. Dans la page de la table de routes, sous Paramètres, visualisez les routes dans la
table de routes ou les sous-réseaux auxquels la table de routes est associée.
Pour en savoir plus sur les paramètres Azure communs, consultez les informations
suivantes :
Journal d’activité
Contrôle d’accès (IAM)
Balises
Verrous
Script Automation
PowerShell Get-AzRouteTable
2. Dans la liste des tables de routes, choisissez la table de routes que vous souhaitez
modifier.
Les modifications les plus courantes consistent à ajouter des routes, supprimer des
routes, associer des tables de routes à des sous-réseaux ou dissocier des tables de
routes des sous-réseaux.
Outil Commande
PowerShell Set-AzRouteTable
Azure achemine tout le trafic sortant du sous-réseau en fonction des itinéraires que
vous avez créés :
Itinéraires propagés à partir d’un réseau local, si le réseau virtuel est connecté à
une passerelle de réseau virtuel Azure (ExpressRoute ou VPN).
Vous pouvez uniquement associer une table de routage à des sous-réseaux de réseaux
virtuels qui se trouvent au même emplacement et dans le même abonnement Azure que
la table de routage.
2. Dans la liste des réseaux virtuels, choisissez le réseau virtuel qui contient le sous-
réseau auquel vous souhaitez associer une table de routes.
5. Dans Table de routage, choisissez la table de routes que vous voulez associer au
sous-réseau.
6. Sélectionnez Enregistrer.
Si votre réseau virtuel est connecté à une passerelle VPN Azure, n’associez pas de table
de routes au sous-réseau de passerelle qui inclut une route avec la destination 0.0.0.0/0.
Cela peut empêcher la passerelle de fonctionner correctement. Pour plus d’informations
sur l’utilisation de 0.0.0.0/0 dans une route, consultez Routage du trafic de réseau
virtuel.
PowerShell Set-AzVirtualNetworkSubnetConfig
2. Dans la liste des réseaux virtuels, choisissez le réseau virtuel qui contient le sous-
réseau duquel vous souhaitez dissocier une table de routes.
Outil Commande
PowerShell Set-AzVirtualNetworkSubnetConfig
Supprimer une table de routage
Vous ne pouvez pas supprimer une table de routes qui est associée à des sous-réseaux.
Dissociez la table de routage de tous les sous-réseaux avant de tenter de la supprimer.
2. Dans la liste des tables de routes, choisissez la table de routes que vous souhaitez
supprimer.
Outil Commande
PowerShell Remove-AzRouteTable
Créer un itinéraire
Le nombre de routes par table de routes que vous pouvez créer par abonnement et par
emplacement Azure est limité. Pour plus d’informations, consultez Limites de mise en
réseau – Azure Resource Manager.
1. Accédez au portail Azure pour gérer vos tables de routes. Recherchez et
sélectionnez Tables de routage.
2. Dans la liste des tables de routes, choisissez la table de routes à laquelle vous
souhaitez ajouter une route.
6. Choisissez un type de tronçon suivant. Pour en savoir plus sur les types de tronçon
suivants, consultez Routage du trafic de réseau virtuel.
7. Si vous avez choisi pour Type de tronçon suivant une Appliance virtuelle, entrez
une adresse IP pour Adresse du tronçon suivant.
8. Sélectionnez OK.
Outil Commande
PowerShell New-AzRouteConfig
2. Dans la liste des tables de routes, choisissez la table de routes dont vous souhaitez
afficher les routes.
Outil Commande
PowerShell Get-AzRouteConfig
2. Dans la liste des tables de routes, choisissez la table de routes contenant la route
dont vous souhaitez afficher les détails.
Outil Commande
PowerShell Get-AzRouteConfig
Modifier un itinéraire
1. Accédez au portail Azure pour gérer vos tables de routes. Recherchez et
sélectionnez Tables de routage.
2. Dans la liste des tables de routes, choisissez la table de routes contenant la route
que vous souhaitez modifier.
Outil Commande
PowerShell Set-AzRouteConfig
Supprimer un itinéraire
1. Accédez au portail Azure pour gérer vos tables de routes. Recherchez et
sélectionnez Tables de routage.
2. Dans la liste des tables de routes, choisissez la table de routes contenant la route
que vous souhaitez supprimer.
Outil Commande
PowerShell Remove-AzRouteConfig
2. Dans la liste des machines virtuelles, choisissez la machine virtuelle pour laquelle
vous souhaitez afficher les routes effectives.
6. Passez en revue la liste des routes effectives pour déterminer si la route correcte
existe pour l’emplacement vers lequel vous souhaitez router le trafic. Pour en
savoir plus sur les types de tronçon suivants qui apparaissent dans cette liste,
consultez Routage du trafic de réseau virtuel.
Outil Commande
PowerShell Get-AzEffectiveRouteTable
Paramètre Valeur
interface Sélectionnez l’interface réseau sur laquelle vous souhaitez tester le tronçon
réseau suivant.
Paramètre Valeur
Après un court délai d’attente, Azure vous indique le type de tronçon suivant et l’ID de
la route qui a routé le trafic. Pour en savoir plus sur les types de tronçon suivants
retournés, consultez Routage du trafic de réseau virtuel.
Outil Commande
PowerShell Get-AzNetworkWatcherNextHop
Autorisations
Pour que vous puissiez exécuter des tâches sur des tables de routes et des routes, votre
compte doit être doté du rôle Contributeur de réseaux ou d’un rôle personnalisé affecté
des actions appropriées listées dans le tableau suivant :
Action Nom
Étapes suivantes
Créer une table de routes avec les exemples de scripts PowerShell ou Azure CLI, ou
les modèles Azure Resource Manager
Créer et attribuer des définitions Azure Policy pour les réseaux virtuels
Créer, modifier ou supprimer une
interface réseau
Article • 29/03/2023 • 26 minutes de lecture
Une interface réseau permet à une machine virtuelle Azure de communiquer avec des
ressources sur Internet, sur Azure et locales. Cet article explique comment créer une
carte réseau, l’afficher, modifier ses paramètres et la supprimer.
Une machine virtuelle que vous créez dans le portail Azure possède une carte réseau
avec les paramètres par défaut. Vous pouvez créer des cartes réseau avec des
paramètres personnalisés à la place et ajouter une ou plusieurs cartes réseau à une
machine virtuelle quand vous la créez ou ultérieurement. Vous pouvez également
modifier les paramètres d’une carte réseau existante.
Prérequis
Portail
Pour réaliser les procédures décrites dans cet article, connectez-vous au Portail
Azure avec votre compte Azure. Vous pouvez remplacer les espaces réservés dans
les exemples par vos propres valeurs.
Autorisations
Pour utiliser des cartes réseau, votre compte doit avoir le rôle de contributeur de réseau
ou un rôle personnalisé assigné aux actions appropriées de la liste suivante :
Action Nom
Microsoft.Network/networkInterfaces/serviceAssociations/validate/action Valider
l’association de
service
Microsoft.Network/networkInterfaces/ipconfigurations/read Obtenir la
configuration IP
de l’interface
réseau
Le portail ne permet pas d’attribuer une adresse IP publique à une carte réseau
quand vous la créez. Si vous souhaitez créer une carte réseau avec une adresse IP
publique, utilisez l’interface de ligne de commande ou PowerShell pour la créer.
Pour ajouter une adresse IP publique à une carte réseau après l’avoir créée,
consultez Configurer des adresses IP pour une interface réseau Azure.
Le portail crée une carte réseau avec des paramètres par défaut et une adresse IP
publique lorsque vous créez une machine virtuelle. Pour créer une carte réseau
avec des paramètres personnalisés et l’attacher à une machine virtuelle, ou pour
ajouter une carte réseau à une machine virtuelle existante, utilisez PowerShell ou
Azure CLI.
Le portail ne permet pas d’attribuer une carte réseau aux groupes de sécurité
d’application lorsque vous créez la carte réseau, contrairement à l’interface de
ligne de commande Azure et à PowerShell. Toutefois, si une carte réseau existante
est attachée à une machine virtuelle, vous pouvez utiliser le portail pour attribuer
cette carte réseau à un groupe de sécurité d’application. Pour plus d’informations,
consultez Ajouter ou supprimer des groupes de sécurité d’application.
Portail
Vous pouvez configurer les paramètres suivants pour une carte réseau :
Abonnement Sélectionnez Vous pouvez attribuer une carte réseau uniquement à un réseau
votre virtuel dans le même abonnement et le même emplacement.
abonnement.
Nom Entrez un Le nom doit être unique au sein du groupe de ressources. Pour
nom pour la plus d’informations sur la création d’une convention d’affectation
carte réseau. de noms pour faciliter la gestion de plusieurs cartes réseau,
consultez Nommage des ressources. Vous ne pouvez pas modifier
le nom après avoir créé la carte réseau.
Région Sélectionnez Région Azure dans laquelle vous créez la carte réseau.
votre région.
Réseau Sélectionnez Vous pouvez attribuer une carte réseau uniquement à un réseau
virtuel votre réseau virtuel dans le même abonnement et le même emplacement que
virtuel. celle-ci. Une fois que vous avez créé une carte réseau, vous ne
pouvez plus modifier le réseau virtuel auquel elle est attribuée. La
machine virtuelle à laquelle vous ajoutez la carte réseau doit
également se trouver dans les mêmes emplacement et
abonnement que la carte réseau.
Sous-réseau Sélectionnez Vous pouvez modifier le sous-réseau auquel la carte réseau est
un sous- attribuée après avoir créé la carte réseau.
réseau dans
le réseau
virtuel que
vous avez
sélectionné.
Version IP Sélectionnez Vous pouvez choisir de créer la carte réseau avec une adresse
IPv4 ou IPv4 ou des adresses IPv4 et IPv6. Pour attribuer une adresse IPv6,
IPv4 et IPv6. le réseau et le sous-réseau que vous utilisez pour la carte réseau
doivent également disposer d’un espace d’adressage IPv6. Une
configuration IPv6 est attribuée à une configuration IP secondaire
pour la carte réseau.
Azure attribue une adresse MAC à la carte réseau uniquement lorsque la carte
réseau est attachée à une machine virtuelle et lorsque la machine virtuelle démarre
pour la première fois. Vous ne pouvez pas spécifier l’adresse MAC qu’Azure attribue
à la carte réseau.
L’adresse MAC reste attribuée à la carte réseau jusqu’à ce que la carte réseau soit
supprimée ou que l’adresse IP privée attribuée à la configuration IP principale de la
carte réseau principale soit modifiée. Pour en savoir plus, consultez Configurer des
adresses IP pour une interface réseau Azure.
7 Notes
Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles
qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends
d’un Azure Load Balancer de base interne. Le mécanisme d’adresse IP d’accès
sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.
L’adresse IP d’accès sortant par défaut est désactivée quand une adresse IP
publique est affectée à la machine virtuelle, quand la machine virtuelle est placée
dans le pool back-end d’un équilibreur de charge standard, avec ou sans règles de
trafic sortant, ou si une ressource de passerelle NAT de réseau virtuel Azure est
affectée au sous-réseau de la machine virtuelle.
Les machines virtuelles créées par des groupes de machines virtuelles identiques en
mode d’orchestration flexible n’ont pas d’accès sortant par défaut.
Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès
sortant par défaut dans Azure et Utiliser la traduction d’adresses réseau sources
(SNAT) pour les connexions sortantes.
Portail
1. Dans le Portail Azure , recherchez et sélectionnez Interfaces réseau.
Portail
2. Sur la page Interfaces réseau, sélectionnez la carte réseau que vous souhaitez
modifier dans la liste.
Le serveur DNS fourni par Azure peut résoudre les noms d’hôtes pour les
ressources assignées au même réseau virtuel. Le nom de domaine
complet (FQDN) doit être utilisé pour les ressources attribuées à
différents réseaux virtuels.
7 Notes
Si une machine virtuelle utilise une carte réseau faisant partie d’un
groupe à haute disponibilité, les serveurs DNS de toutes les
machines virtuelles qui font partie du groupe à haute disponibilité
sont hérités.
5. Sélectionnez Enregistrer.
Recevoir le trafic réseau qui n’est pas destiné à l’une des adresses IP attribuées à
l’une des configurations IP de la carte réseau.
Envoyer le trafic réseau avec une adresse IP source différente de celle attribuée à
n’importe laquelle des configurations IP d’une carte réseau.
Vous devez activer le transfert IP pour chaque carte réseau attachée à la machine
virtuelle qui doit transférer le trafic. Une machine virtuelle peut transférer le trafic,
qu’une ou plusieurs cartes réseau lui soient attachées.
Le transfert IP est généralement utilisé avec les routages définis par l’utilisateur. Pour
plus d’informations, consultez Itinéraires définis par l’utilisateur.
Bien que le transfert IP soit un paramètre Azure, la machine virtuelle doit également
exécuter une application capable de transférer le trafic, comme une application de pare-
feu, d’optimisation WAN ou d’équilibrage de charge. Une machine virtuelle qui exécute
des applications réseau est souvent appelée appliance virtuelle réseau (NVA). Vous
pouvez afficher la liste des NVA prêtes au déploiement sur la Place de marché Microsoft
Azure .
Portail
Portail
3. Lorsque toutes les adresses IP privées sont définies sur Dynamique, sous
Sous-réseau, sélectionnez le sous-réseau vers lequel vous souhaitez déplacer
la carte réseau.
Vous pouvez utiliser le portail pour ajouter ou supprimer une carte réseau pour un
groupe de sécurité d’application uniquement si la carte réseau est attachée à une
machine virtuelle. Sinon, utilisez PowerShell ou Azure CLI. Pour en savoir plus, consultez
Groupes de sécurité d’application et Guide pratique de création d’un groupe de sécurité
d’application.
Portail
6. Sélectionnez Enregistrer.
Associer ou dissocier un groupe de sécurité réseau
Portail
Pour détacher la carte réseau de la machine virtuelle, effectuez les étapes décrites dans
Supprimer une interface réseau d’une machine virtuelle. Une machine virtuelle doit
toujours avoir au moins une carte réseau attachée à celle-ci, de sorte que vous ne
pouvez pas supprimer la seule carte réseau d’une machine virtuelle.
Portail
Pour supprimer une carte réseau, dans la page Vue d’ensemble de la carte réseau
que vous souhaitez supprimer, sélectionnez Supprimer dans la barre de menus
supérieure, puis sélectionnez Oui.
Portail
Comprendre les itinéraires effectifs d’une carte réseau peut vous aider à déterminer
pourquoi vous ne pouvez pas communiquer avec une machine virtuelle. Vous pouvez
afficher les itinéraires effectifs pour toute interface réseau attachée à une machine
virtuelle en cours d’exécution.
Portail
1. Dans la page de la carte réseau attachée à la machine virtuelle, sélectionnez
Itinéraires effectifs sous Aide dans le volet de navigation gauche.
2. Passez en revue la liste des itinéraires effectifs pour déterminer si les itinéraires
sont appropriés pour vos communications entrante et sortante requises. Pour
plus d’informations sur le routage, consultez Routage du trafic de réseau
virtuel.
Étapes suivantes
Pour d’autres tâches d’interface réseau, consultez les articles suivants :
Tâche Article
Ajouter, modifier ou supprimer des adresses IP Configurer des adresses IP pour une interface
pour les interfaces réseau Azure. réseau Azure
Ajouter ou supprimer des interfaces réseau pour Ajouter ou supprimer des interfaces réseau
les machines virtuelles. pour des machines virtuelles
Créer une machine virtuelle avec plusieurs cartes - Guide de création d’une machine virtuelle
d’interface réseau Linux dans Azure avec plusieurs cartes
d’interface réseau
- Créer et gérer une machine virtuelle
Windows équipée de plusieurs cartes
d’interface réseau
Créez une machine virtuelle à carte réseau - Attribuer plusieurs adresses IP à des
unique avec plusieurs adresses IPv4. machines virtuelles à l’aide d’Azure CLI
- Attribuer plusieurs adresses IP aux machines
virtuelles à l’aide d’Azure PowerShell
Créer une machine virtuelle à carte réseau unique - Créer un équilibreur de charge public avec
avec une adresse IPv6 privée derrière Azure Load IPv6 à l’aide d’Azure CLI
Balancer. - Créer un équilibrage de charge Internet
avec IPv6 à l’aide de PowerShell
- Déployer une solution d’équilibrage de
charge sur Internet avec IPv6, à l’aide d’un
modèle
Créer, modifier ou supprimer un réseau
virtuel
Article • 09/03/2023 • 17 minutes de lecture
Découvrez comment créer et supprimer un réseau virtuel, ainsi que modifier des
paramètres tels que les serveurs DNS et les espaces d’adressage IP, pour un réseau
virtuel existant. Si vous découvrez les réseaux virtuels, vous trouverez plus
d’informations à leur sujet dans l’article Vue d’ensemble des réseaux virtuels ou en
suivant un tutoriel. Un réseau virtuel contient des sous-réseaux. Pour savoir comment
créer, modifier et supprimer des sous-réseaux, voir Gérer des sous-réseaux.
Prérequis
Si vous n’avez pas de compte Azure avec un abonnement actif, créez-en un
gratuitement . Effectuez une des tâches suivantes avant de commencer les étapes
décrites dans la suite de cet article :
Utilisateurs de Azure CLI : exécutez les commandes dans Azure Cloud Shell ou
exécutez Azure CLI à partir de votre ordinateur. Azure Cloud Shell est un
interpréteur de commandes interactif et gratuit que vous pouvez utiliser pour
exécuter les étapes de cet article. Il contient des outils Azure courants préinstallés
et configurés pour être utilisés avec votre compte. Sous l’onglet de navigateur
Azure Cloud Shell, ouvrez la liste déroulante Sélectionner un environnement, puis
choisissez Bash si ce n’est pas déjà fait.
Si vous exécutez Azure CLI localement, utilisez Azure CLI version 2.0.31 ou
ultérieure. Exécutez az --version pour rechercher la version installée. Si vous
devez installer ou mettre à niveau, voir Installer Azure CLI. Exécutez az login pour
vous connecter à Azure.
Le compte auquel vous vous connectez, ou avec lequel vous vous connectez à Azure,
doit avoir le rôle contributeur réseau ou un rôle personnalisé disposant des
autorisations appropriées, listées dans Autorisations.
2. Sélectionnez + Créer.
Détails du
projet
Abonnement Sélectionnez Vous ne pouvez pas utiliser un même réseau virtuel dans
votre plus d’un abonnement Azure. En revanche, vous pouvez
abonnement. connecter un réseau virtuel se trouvant dans un
abonnement à des réseaux virtuels dans d’autres
abonnements à l’aide de l’appairage de réseaux virtuels.
Toute ressource Azure que vous connectez au réseau
virtuel doit figurer dans le même abonnement que le
réseau virtuel.
Détails de
l’instance
Nom Entrez un nom le nom doit être unique dans le groupe de ressources
pour le réseau dans lequel vous choisissez de créer le réseau virtuel.
virtuel que vous Vous ne pouvez pas modifier le nom une fois le réseau
créez. virtuel créé.
Pour des suggestions de dénomination, voir Conventions
d’affectation de noms. Le respect d’une convention
d’affectation de noms peut simplifier la gestion de
plusieurs réseaux virtuels.
Région Sélectionnez Un réseau virtuel peut figurer que dans une seule région
une région Azure. En revanche, vous pouvez connecter un réseau
Azure dans le virtuel se trouvant dans une région à un réseau virtuel
champ dans une autre région à l’aide de l’appairage de réseaux
Region virtuels.
(Région). Toute ressource Azure que vous connectez au réseau
virtuel doit figurer dans la même région que le réseau
virtuel.
Le portail nécessite la définition d’au moins une plage d’adresses IPv4 quand
vous créez un réseau virtuel. Vous pouvez modifier l’espace d’adressage
après la création du réseau virtuel sous certaines conditions.
2 Avertissement
Conseil
Azure PowerShell
Azure CLI
2. Dans la liste des réseaux virtuels, sélectionnez le réseau dont vous souhaitez
afficher les paramètres.
3. Les paramètres répertoriés pour le réseau virtuel que vous avez sélectionné sont
les suivants :
Vue d’ensemble : fournit des informations sur le réseau virtuel, dont l’espace
d’adressage et les serveurs DNS. La capture d’écran suivante présente les
paramètres de vue d’ensemble pour un réseau virtuel nommé MyVNet :
Peerings : s’il existe des peerings dans l’abonnement, ils sont répertoriés ici.
Vous pouvez afficher les paramètres des peerings existants, ou créer, modifier
ou supprimer des peerings. Pour en savoir plus sur l’appairage (Peering),
consultez Appairage de réseaux virtuels et Gérer les appairages de réseaux
virtuels.
Paramètres Azure courants : Pour en savoir plus sur les paramètres Azure
communs, consultez les informations suivantes :
Journal d’activité
Contrôle d’accès (IAM)
Balises
Verrous
Script Automation
Azure PowerShell
Azure PowerShell
Azure CLI
Utilisez az network vnet show pour afficher les paramètres d’un réseau virtuel.
Azure CLI
Vous pouvez réduire la plage d’adresses d’un réseau virtuel tant qu’il comprend toujours
les plages de tous les sous-réseaux associés. En outre, vous pouvez étendre la plage
d’adresses, par exemple en remplaçant /16 par /8.
224.0.0.0/4 (multidiffusion)
255.255.255.255/32 (diffusion)
127.0.0.0/8 (bouclage)
169.254.0.0/16 (lien-local)
168.63.129.16/32 (sonde d’intégrité Azure Load Balancer, DHCP et DNS interne)
7 Notes
2. Dans la liste des réseaux virtuels, sélectionnez le réseau pour lequel vous souhaitez
ajouter ou supprimer une plage d’adresses.
5. Sélectionnez Enregistrer.
Azure PowerShell
Azure CLI
## Update the address space of myVNet virtual network with 10.1.0.0/16
address range (10.1.0.0/16 overrides any previous address ranges set in this
virtual network). ##
az network vnet update --resource-group myResourceGroup --name myVNet --
address-prefixes 10.1.0.0/16
2. Dans la liste des réseaux virtuels, sélectionnez le réseau dont vous souhaitez
modifier les serveurs DNS.
Par défaut (fournie par Azure) : les noms de ressources et adresses IP privées
sont tous inscrits automatiquement sur les serveurs Azure DNS. Vous pouvez
résoudre les noms parmi toutes les ressources connectées à un même réseau
virtuel. Vous ne pouvez pas utiliser cette option pour résoudre les noms dans
plusieurs réseaux virtuels. Pour résoudre les noms dans plusieurs réseaux
virtuels, vous devez utiliser un serveur DNS personnalisé.
5. Sélectionnez Enregistrer.
6. Redémarrez les machines virtuelles connectées au réseau virtuel, afin que les
nouveaux paramètres de serveur DNS leur soient attribués. Les machines virtuelles
continuent d’utiliser leurs paramètres DNS actuels jusqu’à ce qu’elles soient
redémarrées.
Azure PowerShell
Azure CLI
4. Sélectionnez Supprimer.
Azure CLI
Autorisations
Pour effectuer des tâches sur des réseaux virtuels, votre compte doit posséder le rôle de
contributeur de réseaux ou un rôle personnalisé disposant des actions appropriées qui
sont répertoriées dans le tableau suivant :
Action Nom
Étapes suivantes
Créez un réseau virtuel avec les exemples de scripts PowerShell ou Azure CLI, ou à
l’aide desmodèles Azure Resource Manager
Ajouter, modifier ou supprimer un sous-réseau de réseau virtuel
Créez et attribuez des définitions Azure Policy pour les réseaux virtuels
Ressources supplémentaires
Documentation
Créer, changer ou supprimer une adresse IP publique Azure - Azure Virtual Network
Gérer les adresses IP publiques. Découvrez comment une adresse IP publique constitue une
ressource disposant de paramètres configurables.
Connecter un réseau virtuel à un réseau virtuel avec une connexion de réseau virtuel
à réseau virtuel : Azure CLI - Azure VPN Gateway
Apprenez à connecter des réseaux virtuels avec une connexion de réseau virtuel à réseau virtuel et
Azure CLI.
Mettre à jour l’espace d’adressage d’un réseau virtuel appairé - Portail Azure
Découvrez comment ajouter, modifier ou supprimer les plages d’adresses d’un réseau virtuel appairé
sans temps d’arrêt.
Afficher 5 de plus
Entrainement
Module
Distribuer vos services sur des réseaux virtuels Azure et les intégrer avec le peering de
réseaux virtuels - Training
Utilisez le peering de réseaux virtuels pour activer la communication entre des réseaux virtuels de
façon sécurisée et peu complexe.
Certification
Microsoft Certified: Azure Network Engineer Associate - Certifications
Les candidats à cette certification doivent avoir une expertise en matière de planification,
d’implémentation et de gestion des solutions réseau Azure, y compris l’infrastructure réseau
principale, la connectivité hybride, les services de distribution d’applications, l’accès privé aux servic…
Ajouter, modifier ou supprimer un sous-
réseau de réseau virtuel
Article • 29/03/2023 • 11 minutes de lecture
Toutes les ressources Azure d’un réseau virtuel sont déployées en sous-réseaux au sein
de ce réseau virtuel. Cet article explique comment ajouter, modifier ou supprimer des
sous-réseaux de réseau virtuel à l’aide du portail Azure, d’Azure CLI ou d’Azure
PowerShell.
Prérequis
Portail
Autorisations
Pour effectuer des tâches sur des sous-réseaux, votre compte doit disposer du rôle de
contributeur de réseaux ou d’un rôle personnalisé auquel sont assignées les actions
appropriées de la liste suivante :
Action Nom
Ajouter un sous-réseau
Portail
Paramètre Description
Nom Le nom doit être unique au sein du réseau virtuel. Pour une compatibilité maximale
avec d’autres services Azure, utilisez une lettre comme premier caractère du nom.
Par exemple, Azure Application Gateway ne peut pas se déployer dans un sous-
réseau dont le nom commence par un nombre.
Paramètre Description
Plage La plage doit être unique au sein de l’espace d’adressage et ne peut pas
d’adresses chevaucher d’autres plages d’adresses de sous-réseaux dans le réseau virtuel. Vous
de sous- devez spécifiez l’espace d’adressage à l’aide de la notation de routage CIDR
réseau (Classless InterDomain Routing).
Par exemple, dans un réseau virtuel avec l’espace d’adressage 10.0.0.0/16 , vous
pouvez définir l’espace d’adressage de sous-réseau 10.0.0.0/22 . La plus petite
plage que vous pouvez spécifier est /29 . Celle-ci fournit huit adresses IP au sous-
réseau. Azure réserve la première et la dernière adresse de chaque sous-réseau
pour la conformité du protocole et trois adresses supplémentaires pour l’utilisation
du service Azure. Ainsi, la définition d’un sous-réseau ayant une plage d’adresses
/29 donne trois adresses IP utilisables dans le sous-réseau.
Ajouter un Vous pouvez créer un réseau virtuel à double pile qui prend en charge IPv4 et IPv6
espace en ajoutant un espace d’adressage IPv6 existant. Actuellement, IPv6 n’est pas
d'adressage entièrement pris en charge pour tous les services d’Azure. Pour plus d’informations,
IPv6 consultez Vue d’ensemble du protocole IPv6 pour un réseau virtuel Azure
Passerelle Pour fournir une traduction d’adresses réseau (NAT) aux ressources d’un sous-
NAT réseau, vous pouvez associer une passerelle NAT existante à un sous-réseau. La
passerelle NAT doit être associée au même abonnement et se trouver au même
emplacement que le réseau virtuel. Pour plus d’informations, consultez Réseau
virtuel NAT et Démarrage rapide : créer une passerelle NAT à l’aide du portail
Azure.
Groupe de Vous pouvez associer un groupe de sécurité réseau (NSG) existant à un sous-
sécurité réseau pour filtrer le trafic réseau entrant et sortant du sous-réseau. Le NSG doit
réseau exister dans le même abonnement et au même emplacement que le réseau virtuel.
Pour plus d’informations, consultez Groupes de sécurité réseau et Tutoriel : Filtrer
le trafic réseau avec un groupe de sécurité réseau à l’aide du portail Azure.
Table de Vous pouvez éventuellement associer une table de route existante à un sous-
routage réseau pour contrôler le routage du trafic réseau vers d’autres réseaux. La table de
routage doit exister dans le même abonnement et au même emplacement que le
réseau virtuel. Pour plus d’informations, consultez Routage du trafic d’un réseau
virtuel et Tutoriel : Acheminer le trafic réseau avec une table de routage à l’aide du
portail Azure.
Paramètre Description
Par défaut, Azure configure les points de terminaison de service dans la région du
réseau virtuel. Pour le Stockage Azure, Azure configure automatiquement les points
de terminaison dans des régions appairées Azure pour permettre la prise en
charge de scénarios de basculement régionaux.
Une fois que vous avez activé un point de terminaison de service, vous devez
également activer l’accès au sous-réseau des ressources créées par le service. Par
exemple, si vous activez le point de terminaison de service Microsoft.Storage, vous
devez également activer l’accès réseau à tous les comptes de stockage Azure
auxquels vous souhaitez accorder l’accès réseau. Pour activer l’accès du réseau à
des sous-réseaux sur lesquels un point de terminaison de service est activé,
consultez la documentation relative au service particulier.
Pour vérifier qu’un point de terminaison de service est activé pour un sous-réseau,
affichez les routages effectifs sur les interfaces réseau dans le sous-réseau. Quand
vous configurez un point de terminaison, vous voyez un itinéraire par défaut avec
les préfixes d’adresse du service et le type de tronçon suivant
VirtualNetworkServiceEndpoint. Pour plus d’informations, consultez Routage du
trafic de réseau virtuel.
Délégation Vous pouvez éventuellement activer une ou plusieurs délégations sur un sous-
de sous- réseau. La délégation de sous-réseau donne les autorisations explicites au service
réseau de créer des ressources spécifiques au service dans le sous-réseau à l’aide d’un
identificateur unique pendant le déploiement du service. Pour déléguer à un
service pendant la configuration du sous-réseau du portail, sélectionnez le service
souhaité dans la liste conceptuelle.
Stratégie Pour contrôler le trafic à destination d’un point de terminaison privé, vous pouvez
réseau pour utiliser des groupes de sécurité réseau ou des tables de routage. Pendant la
les points configuration du sous-réseau du portail, sélectionnez l’une de ces options sous
de Stratégie réseau d’un point de terminaison privé pour utiliser ces contrôles sur un
terminaison sous-réseau. Une fois activée, la stratégie réseau s’applique à tous les points de
privés terminaison privés du sous-réseau. Pour en savoir plus, consultez Gestion des
stratégies réseau pour les points de terminaison privés.
Vous pouvez modifier les paramètres de sous-réseau suivants après avoir créé le sous-
réseau :
Paramètre Description
Plage Si aucune ressource n’a été déployée dans le sous-réseau, vous pouvez changer la
d’adresses plage d’adresses. Si des ressources existent dans le sous-réseau, vous devez
de sous- d’abord déplacer les ressources vers un autre sous-réseau ou les supprimer du
réseau sous-réseau. La procédure à suivre pour supprimer ou déplacer une ressource
varie en fonction de celle-ci. Pour savoir comment supprimer ou déplacer des
ressources existantes dans des sous-réseaux, lire la documentation relative à
chaque type de ressource.
Ajouter un Vous pouvez ajouter la prise en charge d’un protocole IPv6, d’une passerelle NAT,
espace d’un groupe de sécurité réseau (NSG) ou d’une table de routage après avoir créé
d’adressage le sous-réseau.
IPv6,
passerelle
NAT,
Groupe de
sécurité
réseau et
Table de
routage
Paramètre Description
Points de Pour activer le point de terminaison de service d’un sous-réseau existant, vérifiez
terminaison qu’aucune tâche critique n’est en cours d’exécution sur l’une des ressources du
de service sous-réseau. Les points de terminaison de service changent d’itinéraire sur chaque
interface réseau dans le sous-réseau. Dans les points de terminaison de service,
l’itinéraire par défaut contenant le préfixe d’adresse 0.0.0.0/0 et le type de
tronçon suivant Internet est remplacé par un nouvel itinéraire contenant le
préfixe d’adresse du service et le type de tronçon suivant
VirtualNetworkServiceEndpoint .
Délégation Vous pouvez modifier la délégation du sous-réseau pour activer zéro ou plusieurs
de sous- délégations. Si la ressource d’un service est déjà déployée dans le sous-réseau,
réseau vous pouvez ajouter ou supprimer des délégations de sous-réseau après avoir
supprimé toutes les ressources du services. Pour déléguer à un autre service du
portail, sélectionnez le service souhaité dans la liste contextuelle.
Stratégie Vous pouvez modifier la stratégie du réseau d’un point de terminaison privé après
réseau pour la création du sous-réseau.
les points
de
terminaison
privés
Supprimer un sous-réseau
Portail
Étapes suivantes
Créer, modifier ou supprimer un réseau virtuel.
Exemples de scripts PowerShell
Exemples de scripts CLI Azure
Exemples de modèles Azure Resource Manager
Définitions intégrées d’Azure Policy pour Réseau virtuel Azure
Ajouter ou supprimer une délégation de
sous-réseau
Article • 11/05/2023
Prérequis
Compte Azure avec un abonnement actif. Créez un compte gratuitement .
Si vous n’avez pas créé le sous-réseau que vous souhaitez déléguer à un service
Azure, vous devez disposer de l’autorisation suivante :
Microsoft.Network/virtualNetworks/subnets/write . Le rôle intégré Contributeur
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations,
consultez Démarrage rapide pour Bash dans Azure Cloud Shell.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première
utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des
extensions avec Azure CLI.
Vérifiez que la version du module Az.Network est 4.3.0 ou ultérieure. Pour vérifier le
module installé, utilisez la commande Get-InstalledModule -Name "Az.Network" . Si
le module nécessite une mise à jour, utilisez la commande Update-Module -Name
Az.Network , si nécessaire.
Portail
3. Sélectionnez + Créer.
Paramètre Valeur
Détails du projet
Détails de l’instance
Paramètre Valeur
Paramètre Valeur
3. Sélectionnez myVNet.
5. Sélectionnez mySubnet.
Paramètre Valeur
DÉLÉGATION DE
SOUS-RÉSEAU
7. Sélectionnez Enregistrer.
Portail
3. Sélectionnez myVNet.
Paramètre Valeur
DÉLÉGATION DE SOUS-RÉSEAU
7. Sélectionnez Enregistrer.
Étapes suivantes
Découvrez comment gérer les sous-réseaux dans Azure.
Connecter des réseaux virtuels à l’aide
du peering de réseaux virtuels en
utilisant PowerShell
Article • 11/05/2023
Vous pouvez connecter des réseaux virtuels entre eux à l’aide du peering de réseaux
virtuels. Une fois que les deux réseaux virtuels sont appairés, leurs ressources peuvent
communiquer entre elles avec les mêmes bande passante et latence, comme si elles se
trouvaient sur le même réseau virtuel. Dans cet article, vous apprendrez comment :
Option Exemple/Lien
Azure PowerShell
Azure PowerShell
$virtualNetwork1 = New-AzVirtualNetwork `
-ResourceGroupName myResourceGroup `
-Location EastUS `
-Name myVirtualNetwork1 `
-AddressPrefix 10.0.0.0/16
Azure PowerShell
$subnetConfig = Add-AzVirtualNetworkSubnetConfig `
-Name Subnet1 `
-AddressPrefix 10.0.0.0/24 `
-VirtualNetwork $virtualNetwork1
Azure PowerShell
$virtualNetwork1 | Set-AzVirtualNetwork
Azure PowerShell
Azure PowerShell
Add-AzVirtualNetworkPeering `
-Name myVirtualNetwork1-myVirtualNetwork2 `
-VirtualNetwork $virtualNetwork1 `
-RemoteVirtualNetworkId $virtualNetwork2.Id
Dans la sortie obtenue après l’exécution de la commande ci-dessus, vous constatez que
la valeur de PeeringState (état de l’appairage) est Initiated. Le peering reste dans l’état
Initiated jusqu’à ce que vous créiez le peering entre myVirtualNetwork2 et
myVirtualNetwork1. Créez un peering entre myVirtualNetwork2 et myVirtualNetwork1.
Azure PowerShell
Add-AzVirtualNetworkPeering `
-Name myVirtualNetwork2-myVirtualNetwork1 `
-VirtualNetwork $virtualNetwork2 `
-RemoteVirtualNetworkId $virtualNetwork1.Id
Dans la sortie obtenue après l’exécution de la commande ci-dessus, vous constatez que
PeeringState (état de l’appairage) est Connected. Azure a également changé l’état du
peering myVirtualNetwork1-myVirtualNetwork2 en Connected. Vérifiez que l’état du
Peering myVirtualNetwork1-myVirtualNetwork2 a été remplacé par Connected à l’aide
de Get-AzVirtualNetworkPeering.
Azure PowerShell
Get-AzVirtualNetworkPeering `
-ResourceGroupName myResourceGroup `
-VirtualNetworkName myVirtualNetwork1 `
| Select PeeringState
Les ressources d’un réseau virtuel ne peuvent pas communiquer avec les ressources
d’un autre réseau virtuel tant que la valeur de PeeringState pour les appairages dans les
deux réseaux virtuels soit Connected.
Azure PowerShell
New-AzVm `
-ResourceGroupName "myResourceGroup" `
-Location "East US" `
-VirtualNetworkName "myVirtualNetwork1" `
-SubnetName "Subnet1" `
-ImageName "Win2016Datacenter" `
-Name "myVm1" `
-AsJob
New-AzVm `
-ResourceGroupName "myResourceGroup" `
-Location "East US" `
-VirtualNetworkName "myVirtualNetwork2" `
-SubnetName "Subnet1" `
-ImageName "Win2016Datacenter" `
-Name "myVm2"
7 Notes
Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles
qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends
d’un Azure Load Balancer de base interne. Le mécanisme d’adresse IP d’accès
sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.
L’adresse IP d’accès sortant par défaut est désactivée quand une adresse IP
publique est affectée à la machine virtuelle, quand la machine virtuelle est placée
dans le pool back-end d’un équilibreur de charge standard, avec ou sans règles de
trafic sortant, ou si une ressource de passerelle NAT de réseau virtuel Azure est
affectée au sous-réseau de la machine virtuelle.
Les machines virtuelles créées par des groupes de machines virtuelles identiques en
mode d’orchestration flexible n’ont pas d’accès sortant par défaut.
Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès
sortant par défaut dans Azure et Utiliser la traduction d’adresses réseau sources
(SNAT) pour les connexions sortantes.
Établir une communication entre les machines
virtuelles
Vous pouvez vous connecter à l’adresse IP publique d’une machine virtuelle depuis
Internet. Utilisez Get-AzPublicIpAddress pour retourner l’adresse IP publique d’une
machine virtuelle. L’exemple suivant retourne l’adresse IP publique de la machine
virtuelle myVm1 :
Azure PowerShell
Get-AzPublicIpAddress `
-Name myVm1 `
-ResourceGroupName myResourceGroup | Select IpAddress
Utilisez la commande suivante pour créer une session Bureau à distance avec la machine
virtuelle myVm1 à partir de votre ordinateur local. Remplacez <publicIpAddress> par
l’adresse IP retournée par la commande précédente.
mstsc /v:<publicIpAddress>
Un fichier .rdp (Remote Desktop Protocol) est créé, téléchargé sur votre ordinateur, puis
ouvert. Entrez le nom d’utilisateur et le mot de passe (il se peut que vous deviez choisir
Plus de choix, puis Utiliser un compte différent pour spécifier les informations
d’identification que vous avez entrées lors de la création de la machine virtuelle), puis
cliquez sur OK. Un avertissement de certificat peut s’afficher pendant le processus de
connexion. Cliquez sur Oui ou Continuer pour continuer le processus de connexion.
Sur la machine virtuelle myVm1, autorisez le protocole ICMP (Internet Control Message
Protocol) à travers le pare-feu Windows afin d’effectuer un test ping pour cette machine
virtuelle à partir de myVm2 lors d’une étape ultérieure, en utilisant PowerShell :
PowerShell
Bien que ce test ping soit utilisé pour établir une communication entre les machines
virtuelles, il n’est pas recommandé d’autoriser le protocole IMCP via le pare-feu
Windows lors de déploiements de production.
Pour établir une connexion avec la machine virtuelle myVm2, entrez la commande
suivante à partir d’une invite de commandes sur la machine virtuelle myVm1 :
mstsc /v:10.1.0.4
Étant donné que vous avez activé la commande ping sur myVm1, vous pouvez
maintenant effectuer un test ping par adresse IP à partir d’une invite de commandes sur
la machine virtuelle myVm2 :
ping 10.0.0.4
Vous recevez quatre réponses. Déconnectez vos sessions RDP sur myVm1 et myVm2.
Azure PowerShell
Étapes suivantes
Dans cet article, vous avez appris à connecter deux réseaux situés dans la même région
Azure à l’aide du peering de réseaux virtuels. Vous pouvez également appairer des
réseaux virtuels situés dans des régions différentes et dans des abonnements Azure
différents. Vous pouvez aussi créer des conceptions réseau hub-and-spoke avec le
peering. Pour en savoir plus sur le peering de réseaux virtuels, consultez Aperçu de
présentation du peering de réseaux virtuels et Gérer les peerings de réseau virtuels.
Vous pouvez connecter votre propre ordinateur à un réseau virtuel via un VPN et
interagir avec les ressources dans un réseau virtuel, ou dans des réseaux virtuels
appairés. Consultez les exemples de script pour obtenir des scripts réutilisables
permettant d’accomplir un grand nombre des tâches présentées dans les articles sur les
réseaux virtuels.
Connecter des réseaux virtuels à l’aide
du peering de réseaux virtuels en
utilisant Azure CLI
Article • 01/06/2023
Vous pouvez connecter des réseaux virtuels entre eux à l’aide du peering de réseaux
virtuels. Une fois que les deux réseaux virtuels sont appairés, leurs ressources peuvent
communiquer entre elles avec les mêmes bande passante et latence, comme si elles se
trouvaient sur le même réseau virtuel. Dans cet article, vous apprendrez comment :
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de
commencer.
Prérequis
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations,
consultez Démarrage rapide pour Bash dans Azure Cloud Shell.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première
utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des
extensions avec Azure CLI.
Exécutez az version pour rechercher la version et les bibliothèques dépendantes
installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az
upgrade.
Cet article nécessite la version 2.0.28 ou ultérieure d’Azure CLI. Si vous utilisez
Azure Cloud Shell, la version la plus récente est déjà installée.
Azure CLI
Créez un réseau virtuel avec la commande az network vnet create. L’exemple suivant
permet de créer un réseau virtuel nommé myVirtualNetwork1 avec le préfixe d’adresse
10.0.0.0/16.
Azure CLI
Azure CLI
Azure CLI
Azure CLI
Azure CLI
Azure CLI
Les ressources dans un réseau virtuel ne peuvent pas communiquer avec les ressources
dans un autre réseau virtuel avant que le peeringState pour les appairages dans les
deux réseaux virtuels soit Connected.
Azure CLI
az vm create \
--resource-group myResourceGroup \
--name myVm1 \
--image UbuntuLTS \
--vnet-name myVirtualNetwork1 \
--subnet Subnet1 \
--generate-ssh-keys \
--no-wait
Créer la seconde machine virtuelle
Créez une machine virtuelle dans le réseau virtuel myVirtualNetwork2.
Azure CLI
az vm create \
--resource-group myResourceGroup \
--name myVm2 \
--image UbuntuLTS \
--vnet-name myVirtualNetwork2 \
--subnet Subnet1 \
--generate-ssh-keys
Sortie
{
"fqdns": "",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virt
ualMachines/myVm2",
"location": "eastus",
"macAddress": "00-0D-3A-23-9A-49",
"powerState": "VM running",
"privateIpAddress": "10.1.0.4",
"publicIpAddress": "13.90.242.231",
"resourceGroup": "myResourceGroup"
}
Veuillez noter publicIpAddress. Cette adresse sera utilisée pour accéder à la machine
virtuelle à partir d’Internet dans une prochaine étape.
7 Notes
Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles
qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends
d’un Azure Load Balancer de base interne. Le mécanisme d’adresse IP d’accès
sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.
L’adresse IP d’accès sortant par défaut est désactivée quand une adresse IP
publique est affectée à la machine virtuelle, quand la machine virtuelle est placée
dans le pool back-end d’un équilibreur de charge standard, avec ou sans règles de
trafic sortant, ou si une ressource de passerelle NAT de réseau virtuel Azure est
affectée au sous-réseau de la machine virtuelle.
Les machines virtuelles créées par des groupes de machines virtuelles identiques en
mode d’orchestration flexible n’ont pas d’accès sortant par défaut.
Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès
sortant par défaut dans Azure et Utiliser la traduction d’adresses réseau sources
(SNAT) pour les connexions sortantes.
Bash
ssh <publicIpAddress>
Bash
ping 10.0.0.4 -c 4
Azure CLI
Vous pouvez connecter votre propre ordinateur à un réseau virtuel via un VPN et
interagir avec les ressources dans un réseau virtuel, ou dans des réseaux virtuels
appairés. Consultez les exemples de script pour obtenir des scripts réutilisables
permettant d’accomplir un grand nombre des tâches présentées dans les articles sur les
réseaux virtuels.
Créer un appairage de réseau virtuel –
Gestionnaire des ressources,
abonnements et locataires Azure Active
Directory différents
Article • 21/04/2023
Dans ce didacticiel, vous apprendrez à créer un peering de réseaux virtuels entre des
réseaux virtuels créés via Resource Manager. Les réseaux virtuels existent dans des
abonnements différents qui peuvent appartenir à différents locataires Azure Active
Directory (Azure AD). Effectuer le peering de deux réseaux virtuels permet aux
ressources de différents réseaux virtuels de communiquer entre elles avec la même
bande passante et latence, comme si les ressources se trouvaient sur le même réseau
virtuel. En savoir plus sur le peering de réseaux virtuels.
Selon si les réseaux virtuels se trouvent dans le même, ou dans des abonnements
différents, les étapes de création d’un appairage de réseaux virtuels sont différentes. Les
étapes pour homologuer les réseaux créés avec le modèle de déploiement classique
sont différentes. Pour plus d'informations sur les modèles de déploiement, consultez
Modèle de déploiement Azure.
Vous ne pouvez pas créer de peering de réseaux virtuels entre deux réseaux virtuels
déployés via le modèle de déploiement classique. Si vous avez besoin de connecter des
réseaux virtuels tous deux créés par le biais du modèle de déploiement classique, vous
pouvez utiliser une passerelle VPN Azure.
Ce didacticiel permet d’homologuer des réseaux virtuels situés dans la même région.
Vous pouvez également homologuer des réseaux virtuels dans différentes régions prise
en charge. Il est recommandé de vous familiariser avec les exigences et contraintes du
peering avant d’effectuer le peering des réseaux virtuels.
Prérequis
Portail
Pour plus d’informations sur les utilisateurs invités, consultez Ajouter des
utilisateurs de Collaboration Azure Active Directory B2B dans le portail
Azure.
Dans les étapes suivantes, apprenez à appairer des réseaux virtuels dans différents
abonnements et locataires Azure Active Directory.
Vous pouvez utiliser le même compte qui dispose d’autorisations dans les deux
abonnements ou vous pouvez utiliser des comptes distincts pour chaque abonnement
pour configurer l’appairage. Un compte disposant d’autorisations dans les deux
abonnements peut effectuer toutes les étapes sans se déconnecter, se connecter au
portail et attribuer des autorisations.
Les ressources et exemples de compte suivants sont utilisés dans les étapes de cet
article :
7 Notes
Si vous utilisez un seul compte pour effectuer les étapes, vous pouvez ignorer les
étapes de déconnexion du portail et d’attribution d’autres autorisations utilisateur
aux réseaux virtuels.
Portail
3. Sélectionnez + Créer.
Paramètre Valeur
Détails du projet
Détails de l’instance
Paramètre Valeur
9. Sélectionnez Ajouter.
Portail
3. Sélectionnez myVNetA.
7. Sélectionnez Suivant.
3. Sélectionnez myVNetA.
3. Sélectionnez + Créer.
Paramètre Valeur
Détails du projet
Détails de l’instance
Paramètre Valeur
9. Sélectionnez Ajouter.
Portail
3. Sélectionnez myVNetB.
7. Sélectionnez Suivant.
3. Sélectionnez myVNetB.
works/myVnetB .
Portail
3. Sélectionnez myVNetA.
4. Sélectionnez Peerings.
5. Sélectionnez Ajouter.
Ce réseau virtuel
Trafic vers le réseau virtuel distant Conservez la valeur par défaut Autoriser
(par défaut).
8. Sélectionnez Authentifier.
9. Sélectionnez Ajouter.
La connexion de peering s’affiche dans Peerings dans un état Initié. Pour terminer
l’homologue, une connexion correspondante doit être configurée dans myVNetB.
3. Sélectionnez myVNetB.
4. Sélectionnez Peerings.
5. Sélectionnez Ajouter.
Paramètre Valeur
Ce réseau virtuel
Trafic vers le réseau virtuel distant Conservez la valeur par défaut Autoriser
(par défaut).
8. Sélectionnez Authentifier.
9. Sélectionnez Ajouter.
Le peering est établi avec succès une fois que vous voyez Connecté dans la colonne État
de peering pour les deux réseaux virtuels du peering. Les ressources Azure que vous
créez dans un réseau virtuel sont désormais en mesure de communiquer entre elles via
leurs adresses IP. Si vous utilisez la résolution de noms Azure par défaut pour les
réseaux virtuels, les ressources des réseaux virtuels ne peuvent pas résoudre les noms
dans les réseaux virtuels. Si vous souhaitez résoudre les noms dans les réseaux virtuels
d’un peering, vous devez créer votre propre serveur DNS ou utiliser Azure DNS.
Pour obtenir plus d’informations sur l'utilisation de votre propre DNS pur la résolution
de noms, voir Résolution de noms à l'aide de votre propre serveur DNS.
Pour plus d’informations sur Azure DNS, consultez Qu’est-ce qu’Azure DNS ?.
Étapes suivantes
Familiarisez-vous bien avec les comportements et contraintes importants du
peering de réseaux virtuels avant d’en créer un pour une utilisation en production.
Découvrez comment créer une topologie de réseau de type hub et spoke avec le
peering de réseaux virtuels.
Créer un peering de réseaux virtuels
Azure - Modèles de déploiement
différents, même abonnement
Article • 03/04/2023 • 11 minutes de lecture
Dans ce didacticiel, vous allez découvrir comment créer un peering de réseaux virtuels
entre des réseaux virtuels créés par le biais de modèles de déploiement différents. Les
deux réseaux virtuels doivent se trouver dans le même abonnement. Effectuer le peering
de deux réseaux virtuels permet aux ressources de différents réseaux virtuels de
communiquer entre elles avec la même bande passante et latence, comme si les
ressources se trouvaient sur le même réseau virtuel. En savoir plus sur le peering de
réseaux virtuels.
Les étapes de création d’un peering de réseaux virtuels sont différentes, selon que les
réseaux virtuels sont dans le même abonnement ou dans des abonnements différents,
et selon le modèle de déploiement Azure utilisé pour les créer. Découvrez comment
créer un peering de réseaux virtuels dans d’autres scénarios en cliquant sur le scénario
souhaité dans le tableau suivant :
Vous ne pouvez pas créer de peering de réseaux virtuels entre deux réseaux virtuels
déployés via le modèle de déploiement classique. Si vous avez besoin de connecter des
réseaux virtuels tous deux créés par le biais du modèle de déploiement classique, vous
pouvez utiliser une passerelle VPN Azure.
Ce didacticiel permet d’homologuer des réseaux virtuels situés dans la même région.
Vous pouvez également homologuer des réseaux virtuels dans différentes régions prise
en charge. Il est recommandé de vous familiariser avec les exigences et contraintes du
peering avant d’effectuer le peering des réseaux virtuels.
Pour créer un appairage de réseaux virtuels, vous pouvez utiliser le portail Azure, Azure
CLI, Azure PowerShell ou un modèle Azure Resource Manager. Cliquez sur les liens des
outils précédents pour accéder directement à la procédure permettant de créer un
peering de réseaux virtuels à l’aide de l’outil de votre choix.
Créer un peering - portail Azure
1. Connectez-vous au portail Azure . Le compte auquel vous vous connectez doit
avoir les autorisations nécessaires pour créer un peering de réseaux virtuels. Pour
obtenir une liste d’autorisations, consultez Autorisations de peering de réseau
virtuel.
3. Dans le panneau Créer un réseau virtuel, entrez ou sélectionnez les valeurs des
paramètres suivants, puis cliquez sur Créer :
Nom : myVnet1
Espace d’adressage : 10.0.0.0/16
Nom du sous-réseau : par défaut
Plage d’adresses de sous-réseau : 10.0.0.0/24
Abonnement: Sélectionnez votre abonnement
Groupe de ressources : Sélectionnez Créer et entrez myResourceGroup.
Emplacement : USA Est
6. Dans le panneau Créer un réseau virtuel, entrez ou sélectionnez les valeurs des
paramètres suivants, puis cliquez sur Créer :
Nom : myVnet2
Espace d’adressage : 10.1.0.0/16
Nom du sous-réseau : par défaut
Plage d’adresses de sous-réseau : 10.1.0.0/24
Abonnement: Sélectionnez votre abonnement
Groupe de ressources : Sélectionnez Utiliser l'existant, puis
myResourceGroup
Emplacement : USA Est
9. Dans le panneau myVnet1 qui s’affiche, cliquez sur Peerings dans la liste verticale
des options sur le côté gauche du panneau.
10. Dans le panneau myVnet1 - Peerings qui s’est affiché, cliquez sur + Ajouter.
11. Dans le panneau Ajouter le peering qui s’affiche, entrez ou sélectionnez les
options suivantes et cliquez sur OK :
Nom : myVnet1ToMyVnet2
Modèle de déploiement de réseau virtuel : sélectionnez Classique.
Abonnement: Sélectionnez votre abonnement
Réseau virtuel : cliquez sur Choisir un réseau virtuel, puis sur myVnet2.
Autoriser l’accès au réseau virtuel : vérifiez que Activé est sélectionné. Il n’y
aucun autre paramètre utilisé dans ce didacticiel. Pour en savoir plus sur tous
les paramètres d’homologation, consultez Create, change, or delete a virtual
network peering (Créer, modifier ou supprimer une homologation de réseaux
virtuels).
12. Après avoir cliqué sur OK à l’étape précédente, le panneau Ajouter le peering se
ferme et vous pouvez à nouveau voir le panneau myVnet1 - Peerings. Après
quelques secondes, le peering que vous avez créé apparaît dans le panneau.
Connecté est indiqué dans la colonne ÉTAT DE PEERING pour le peering
myVnet1ToMyVnet2 que vous avez créé.
Le peering est maintenant établi. Les ressources Azure que vous créez dans un
réseau virtuel sont désormais en mesure de communiquer entre elles via leurs
adresses IP. Si vous utilisez la résolution de noms Azure par défaut pour les
réseaux virtuels, les ressources des réseaux virtuels ne peuvent pas résoudre les
noms dans les réseaux virtuels. Si vous souhaitez résoudre les noms dans les
réseaux virtuels d’un peering, vous devez créer votre propre serveur DNS.
Apprenez à configurer la résolution de noms à l’aide de votre propre serveur DNS.
13. Facultatif : bien que la création de machines virtuelles ne soit pas abordée dans ce
tutoriel, vous pouvez créer une machine virtuelle sur chaque réseau virtuel et vous
connecter d'une machine virtuelle à l'autre pour valider la connectivité.
14. Facultatif : pour supprimer les ressources créées dans ce tutoriel, effectuez les
étapes décrites dans la section Supprimer des ressources de cet article.
Créer un peering - interface de ligne de
commande Azure
Effectuez les étapes suivantes à l’aide de l’interface Azure Classic CLI et de l’interface
Azure CLI. Vous pouvez effectuer les étapes à partir d’Azure Cloud Shell, en
sélectionnant simplement le bouton Essayer dans toutes les étapes suivantes, ou en
installant l’interface Azure Classic CLI et Azure CLI, puis en exécutant les commandes sur
votre ordinateur local.
1. Si vous utilisez Cloud Shell, passez à l’étape 2, car Cloud Shell vous connecte
automatiquement à Azure. Ouvrez une session de commande et connectez-vous à
Azure à l’aide de la commande azure login .
Azure CLI
4. Exécutez le script CLI bash suivant à l’aide d’Azure CLI, et non d’Azure Classic CLI.
Pour connaître les options d’exécution de scripts CLI bash sur un ordinateur
Windows, consultez Installer Azure CLI sur Windows.
Azure CLI
#!/bin/bash
5. Créez un peering entre les deux réseaux virtuels créés par le biais des différents
modèles de déploiement à l’aide de l’interface CLI. Copiez le script suivant dans un
éditeur de texte sur votre PC. Remplacez <subscription id> par votre ID
d’abonnement. Si vous ne connaissez pas votre ID d’abonnement, entrez la
commande az account show . La valeur de id dans la sortie est votre ID
d’abonnement. Collez le script modifié dans votre session CLI, puis appuyez sur
Enter .
Azure CLI
Azure CLI
Les ressources Azure que vous créez dans un réseau virtuel sont désormais en
mesure de communiquer entre elles via leurs adresses IP. Si vous utilisez la
résolution de noms Azure par défaut pour les réseaux virtuels, les ressources des
réseaux virtuels ne peuvent pas résoudre les noms dans les réseaux virtuels. Si
vous souhaitez résoudre les noms dans les réseaux virtuels d’un peering, vous
devez créer votre propre serveur DNS. Apprenez à configurer la résolution de
noms à l’aide de votre propre serveur DNS.
7. Facultatif : bien que la création de machines virtuelles ne soit pas abordée dans ce
tutoriel, vous pouvez créer une machine virtuelle sur chaque réseau virtuel et vous
connecter d'une machine virtuelle à l'autre pour valider la connectivité.
8. Facultatif : pour supprimer les ressources créées dans ce tutoriel, effectuez les
étapes décrites dans la section Supprimer des ressources de cet article.
nécessaires pour créer un peering de réseaux virtuels. Pour obtenir une liste
d’autorisations, consultez Autorisations de peering de réseau virtuel.
4. Pour créer un réseau virtuel (classique) avec PowerShell, vous devez créer un fichier
de configuration réseau ou en modifier un existant. Pour découvrir comment
exporter, mettre à jour et importer des fichiers de configuration réseau, consultez
cet article. Le fichier doit inclure l’élément VirtualNetworkSite suivant pour le
réseau virtuel utilisé dans ce didacticiel :
XML
2 Avertissement
PowerShell
7. Créez un peering de réseaux virtuels entre les deux réseaux virtuels créés par le
biais des modèles de déploiement différents. Copiez le script suivant dans un
éditeur de texte sur votre PC. Remplacez <subscription id> par votre ID
d’abonnement. Si vous ne connaissez pas votre ID d’abonnement, entrez la
commande Get-AzSubscription pour l’afficher. La valeur de id dans la sortie
retournée est votre ID d’abonnement. Pour exécuter le script, copiez le script
modifié à partir de votre éditeur de texte, cliquez avec le bouton droit dans votre
session PowerShell, puis appuyez sur Enter .
PowerShell
PowerShell
Get-AzVirtualNetworkPeering `
-ResourceGroupName myResourceGroup `
-VirtualNetworkName myVnet1 `
| Format-Table VirtualNetworkName, PeeringState
Les ressources Azure que vous créez dans un réseau virtuel sont désormais en
mesure de communiquer entre elles via leurs adresses IP. Si vous utilisez la
résolution de noms Azure par défaut pour les réseaux virtuels, les ressources des
réseaux virtuels ne peuvent pas résoudre les noms dans les réseaux virtuels. Si
vous souhaitez résoudre les noms dans les réseaux virtuels d’un peering, vous
devez créer votre propre serveur DNS. Apprenez à configurer la résolution de
noms à l’aide de votre propre serveur DNS.
9. Facultatif : bien que la création de machines virtuelles ne soit pas abordée dans ce
tutoriel, vous pouvez créer une machine virtuelle sur chaque réseau virtuel et vous
connecter d'une machine virtuelle à l'autre pour valider la connectivité.
10. Facultatif : pour supprimer les ressources créées dans ce tutoriel, effectuez les
étapes décrites dans la section Supprimer des ressources de cet article.
Portail Azure
1. Dans le champ de recherche du portail, entrez myResourceGroup. Dans les
résultats de la recherche, cliquez sur myResourceGroup.
2. Dans le panneau myResourceGroup, cliquez sur l’icône Supprimer.
3. Pour confirmer la suppression, dans le champ TAPEZ LE NOM DU GROUPE DE
RESSOURCES : , entrez myResourceGroup, puis cliquez sur Supprimer.
Azure CLI
1. Utilisez Azure CLI pour supprimer le réseau virtuel (Resource Manager) avec la
commande suivante :
Azure CLI
2. Utilisez l’interface CLI classique pour supprimer le réseau virtuel (classique) avec les
commandes suivantes :
Azure CLI
PowerShell
1. Entrez la commande suivante pour supprimer le réseau virtuel (Resource
Manager) :
PowerShell
2. Pour supprimer le réseau virtuel (classique) avec PowerShell, vous devez modifier
un fichier de configuration réseau existant. Pour découvrir comment exporter,
mettre à jour et importer des fichiers de configuration réseau, consultez cet article.
Supprimez l’élément VirtualNetworkSite suivant pour le réseau virtuel utilisé dans
ce didacticiel :
XML
Étapes suivantes
Familiarisez-vous bien avec les comportements et contraintes importants du
peering de réseaux virtuels avant d’en créer un pour une utilisation en production.
Apprenez-en davantage sur tous les paramètres de peering de réseaux virtuels.
Découvrez comment créer une topologie de réseau de type hub et spoke avec le
peering de réseaux virtuels.
Créer un peering de réseaux virtuels
Azure - Modèles de déploiement et
abonnements différents
Article • 09/03/2023 • 15 minutes de lecture
Dans ce didacticiel, vous allez découvrir comment créer un peering de réseaux virtuels
entre des réseaux virtuels créés par le biais de modèles de déploiement différents. Les
réseaux virtuels existent dans des abonnements différents. Effectuer le peering de deux
réseaux virtuels permet aux ressources de différents réseaux virtuels de communiquer
entre elles avec la même bande passante et latence, comme si les ressources se
trouvaient sur le même réseau virtuel. En savoir plus sur le peering de réseaux virtuels.
Les étapes de création d’un peering de réseaux virtuels sont différentes, selon que les
réseaux virtuels sont dans le même abonnement ou dans des abonnements différents,
et selon le modèle de déploiement Azure utilisé pour les créer. Découvrez comment
créer un peering de réseaux virtuels dans d’autres scénarios en cliquant sur le scénario
souhaité dans le tableau suivant :
Vous ne pouvez pas créer de peering de réseaux virtuels entre deux réseaux virtuels
déployés via le modèle de déploiement classique. Ce didacticiel utilise des réseaux
virtuels situés dans la même région. Ce didacticiel permet d’homologuer des réseaux
virtuels situés dans la même région. Vous pouvez également homologuer des réseaux
virtuels dans différentes régions prise en charge. Il est recommandé de vous familiariser
avec les exigences et contraintes du peering avant d’effectuer le peering des réseaux
virtuels.
Lors de la création d’un appairage de réseaux virtuels entre des réseaux virtuels dans
différents abonnements, ceux-ci peuvent être associés au même locataire Azure Active
Directory. Si vous n’avez pas encore de locataire Azure Active Directory, vous pouvez
rapidement en créer un.
Vous pouvez utiliser le portail Azure, Azure CLI ou Azure PowerShell pour créer un
appairage de réseaux virtuels. Cliquez sur les liens des outils précédents pour accéder
directement à la procédure permettant de créer un peering de réseaux virtuels à l’aide
de l’outil de votre choix.
3. Dans le panneau Créer un réseau virtuel, entrez ou sélectionnez les valeurs des
paramètres suivants, puis cliquez sur Créer :
Nom : myVnetA
Espace d’adressage : 10.0.0.0/16
Nom du sous-réseau : par défaut
Plage d’adresses de sous-réseau : 10.0.0.0/24
Abonnement: sélectionnez l’abonnement A.
Groupe de ressources : sélectionnez Créer et entrez myResourceGroupA.
Emplacement : USA Est
5. Dans le panneau myVnetA qui apparaît, cliquez sur Contrôle d’accès (IAM) dans la
liste verticale des options sur le côté gauche du panneau.
6. Dans le panneau myVnetA - Contrôle d’accès (IAM) qui apparaît, cliquez sur +
Ajouter une attribution de rôle.
10. Déconnectez-vous du portail en tant que UserA, puis connectez-vous en tant que
UserB.
11. Cliquez sur + Nouveau, tapez réseau virtuel dans la zone Rechercher dans le
marketplace, puis cliquez sur Réseau virtuel dans les résultats de recherche.
12. Dans le panneau Réseau virtuel qui s’affiche, sélectionnez Classique dans la zone
Sélectionnez un modèle de déploiement, puis cliquez sur Créer.
13. Dans la zone Créer un réseau virtuel (classique) qui s’affiche, entrez les valeurs
suivantes :
Nom : myVnetB
Espace d’adressage : 10.1.0.0/16
Nom du sous-réseau : par défaut
Plage d’adresses de sous-réseau : 10.1.0.0/24
Abonnement: sélectionnez l’abonnement B.
Groupe de ressources : sélectionnez Créer et entrez myResourceGroupB.
Emplacement : USA Est
14. Dans le champ Rechercher des ressources située en haut du portail, tapez
myVnetB. Quand la mention myVnetB apparaît dans les résultats de recherche,
cliquez dessus. Un panneau apparaît pour le réseau virtuel myVnetB.
15. Dans le panneau myVnetB qui s’affiche, cliquez sur Propriétés dans la liste
verticale des options sur le côté gauche du panneau. Copiez l’ID de ressource, qui
vous servira lors d’une étape ultérieure. L’ID de la ressource ressemble à celui de
l’exemple qui suit : /subscriptions/<Subscription
ID>/resourceGroups/myResourceGroupB/providers/Microsoft.ClassicNetwork/virtual
Networks/myVnetB
17. Déconnectez-vous du portail en tant que UserB, puis connectez-vous en tant que
UserA.
18. Dans le champ Rechercher des ressources située en haut du portail, tapez
myVnetA. Quand la mention myVnetA apparaît dans les résultats de recherche,
cliquez dessus. Un panneau apparaît pour le réseau virtuel myVnet.
19. Cliquez sur myVnetA.
20. Dans le panneau myVnetA qui s’affiche, cliquez sur Peerings dans la liste verticale
des options sur le côté gauche du panneau.
21. Dans le panneau myVnetA - Peerings qui s’est affiché, cliquez sur + Ajouter.
22. Dans le panneau Ajouter le peering qui s’affiche, entrez ou sélectionnez les
options suivantes et cliquez sur OK :
Nom : myVnetAToMyVnetB
Modèle de déploiement de réseau virtuel : sélectionnez Classique.
Je connais mon ID de ressource : cochez cette case.
ID de ressource : entrez l’ID de ressource de myVnetB noté à l’étape 15.
Autoriser l’accès au réseau virtuel : vérifiez que Activé est sélectionné. Il n’y
aucun autre paramètre utilisé dans ce didacticiel. Pour en savoir plus sur tous
les paramètres d’homologation, consultez Create, change, or delete a virtual
network peering (Créer, modifier ou supprimer une homologation de réseaux
virtuels).
23. Après avoir cliqué sur OK à l’étape précédente, le panneau Ajouter le peering se
ferme et vous pouvez à nouveau voir le panneau myVnetA - Peerings. Après
quelques secondes, le peering que vous avez créé apparaît dans le panneau.
Connecté est indiqué dans la colonne ÉTAT DE PEERING pour le peering
myVnetAToMyVnetB que vous avez créé. Le peering est maintenant établi. Il n’est
pas nécessaire d’homologuer le réseau virtuel (classique) au réseau virtuel
(Resource Manager).
Les ressources Azure que vous créez dans un réseau virtuel sont désormais en
mesure de communiquer entre elles via leurs adresses IP. Si vous utilisez la
résolution de noms Azure par défaut pour les réseaux virtuels, les ressources dans
les réseaux virtuels ne sont pas en mesure de résoudre les noms dans les réseaux
virtuels. Si vous souhaitez résoudre les noms dans les réseaux virtuels d’un peering,
vous devez créer votre propre serveur DNS. Apprenez à configurer la résolution de
noms à l’aide de votre propre serveur DNS.
24. Facultatif : bien que la création de machines virtuelles ne soit pas abordée dans ce
tutoriel, vous pouvez créer une machine virtuelle sur chaque réseau virtuel et vous
connecter d’une machine virtuelle à l’autre pour valider la connectivité.
25. Facultatif : pour supprimer les ressources créées dans ce tutoriel, effectuez les
étapes décrites dans la section Supprimer des ressources de cet article.
Créer un peering - interface de ligne de
commande Azure
Ce didacticiel utilise des comptes différents pour chaque abonnement. Si vous utilisez
un compte qui a des autorisations pour les deux abonnements, vous pouvez utiliser le
même compte pour toutes les étapes, ignorer les étapes de déconnexion d’Azure et
supprimer les lignes de script qui créent les affectations de rôle utilisateur. Remplacez
UserA@azure.com et UserB@azure.com dans tous les scripts suivants par les noms
d’utilisateurs que vous utilisez pour UserA et UserB. Effectuez les étapes suivantes à
l’aide de l’interface Azure Classic CLI et de l’interface Azure CLI. Vous pouvez effectuer
les étapes à partir d’Azure Cloud Shell, en sélectionnant simplement le bouton Essayer
dans toutes les étapes suivantes, ou en installant l’interface Azure Classic CLI et Azure
CLI, puis en exécutant les commandes sur votre ordinateur local.
1. Si vous utilisez Cloud Shell, passez à l’étape 2, car Cloud Shell vous connecte
automatiquement à Azure. Ouvrez une session de commande et connectez-vous à
Azure à l’aide de la commande azure login .
3. Entrez la commande CLI classique suivante pour créer le réseau virtuel (classique) :
Console
5. Copiez le script suivant dans un éditeur de texte sur votre PC. Remplacez
<SubscriptionB-Id> par votre ID d’abonnement. Si vous ne connaissez pas votre ID
Azure CLI
Quand vous avez créé le réseau virtuel (classique) à l’étape 4, Azure a créé le
réseau virtuel dans le groupe de ressources Default-Networking.
Azure CLI
#!/bin/bash
8. Créez un peering de réseaux virtuels entre les deux réseaux virtuels créés par le
biais des modèles de déploiement différents. Copiez le script suivant dans un
éditeur de texte sur votre PC. Remplacez <SubscriptionB-id> par votre ID
d’abonnement. Si vous ne connaissez pas votre ID d’abonnement, entrez la
commande az account show . La valeur de id dans la sortie est votre ID
d’abonnement. Azure a créé le réseau virtuel (classique) que vous avez créé à
l’étape 4 dans un groupe de ressources nommé Default-Networking. Collez le
script modifié dans votre session CLI, puis appuyez sur Enter .
Azure CLI
Azure CLI
Les ressources Azure que vous créez dans un réseau virtuel sont désormais en
mesure de communiquer entre elles via leurs adresses IP. Si vous utilisez la
résolution de noms Azure par défaut pour les réseaux virtuels, les ressources dans
les réseaux virtuels ne sont pas en mesure de résoudre les noms dans les réseaux
virtuels. Si vous souhaitez résoudre les noms dans les réseaux virtuels d’un peering,
vous devez créer votre propre serveur DNS. Apprenez à configurer la résolution de
noms à l’aide de votre propre serveur DNS.
10. Facultatif : bien que la création de machines virtuelles ne soit pas abordée dans ce
tutoriel, vous pouvez créer une machine virtuelle sur chaque réseau virtuel et vous
connecter d’une machine virtuelle à l’autre pour valider la connectivité.
11. Facultatif : pour supprimer les ressources créées dans ce tutoriel, effectuez les
étapes décrites dans la section Supprimer des ressources de cet article.
4. Pour créer un réseau virtuel (classique) avec PowerShell, vous devez créer un fichier
de configuration réseau ou en modifier un existant. Pour découvrir comment
exporter, mettre à jour et importer des fichiers de configuration réseau, consultez
cet article. Le fichier doit inclure l’élément VirtualNetworkSite suivant pour le
réseau virtuel utilisé dans ce didacticiel :
XML
2 Avertissement
6. Affectez à UserA des autorisations sur le réseau virtuel B. Copiez le script suivant
dans un éditeur de texte sur votre PC et remplacez <SubscriptionB-id> par l’ID de
l’abonnement B. Si vous ne connaissez pas l’ID d’abonnement, entrez la
commande Get-AzSubscription pour l’afficher. La valeur de id dans la sortie
retournée est votre ID d’abonnement. Azure a créé le réseau virtuel (classique) que
vous avez créé à l’étape 4 dans un groupe de ressources nommé Default-
Networking. Pour exécuter le script, copiez le script modifié, collez-le dans
PowerShell, puis appuyez sur Enter .
PowerShell
New-AzRoleAssignment `
-SignInName UserA@azure.com `
-RoleDefinitionName "Classic Network Contributor" `
-Scope /subscriptions/<SubscriptionB-id>/resourceGroups/Default-
Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/myVnetB
PowerShell
PowerShell
New-AzRoleAssignment `
-SignInName UserB@azure.com `
-RoleDefinitionName "Network Contributor" `
-Scope /subscriptions/<SubscriptionA-
Id>/resourceGroups/myResourceGroupA/providers/Microsoft.Network/Virtual
Networks/myVnetA
10. Copiez le script suivant dans un éditeur de texte sur votre ordinateur, puis
remplacez <SubscriptionB-id> par l’ID de l’abonnement B. Pour homologuer
myVnetA à myVNetB, copiez le script modifié, collez-le dans PowerShell, puis
appuyez sur Enter .
PowerShell
Add-AzVirtualNetworkPeering `
-Name 'myVnetAToMyVnetB' `
-VirtualNetwork $vnetA `
-RemoteVirtualNetworkId /subscriptions/<SubscriptionB-
id>/resourceGroups/Default-
Networking/providers/Microsoft.ClassicNetwork/virtualNetworks/myVnetB
PowerShell
Get-AzVirtualNetworkPeering `
-ResourceGroupName $rgName `
-VirtualNetworkName myVnetA `
| Format-Table VirtualNetworkName, PeeringState
L’état est Connecté. Il devient Connecté une fois que vous avez configuré le
peering à myVnetA à partir de myVnetB.
Les ressources Azure que vous créez dans un réseau virtuel sont désormais en
mesure de communiquer entre elles via leurs adresses IP. Si vous utilisez la
résolution de noms Azure par défaut pour les réseaux virtuels, les ressources dans
les réseaux virtuels ne sont pas en mesure de résoudre les noms dans les réseaux
virtuels. Si vous souhaitez résoudre les noms dans les réseaux virtuels d’un peering,
vous devez créer votre propre serveur DNS. Apprenez à configurer la résolution de
noms à l’aide de votre propre serveur DNS.
12. Facultatif : bien que la création de machines virtuelles ne soit pas abordée dans ce
tutoriel, vous pouvez créer une machine virtuelle sur chaque réseau virtuel et vous
connecter d’une machine virtuelle à l’autre pour valider la connectivité.
13. Facultatif : pour supprimer les ressources créées dans ce tutoriel, effectuez les
étapes décrites dans la section Supprimer des ressources de cet article.
Portail Azure
1. Dans le champ de recherche du portail, entrez myResourceGroupA. Dans les
résultats de la recherche, cliquez sur myResourceGroupA.
2. Dans le panneau myResourceGroupA, cliquez sur l’icône Supprimer.
3. Pour confirmer la suppression, dans le champ Tapez le nom du groupe de
ressources, entrez myResourceGroupA, puis cliquez sur Supprimer.
4. Dans le champ Rechercher des ressources située en haut du portail, tapez
myVnetB. Quand la mention myVnetB apparaît dans les résultats de recherche,
cliquez dessus. Un panneau apparaît pour le réseau virtuel myVnetB.
5. Dans le panneau myVnetB, cliquez sur Supprimer.
6. Pour confirmer la suppression, cliquez sur Oui dans la zone Supprimer le réseau
virtuel.
Azure CLI
1. Connectez-vous à Azure à l’aide de l’interface CLI pour supprimer le réseau virtuel
(Resource Manager) avec la commande suivante :
Azure CLI
az group delete --name myResourceGroupA --yes
Console
PowerShell
1. À l’invite de commandes PowerShell, entrez la commande suivante pour supprimer
le réseau virtuel (Resource Manager) :
PowerShell
2. Pour supprimer le réseau virtuel (classique) avec PowerShell, vous devez modifier
un fichier de configuration réseau existant. Pour découvrir comment exporter,
mettre à jour et importer des fichiers de configuration réseau, consultez cet article.
Supprimez l’élément VirtualNetworkSite suivant pour le réseau virtuel utilisé dans
ce didacticiel :
XML
2 Avertissement
Étapes suivantes
Familiarisez-vous bien avec les comportements et contraintes importants du
peering de réseaux virtuels avant d’en créer un pour une utilisation en production.
Apprenez-en davantage sur tous les paramètres de peering de réseaux virtuels.
Découvrez comment créer une topologie de réseau de type hub et spoke avec le
peering de réseaux virtuels.
Ressources supplémentaires
Documentation
Configurer le transit par passerelle VPN pour le peering de réseaux virtuels - Azure
VPN Gateway
Découvrez comment configurer le transit par passerelle pour le peering de réseaux virtuels, afin de
connecter en toute transparence deux réseaux virtuels Azure en un seul à des fins de connectivité.
Tutoriel : Acheminer le trafic réseau avec une table de routage - Portail Azure
Dans ce didacticiel, découvrez comment acheminer le trafic réseau avec une table de routage à l’aide
du portail Azure.
Afficher 5 de plus
Entrainement
Module
Distribuer vos services sur des réseaux virtuels Azure et les intégrer avec le peering de
réseaux virtuels - Training
Utilisez le peering de réseaux virtuels pour activer la communication entre des réseaux virtuels de
façon sécurisée et peu complexe.
Créer, modifier ou supprimer un peering
de réseau virtuel
Article • 09/03/2023 • 27 minutes de lecture
Prérequis
Si vous n’avez pas de compte Azure avec un abonnement actif, créez-en un
gratuitement . Effectuez une des tâches suivantes avant de commencer les étapes
décrites dans la suite de cet article :
Utilisateurs Azure CLI : Exécutez les commandes dans Azure Cloud Shell ou
exécutez Azure CLI localement à partir de votre ordinateur. Azure Cloud Shell est
un interpréteur de commandes interactif et gratuit que vous pouvez utiliser pour
exécuter les étapes de cet article. Il contient des outils Azure courants préinstallés
et configurés pour être utilisés avec votre compte. Sous l’onglet de navigateur
Azure Cloud Shell, ouvrez la liste déroulante Sélectionner un environnement, puis
choisissez Bash si ce n’est pas déjà fait.
Si vous exécutez Azure CLI localement, utilisez Azure CLI version 2.0.31 ou
ultérieure. Exécutez az --version pour rechercher la version installée. Si vous
devez installer ou mettre à niveau, voir Installer Azure CLI. Exécutez az login pour
vous connecter à Azure avec un compte disposant des autorisations nécessaires
pour utiliser des appairages de réseaux virtuels.
Le compte auquel vous vous connectez ou avec lequel vous vous connectez à Azure doit
disposer du rôle Contributeur de réseaux ou d’un rôle personnalisé dispose des actions
appropriées listées dans Autorisations.
Créer un peering
Avant de créer un peering, familiarisez-vous avec les exigences et contraintes ainsi
qu’avec les autorisations nécessaires.
Portail
2. Sélectionnez dans la liste le réseau virtuel pour lequel vous souhaitez créer un
peering.
3. Sélectionnez Peerings sous le menu Paramètres, puis sélectionnez + Ajouter.
Paramètres Description
Ce réseau
virtuel
Nom du lien Nom du peering sur ce réseau virtuel. Le nom doit être unique au sein
de peering du réseau virtuel.
Paramètres Description
Trafic Sélectionnez Autoriser (par défaut) si vous voulez que le trafic soit
transféré à transféré par une appliance virtuelle réseau d’un réseau virtuel distant
partir du (ne provenant pas du réseau virtuel distant) vers ce réseau virtuel par
réseau le biais d’un peering. Par exemple, considérez trois réseaux virtuels
virtuel nommés Spoke1, Spoke2 et Hub. Un peering existe entre chaque
distant réseau virtuel spoke et le réseau virtuel Hub, mais les peerings
n’existent pas entre les réseaux virtuels spoke. Une appliance virtuelle
réseau est déployée dans le réseau virtuel Hub et des itinéraires définis
par l’utilisateur sont appliqués à chaque réseau virtuel spoke
acheminant le trafic entre les sous-réseaux via l’appliance virtuelle
réseau. Si ce paramètre n’est pas sélectionné pour le peering entre
chaque réseau virtuel spoke et le réseau virtuel Hub, le trafic ne passe
pas entre les réseaux virtuels spoke, car le Hub transfère le trafic entre
les réseaux virtuels. Si l’activation de cette fonctionnalité autorise le
transfert du trafic via le peering, elle n’a pas pour effet de créer des
itinéraires définis par l’utilisateur ou des appliances virtuelles. Les
itinéraires définis par l’utilisateur et les appliances virtuelles sont créés
séparément. Pour en savoir plus, voir Itinéraires définis par l’utilisateur.
Réseau
virtuel
distant
Nom du lien Nom du peering sur le réseau virtuel distant. Le nom doit être unique
de peering au sein du réseau virtuel.
Je connais Si vous avez accès en lecture au réseau virtuel avec lequel vous
mon ID de souhaitez effectuer le peering, laissez cette case décochée. Si vous
ressource n’avez pas accès en lecture au réseau virtuel ou à l’abonnement avec
lequel vous voulez effectuer l’appairage, cochez cette case. Dans la
zone ID de ressource qui s’affiche lorsque vous cochez la case, entrez
l’ID de ressource complet du réseau virtuel avec lequel vous voulez
effectuer l’appairage. L’ID de ressource que vous entrez doit être celui
d’un réseau virtuel existant dans la même région Azure que ce
réseau virtuel ou dans une autre région Azure prise en charge. L’ID
complet de la ressource ressemble à
/subscriptions/<Id>/resourceGroups/<resource-group-
name>/providers/Microsoft.Network/virtualNetworks/<virtual-network-
name> . Vous pouvez obtenir l’ID de ressource d’un réseau virtuel en
affichant les propriétés de celui-ci. Pour savoir comment afficher les
propriétés d’un réseau virtuel, consultez Gérer des réseaux virtuels. Si
le locataire Azure Active Directory de l’abonnement est différent de
celui de l’abonnement qui a le réseau virtuel à partir duquel vous créez
le peering, ajoutez d’abord un utilisateur de chaque locataire comme
utilisateur invité dans le locataire opposé.
Paramètres Description
Trafic Sélectionnez Autoriser (par défaut) si vous voulez que le trafic soit
transféré à transféré par une appliance virtuelle réseau d’un réseau virtuel distant
partir du (ne provenant pas du réseau virtuel distant) vers ce réseau virtuel par
réseau le biais d’un peering. Par exemple, considérez trois réseaux virtuels
virtuel nommés Spoke1, Spoke2 et Hub. Un peering existe entre chaque
distant réseau virtuel spoke et le réseau virtuel Hub, mais les peerings
n’existent pas entre les réseaux virtuels spoke. Une appliance virtuelle
réseau est déployée dans le réseau virtuel Hub et des itinéraires définis
par l’utilisateur sont appliqués à chaque réseau virtuel spoke
acheminant le trafic entre les sous-réseaux via l’appliance virtuelle
réseau. Si ce paramètre n’est pas sélectionné pour le peering entre
chaque réseau virtuel spoke et le réseau virtuel Hub, le trafic ne passe
pas entre les réseaux virtuels spoke, car le Hub transfère le trafic entre
les réseaux virtuels. Si l’activation de cette fonctionnalité autorise le
transfert du trafic via le peering, elle n’a pas pour effet de créer des
itinéraires définis par l’utilisateur ou des appliances virtuelles. Les
itinéraires définis par l’utilisateur et les appliances virtuelles sont créés
séparément. Pour en savoir plus, voir Itinéraires définis par l’utilisateur.
7 Notes
Pour obtenir des instructions pas à pas sur l’implémentation du peering entre des
réseaux virtuels dans différents abonnements et modèles de déploiement, consultez
la section Étapes suivantes.
Afficher ou modifier les paramètres de peering
Avant de modifier un peering, familiarisez-vous avec les exigences et contraintes ainsi
qu’avec les autorisations nécessaires.
Portail
Portail
Quand vous supprimez un appairage entre deux réseaux virtuels, le trafic ne peut
plus circuler entre ces réseaux virtuels. Si vous souhaitez que les réseaux virtuels
communiquent occasionnellement, au lieu de supprimer un peering, vous pouvez
définir le paramètre Trafic vers le réseau virtuel distant sur Bloquer tout le trafic
vers le réseau virtuel distant. Il se peut que vous trouviez plus facile de désactiver
et activer l’accès réseau que de supprimer et recréer des peerings.
3. Sur le côté droit du peering que vous souhaitez supprimer, sélectionnez ... ,
puis sélectionnez Supprimer.
4. Sélectionnez Oui pour confirmer que vous souhaitez supprimer le peering et
le pair correspondant.
7 Notes
Lors de la création d’un Peering mondial, les réseaux virtuels appairés peuvent se
trouver dans n’importe quelle région de clouds publics Azure, dans des régions de
clouds Azure Chine ou Azure Government. Vous ne pouvez pas appairer entre
plusieurs clouds. Par exemple, un réseau virtuel dans le cloud public Azure ne peut
pas être appairé avec un réseau virtuel du cloud Azure Chine.
Vous pouvez utiliser des passerelles distantes ou autoriser un transit par passerelle
dans des réseaux virtuels appairés à l’échelle mondiale et en local.
Les réseaux virtuels peuvent être dans des abonnements identiques ou différents.
Quand vous appairez des réseaux virtuels de différents abonnements, les deux
abonnements peuvent être associés au même locataire Azure Active Directory ou à
un locataire différent. Si vous n’avez pas encore de locataire AD, vous pouvez
rapidement en créer un.
Les réseaux virtuels que vous homologuez doivent avoir des espaces d’adressage
IP qui ne se chevauchent pas.
Lors du peering d’un réseau virtuel créé via le Gestionnaire de ressources avec un
réseau virtuel créé via le modèle de déploiement classique, vous configurez un
peering uniquement pour le réseau virtuel est déployé via le Gestionnaire de
ressources. Vous ne pouvez pas configurer d’appairage pour un réseau virtuel
(classique), ni entre deux réseaux virtuels déployés par le biais du modèle de
déploiement classique. Lorsque vous créez le peering à partir du réseau virtuel
(Gestionnaire des ressources) au réseau virtuel (classique), l’état de peering est Mis
à jour, puis passe rapidement à Connecté.
Un peering est établi entre deux réseaux virtuels. Les appairages en eux-mêmes ne
sont pas transitifs. Imaginons que vous créez des peerings entre :
VirtualNetwork1 et VirtualNetwork2
VirtualNetwork2 et VirtualNetwork3
Vous ne pouvez pas résoudre des noms dans des réseaux virtuels homologués en
utilisant une résolution de noms Azure par défaut. Pour résoudre des noms dans
d’autres réseaux virtuels, vous devez utiliser le service DNS privé Azure ou un
serveur DNS personnalisé. Pour savoir comment configurer votre propre serveur
DNS, consultez Résolution de noms à l’aide de votre propre serveur DNS.
Les ressources situées dans des réseaux virtuels appairés et dans la même région
peuvent communiquer entre elles avec la même latence que si elles se trouvaient
au sein du même réseau virtuel. Le débit du réseau repose sur la bande passante
autorisée pour la machine virtuelle proportionnellement à sa taille. Aucune
restriction de bande passante supplémentaire n’est appliquée au sein du peering.
Chaque taille de machine virtuelle a sa propre bande passante réseau maximale.
Pour en savoir plus sur la bande passante réseau maximale des différentes tailles
de machine virtuelle, consultez Tailles des machines virtuelles dans Azure.
Un réseau virtuel peut être homologué ainsi qu’être connecté à un autre réseau
virtuel avec une passerelle de réseau virtuel Azure. Lorsque des réseaux virtuels
sont connectés via un peering et une passerelle, le trafic entre les réseaux virtuels
passe par le peering plutôt que par la passerelle.
Les clients VPN point à site doivent être retéléchargés une fois que le peering de
réseaux virtuels a été configuré avec succès pour garantir le téléchargement des
nouvelles routes sur le client.
Autorisations
Les comptes pouvant être utilisés avec le peering de réseaux virtuels doivent avoir les
rôles suivants :
Si votre compte n’a pas l’un des rôles ci-dessus, il doit avoir un rôle personnalisé auquel
sont affectées les actions nécessaires listées dans le tableau suivant :
Action Nom
Étapes suivantes
Un appairage de réseaux virtuels peut être configuré entre des réseaux virtuels
créés par le biais de modèles de déploiement identiques ou différents qui existent
dans des abonnements identiques ou différents. Suivez un didacticiel pour l’un des
scénarios suivants :
Différent
Différent
Créer et attribuer des définitions Azure Policy pour les réseaux virtuels
Ressources supplémentaires
Documentation
Configurer le transit par passerelle VPN pour le peering de réseaux virtuels - Azure
VPN Gateway
Découvrez comment configurer le transit par passerelle pour le peering de réseaux virtuels, afin de
connecter en toute transparence deux réseaux virtuels Azure en un seul à des fins de connectivité.
Tutoriel : Acheminer le trafic réseau avec une table de routage - Portail Azure
Dans ce didacticiel, découvrez comment acheminer le trafic réseau avec une table de routage à l’aide
du portail Azure.
Gérer les règles NAT de trafic entrant pour Azure Load Balancer
Dans cet article, vous allez apprendre à ajouter et supprimer une règle NAT de trafic entrant dans le
Portail Azure.
Afficher 5 de plus
Entrainement
Module
Distribuer vos services sur des réseaux virtuels Azure et les intégrer avec le peering de
réseaux virtuels - Training
Utilisez le peering de réseaux virtuels pour activer la communication entre des réseaux virtuels de
façon sécurisée et peu complexe.
Mettre à jour l’espace d’adressage d’un
réseau virtuel appairé à l’aide du portail
Azure
Article • 28/03/2023 • 3 minutes de lecture
Dans cet article, vous apprendrez à mettre à jour un réseau virtuel en modifiant, ajoutant
ou supprimant un espace d’adressage à l’aide du portail Azure. Ces mises à jour
n’entraînent pas d’interruptions de temps d’arrêt. Cette fonctionnalité est utile lorsque
vous devez agrandir ou redimensionner les réseaux virtuels dans Azure après avoir mis à
l’échelle vos charges de travail.
Prérequis
Un réseau virtuel appairé existant avec deux réseaux virtuels
Si vous ajoutez un espace d’adressage, assurez-vous qu’il ne chevauche pas
d’autres espaces d’adressage
1. Dans la zone de recherche située en haut du portail Azure, entrez réseaux virtuels.
Sélectionnez Réseaux virtuels dans les résultats de la recherche.
7 Notes
Lorsque vous mettez à jour l’espace d’adressage d’un réseau virtuel, vous devez
synchroniser l’homologue du réseau virtuel pour chaque réseau virtuel à distance.
Nous vous recommandons d’effectuer la synchronisation après chaque nouvelle
opération de redimensionnement de l’espace d’adressage au lieu de le faire après
plusieurs opérations de redimensionnement consécutives.
1. Dans la zone de recherche située en haut du portail Azure, entrez réseaux virtuels.
Sélectionnez Réseaux virtuels dans les résultats de la recherche.
2. Dans la liste des réseaux virtuels, sélectionnez le réseau où vous ajoutez une plage
d’adresses.
3. Sous Paramètres, sélectionnez Espace d’adressage.
) Important
Avant de pouvoir supprimer un espace d’adressage, il doit être vide. S’il existe déjà
un sous-réseau dans la plage d’adresses, vous ne pouvez pas supprimer la plage.
Avant de supprimer une plage d’adresses, vous devez supprimer tous les sous-
réseaux et toutes les ressources des sous-réseaux existant dans celle-ci.
1. Dans la zone de recherche située en haut du portail Azure, entrez réseaux virtuels.
Sélectionnez Réseaux virtuels dans les résultats de la recherche.
2. Dans la liste des réseaux virtuels, sélectionnez le réseau virtuel à partir duquel vous
souhaitez supprimer la plage d’adresses.
3. Sous Paramètres, sélectionnez Sous-réseaux.
5. Sélectionnez Enregistrer une fois que vous avez terminé vos modifications.
Étapes suivantes
Créer, modifier ou supprimer un peering de réseau virtuel
Créer, modifier ou supprimer un réseau virtuel
Configurer une connexion de passerelle
VPN de réseau virtuel à réseau virtuel à
l’aide de PowerShell
Article • 11/05/2023
Cet article vous explique comment connecter des réseaux virtuels avec une connexion
de réseau virtuel à réseau virtuel. Les réseaux virtuels peuvent être situés dans des
régions identiques ou différentes et appartenir à des abonnements identiques ou
différents. Lors de la connexion de réseaux virtuels provenant de différents
abonnements, les abonnements ne sont pas tenus d’être associés au même locataire
Active Directory.
Pour cet exercice, vous pouvez combiner des configurations ou choisir simplement celle
que vous voulez utiliser. Toutes les configurations utilisent la connexion de réseau virtuel
à réseau virtuel. Le trafic circule entre les réseaux virtuels connectés directement entre
eux. Dans cet exercice, le trafic du réseau TestVNet4 n’est pas acheminé jusqu’au réseau
TestVNet5.
Réseaux virtuels situés dans le même abonnement : Les étapes à suivre pour cette
configuration utilisent les réseaux virtuels TestVNet1 et TestVNet4.
Réseaux virtuels situés dans des abonnements différents : Les étapes à suivre pour
cette configuration utilisent les réseaux virtuels TestVNet1 et TestVNet5.
7 Notes
Azure PowerShell
Connect-AzAccount
Azure PowerShell
Get-AzSubscription
Si vous avez plusieurs abonnements, spécifiez celui que vous souhaitez utiliser.
Azure PowerShell
Azure PowerShell
$RG1 = "TestRG1"
$Location1 = "East US"
$VNetName1 = "TestVNet1"
$FESubName1 = "FrontEnd"
$BESubName1 = "Backend"
$VNetPrefix11 = "10.11.0.0/16"
$VNetPrefix12 = "10.12.0.0/16"
$FESubPrefix1 = "10.11.0.0/24"
$BESubPrefix1 = "10.12.0.0/24"
$GWSubPrefix1 = "10.12.255.0/27"
$GWName1 = "VNet1GW"
$GWIPName1 = "VNet1GWIP"
$GWIPconfName1 = "gwipconf1"
$Connection14 = "VNet1toVNet4"
$Connection15 = "VNet1toVNet5"
Azure PowerShell
L’exemple suivant utilise les variables définies précédemment. Dans cet exemple, le
sous-réseau de passerelle utilise /27. Bien qu’il soit possible de créer un sous-
réseau de passerelle aussi petit que /29, nous vous recommandons de créer un
sous-réseau plus vaste qui inclut un plus grand nombre d’adresses en
sélectionnant au moins /28 ou /27. Cela permettra à un nombre suffisant
d’adresses de s’adapter à de possibles configurations supplémentaires possibles
que vous êtes susceptible de souhaiter par la suite.
Azure PowerShell
5. Créez TestVNet1.
Azure PowerShell
Azure PowerShell
Azure PowerShell
8. Créez la passerelle pour TestVNet1. Dans cette étape, vous créez la passerelle de
réseau virtuel de votre TestVNet1. Les configurations de réseau virtuel à réseau
virtuel requièrent un VPN de type RouteBased. La création d’une passerelle
nécessite généralement au moins 45 minutes, selon la référence SKU de passerelle
sélectionnée.
Azure PowerShell
Une fois les commandes terminées, la création de cette passerelle prendra 45 minutes
ou plus. Si vous utilisez Azure Cloud Shell, vous pouvez redémarrer votre session Cloud
Shell en cliquant dans le coin supérieur gauche du terminal Cloud Shell, puis configurer
TestVNet4. Il n’est pas nécessaire d’attendre la fin de la passerelle TestVNet1.
1. Connectez et déclarez vos variables. Veillez à remplacer les valeurs par celles que
vous souhaitez utiliser pour votre configuration.
Azure PowerShell
$RG4 = "TestRG4"
$Location4 = "West US"
$VnetName4 = "TestVNet4"
$FESubName4 = "FrontEnd"
$BESubName4 = "Backend"
$VnetPrefix41 = "10.41.0.0/16"
$VnetPrefix42 = "10.42.0.0/16"
$FESubPrefix4 = "10.41.0.0/24"
$BESubPrefix4 = "10.42.0.0/24"
$GWSubPrefix4 = "10.42.255.0/27"
$GWName4 = "VNet4GW"
$GWIPName4 = "VNet4GWIP"
$GWIPconfName4 = "gwipconf4"
$Connection41 = "VNet4toVNet1"
Azure PowerShell
Azure PowerShell
$fesub4 = New-AzVirtualNetworkSubnetConfig -Name $FESubName4 -
AddressPrefix $FESubPrefix4
$besub4 = New-AzVirtualNetworkSubnetConfig -Name $BESubName4 -
AddressPrefix $BESubPrefix4
$gwsub4 = New-AzVirtualNetworkSubnetConfig -Name "GatewaySubnet" -
AddressPrefix $GWSubPrefix4
4. Créez TestVNet4.
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
La différence entre ce processus et le précédent réside dans le fait qu’une partie des
étapes de configuration doit être exécutée dans une session PowerShell distincte dans le
contexte d’un deuxième abonnement. notamment lorsque les deux abonnements
appartiennent à différentes organisations.
1. Déclarez vos variables. Veillez à remplacer les valeurs par celles que vous souhaitez
utiliser pour votre configuration.
Azure PowerShell
$Sub5 = "Replace_With_the_New_Subscription_Name"
$RG5 = "TestRG5"
$Location5 = "Japan East"
$VnetName5 = "TestVNet5"
$FESubName5 = "FrontEnd"
$BESubName5 = "Backend"
$GWSubName5 = "GatewaySubnet"
$VnetPrefix51 = "10.51.0.0/16"
$VnetPrefix52 = "10.52.0.0/16"
$FESubPrefix5 = "10.51.0.0/24"
$BESubPrefix5 = "10.52.0.0/24"
$GWSubPrefix5 = "10.52.255.0/27"
$GWName5 = "VNet5GW"
$GWIPName5 = "VNet5GWIP"
$GWIPconfName5 = "gwipconf5"
$Connection51 = "VNet5toVNet1"
Azure PowerShell
Connect-AzAccount
Azure PowerShell
Get-AzSubscription
Azure PowerShell
Select-AzSubscription -SubscriptionName $Sub5
Azure PowerShell
Azure PowerShell
5. Créez TestVNet5.
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
$vnet1gw.Name
$vnet1gw.Id
Ces deux éléments ont des valeurs similaires à l’exemple de sortie suivant :
PS D:\> $vnet1gw.Name
VNet1GW
PS D:\> $vnet1gw.Id
/subscriptions/b636ca99-6f88-4df4-a7c3-
2f8dc4545509/resourceGroupsTestRG1/providers/Microsoft.Network/virtualN
etworkGateways/VNet1GW
Azure PowerShell
$vnet5gw.Name
$vnet5gw.Id
Ces deux éléments ont des valeurs similaires à l’exemple de sortie suivant :
PS C:\> $vnet5gw.Name
VNet5GW
PS C:\> $vnet5gw.Id
/subscriptions/66c8e4f1-ecd6-47ed-9de7-
7e530de23994/resourceGroups/TestRG5/providers/Microsoft.Network/virtual
NetworkGateways/VNet5GW
Azure PowerShell
Azure PowerShell
) Important
Vous pouvez vérifier que votre connexion a réussi via l’applet de commande « Get-
AzVirtualNetworkGatewayConnection » avec ou sans « -Debug ».
1. Utilisez l’exemple d’applet de commande suivant, en configurant les valeurs sur les
vôtres. Si vous y êtes invité, sélectionnez A pour exécuter tout. Dans l’exemple, « -
Name » fait référence au nom de la connexion que vous voulez tester.
Azure PowerShell
2. Une fois l’applet de commande exécutée, affichez les valeurs. Dans l’exemple ci-
dessous, l’état de la connexion indique « Connecté » et vous pouvez voir les octets
d’entrée et de sortie.
"connectionStatus": "Connected",
"ingressBytesTransferred": 33509044,
"egressBytesTransferred": 4142431
Étapes suivantes
Une fois la connexion achevée, vous pouvez ajouter des machines virtuelles à vos
réseaux virtuels. Pour plus d’informations, consultez la documentation relative aux
machines virtuelles .
Pour plus d’informations sur le protocole BGP, consultez les articles Vue
d’ensemble du protocole BGP et Comment configurer BGP.
Connecter des réseaux virtuels utilisant
des modèles de déploiement différents
dans le portail
Article • 01/06/2023
Cet article vous explique comment connecter des réseaux virtuels classiques à des
réseaux virtuels Resource Manager afin de permettre aux ressources situées dans les
modèles de déploiement distincts de communiquer entre elles. Les étapes décrites dans
cet article utilisent principalement le portail Azure, mais vous pouvez également créer
cette configuration à l’aide de PowerShell en sélectionnant l’article dans cette liste.
Cet article est destiné aux clients qui disposent déjà d’un réseau virtuel créé à l’aide du
modèle de déploiement classique (hérité), et souhaitent connecter ce réseau virtuel
classique à un autre réseau virtuel créé à l’aide du modèle de déploiement le plus
récent. Si vous n’avez pas de réseau virtuel hérité, utilisez plutôt l’article Créer une
connexion de réseau virtuel à réseau virtuel.
Architecture
La connexion d’un réseau virtuel classique à un réseau virtuel Resource Manager est
semblable à la connexion d’un réseau virtuel à un emplacement de site local. Les deux
types de connectivité font appel à une passerelle VPN pour offrir un tunnel sécurisé
utilisant Ipsec/IKE. Vous pouvez créer une connexion entre des réseaux virtuels situés
dans des abonnements différents et des régions différentes. Vous pouvez également
connecter des réseaux virtuels qui disposent déjà de connexions à des réseaux locaux, à
condition que la passerelle soit dynamique ou basée sur un itinéraire. Pour plus
d’informations sur les connexions de réseau virtuel à réseau virtuel, consultez le Forum
Aux Questions sur l’interconnexion de réseaux virtuels.
Pour cette configuration, vous créez une connexion de passerelle VPN via un tunnel VPN
IPsec/IKE entre les réseaux virtuels. Assurez-vous que vos plages de réseau virtuel ne se
chevauchent pas entre elles ou avec un réseau local auquel elles se connectent.
Le tableau suivant montre comment les réseaux virtuels et les sites locaux sont définis :
Vérifiez que les plages d’adresses des réseaux virtuels ne se chevauchent pas ou ne
chevauchent aucune des plages des autres connexions susceptibles d’être utilisées
par les passerelles.
Dans cet article, nous utilisons le portail Azure et PowerShell. PowerShell est requis
pour créer la connexion à partir du réseau virtuel classique vers le réseau virtuel
Resource Manager. Installez les dernières cmdlets PowerShell de Resource
Manager et Gestion des services.
Exemples de paramètres
Vous pouvez utiliser ces valeurs pour créer un environnement de test ou vous y référer
pour mieux comprendre les exemples de cet article.
Si vous disposez déjà d’un réseau virtuel avec une passerelle VPN, vérifiez que la
passerelle est dynamique. Si elle est statique, vous devez d’abord supprimer la
passerelle VPN avant de passer à Configurer le site et la passerelle.
Exemples de valeurs
Détails du projet
Groupe de ressources = ClassicRG
Détails de l’instance
Nom = ClassicVNet
Espace d’adressage = 10.1.0.0/16
Nom du sous-réseau = Subnet1
Plage d’adresses du sous-réseau = 10.1.0.0/24
Emplacement = USA Ouest
) Important
2. Cliquez sur + Créer une ressource en haut de la page pour accéder à la page
Service Search et marketplace.
4. Localisez Réseau virtuel dans la liste renvoyée et cliquez dessus pour ouvrir la
page Réseau virtuel.
5. Sur la page Réseau virtuel, dans le texte situé sous le bouton « Créer », cliquez sur
(basculer vers Classique) pour basculer vers le libellé Déployer avec Classique. Si
vous ne le faites pas, vous vous retrouverez avec un réseau virtuel Resource
Manager à la place.
6. Cliquez sur Créer pour ouvrir la page Créer un réseau virtuel (classique).
7. Renseignez les valeurs, puis cliquez sur Vérifier + créer et Créer pour créer votre
réseau virtuel classique.
2. Dans la liste du menu de gauche, cliquez sur Passerelle, puis cliquez sur la
bannière pour ouvrir la page de configuration d’une passerelle.
3. Sur la page Configurer une connexion VPN et une passerelle, accédez à l’onglet
Connexion et renseignez les valeurs, en utilisant les exemples de valeurs de
l’exercice si nécessaire.
4. En bas de la page, cliquez sur Suivant : Passerelle pour passer à l’onglet Passerelle.
Taille = Standard
Type de routage = Dynamique
Plage d’adresses du GatewaySubnet = 10.1.255.0/27
7. Cliquez sur Créer pour créer la passerelle. La création de la passerelle peut prendre
jusqu’à 45 minutes. Pendant la configuration de la passerelle, vous pouvez passer
aux étapes suivantes.
Exemples de valeurs :
Détails du projet
Groupe de ressources = RMRG
Détails de l’instance
Nom du réseau virtuel = RMVNet
Région = USA Est
Adresses IP
Espace d’adressage = 192.168.0.0/16
Nom du sous-réseau = Subnet1
Plage d’adresses = 192.168.1.0/24
Pour connaître les différentes étapes, consultez Créer une passerelle VPN.
Exemples de valeurs :
Détails de l’instance
Nom = RMGateway
Région = USA Est
Type de passerelle = VPN
Type de VPN = Route-based
Référence SKU = VpnGw2
Génération = Génération 2
Réseau virtuel = RMVNet
Plage d’adresses du GatewaySubnet = 192.168.255.0/27
Type d’adresse IP publique = De base
Adresse IP publique
Adresse IP publique = Créer
Nom de l’adresse IP publique = RMGWpip
Pour connaître les étapes à suivre, consultez Créer une passerelle de réseau local.
Exemples de valeurs
Détails du projet
Groupe de ressources = RMRG
Région = USA Est
Nom = ClassicVNetSite
Point de terminaison = Adresse IP
Adresse IP = adresse IP publique de la passerelle de réseau virtuel classique Si
nécessaire, vous pouvez utiliser une adresse IP fictive, puis revenir en arrière et la
modifier ultérieurement.
Espace d’adressage = 10.1.0.0/16 (espace d’adressage du réseau virtuel classique)
1. Pour ces étapes, vous devez vous procurer l’adresse IP publique de la passerelle de
réseau virtuel Resource Manager. Vous trouverez l’adresse IP de la passerelle sur
la page Vue d’ensemble de la passerelle de réseau virtuel RM. Copiez l’adresse IP.
2. Accédez ensuite au réseau virtuel classique.
3. Dans le menu de gauche, cliquez sur Connexions de site à site pour ouvrir la page
correspondante.
4. Sous Nom, cliquez sur le nom du site RM que vous avez créé. Par exemple,
RMVNetSite. La page Propriétés de votre site local s’ouvre.
5. Sur la page Propriétés, cliquez sur Modifier le site local.
6. Remplacez l’adresse IP de la passerelle VPN par l’adresse IP publique attribuée à
la passerelle RMVNet (passerelle à laquelle vous souhaitez vous connecter).
7. Cliquez sur OK pour enregistrer les paramètres.
1. Pour ces étapes, vous devez vous procurer l’adresse IP publique de la passerelle de
réseau virtuel classique. Vous trouverez l’adresse IP de la passerelle sur la page
Vue d’ensemble du réseau virtuel classique.
2. Dans Toutes les ressources, recherchez la passerelle de réseau local. Dans notre
exemple, la passerelle de réseau local est ClassicVNetSite.
3. Dans le menu de gauche, cliquez sur Configuration et mettez à jour l’adresse IP.
Fermez la page.
Pour connaître les différentes étapes, consultez Modifier les paramètres de la passerelle
de réseau local.
Ouvrez la console PowerShell avec des droits élevés et connectez-vous à votre compte
Azure. Une fois que vous êtes connecté, vos paramètres de compte sont téléchargés
pour être reconnus par Azure PowerShell. Les cmdlets suivantes vous invitent à entrer
les informations de connexion de votre compte Azure pour le modèle de déploiement
Resource Manager :
PowerShell
Connect-AzAccount
PowerShell
Get-AzSubscription
3. Si vous avez plusieurs abonnements, spécifiez celui que vous souhaitez utiliser.
PowerShell
Utilisez la commande suivante pour ajouter votre compte Azure pour le modèle de
déploiement classique :
PowerShell
Add-AzureAccount
PowerShell
Get-AzureSubscription
6. Si vous avez plusieurs abonnements, spécifiez celui que vous souhaitez utiliser.
PowerShell
PowerShell
3. Dans un éditeur de texte, ouvrez le fichier, puis affichez le nom de votre réseau
virtuel classique. Utilisez les noms indiqués dans le fichier de configuration réseau
lors de l’exécution de vos applets de commande PowerShell.
3. Créer la connexion
Configurez la clé partagée et créez la connexion à partir du réseau virtuel classique vers
le réseau virtuel Resource Manager. Les connexions doivent être créées à l’aide de
PowerShell, et non du portail Azure.
En cas d’erreur, vérifiez que le site et les noms de réseau virtuel sont corrects. Assurez-
vous également que vous vous êtes authentifié pour les deux versions de PowerShell,
sinon vous ne pourrez pas définir la clé partagée.
Dans cet exemple, -VNetName est le nom du réseau virtuel classique, comme
indiqué dans votre fichier de configuration réseau.
-LocalNetworkSiteName est le nom que vous avez spécifié pour le site local,
comme indiqué dans votre fichier de configuration réseau. Utilisez le nom complet
du site, chiffres compris.
-SharedKey est une valeur que vous pouvez générer et spécifier. Pour cet exemple,
nous avons utilisé abc123, mais vous devez générer et utiliser une valeur plus
complexe. La valeur que vous spécifiez ici doit être identique à celle spécifiée lors
de la création de la connexion entre Resource Manager et le réseau classique.
1. Définissez la clé.
PowerShell
PowerShell
PowerShell
Étapes suivantes
Pour plus d’informations sur les connexions de réseau virtuel à réseau virtuel, consultez
le Forum Aux Questions sur la passerelle VPN.
Tutoriel : Créer une connexion VPN site
à site dans le portail Azure
Article • 26/04/2023
Ce tutoriel vous explique comment utiliser le portail Azure pour créer une connexion de
passerelle VPN de site à site entre votre réseau local et un réseau virtuel. Vous pouvez
également créer cette configuration en utilisant Azure PowerShell ou Azure CLI.
Prérequis
Compte Azure avec un abonnement actif. Si vous n’en avez pas, créez-en une
gratuitement .
Veillez à disposer d’un périphérique VPN compatible et à être entouré d’une
personne en mesure de le configurer. Pour plus d’informations sur les
périphériques VPN compatibles et la configuration de votre périphérique,
consultez l’article À propos des périphériques VPN.
Vérifiez que vous disposez d’une adresse IPv4 publique exposée en externe pour
votre périphérique VPN.
Si vous ne maîtrisez pas les plages d’adresses IP situées dans votre configuration
de réseau local, vous devez contacter une personne en mesure de vous aider.
Lorsque vous créez cette configuration, vous devez spécifier les préfixes des plages
d’adresses IP qu’Azure acheminera vers votre emplacement local. Aucun des sous-
réseaux de votre réseau local ne peut chevaucher les sous-réseaux du réseau
virtuel auquel vous souhaitez vous connecter.
7 Notes
Quand vous utilisez un réseau virtuel dans le cadre d’une architecture incluant
différents locaux, veillez à prendre contact avec votre administrateur de réseau
local pour définir une plage d’adresses IP à utiliser spécifiquement pour ce réseau
virtuel. Si une plage d’adresses en double existe des deux côtés de la connexion
VPN, le trafic sera acheminé de manière inattendue. En outre, si vous souhaitez
connecter ce réseau à un autre réseau virtuel, l’espace d’adressage ne peut pas
chevaucher celui de l’autre réseau virtuel. Planifiez votre configuration réseau en
conséquence.
3. Dans la page Réseau virtuel, sélectionnez Créer. La page Créer un réseau virtuel
s’ouvre.
4. Sous l’onglet Informations de base, configurez les paramètres de réseau virtuel
pour Détails du projet et Détails de l’instance. Une coche verte apparaît lorsque
les valeurs entrées sont validées. Les valeurs affichées dans l’exemple peuvent être
ajustées en fonction des paramètres dont vous avez besoin.
6. Sélectionnez Sécurité pour accéder à l’onglet Sécurité. Conservez les valeurs par
défaut pour cet exercice.
BastionHost : Désactiver
Protection DDoS Standard : Désactiver
Pare-feu : Désactiver
8. Une fois les paramètres validés, sélectionnez Créer pour créer le réseau virtuel.
Créer la passerelle
Créez une passerelle de réseau virtuel (passerelle VPN) en utilisant les valeurs suivantes :
Nom : VNet1GW
Région : USA Est
Type de passerelle : VPN
Type de VPN : basé sur la route
Référence SKU : VpnGw2
Génération : Génération 2
Réseau virtuel : VNet1
Plage d’adresses du sous-réseau de passerelle : 10.1.255.0/27
Adresse IP publique : Création
Nom de l'adresse IP publique : VNet1GWpip
Activer le mode actif/actif : Désactivé
Configurer BGP : Désactivé
2. Sous l’onglet Général, renseignez les valeurs pour Détails du projet et Détails de
l’instance.
3. Spécifiez les valeurs pour Adresse IP publique. Ces paramètres spécifient l’objet
d’adresse IP publique associé à la passerelle VPN. L’adresse IP publique est
attribuée à cet objet pendant la création de la passerelle VPN. L’adresse IP
publique primaire change uniquement lorsque la passerelle est supprimée, puis
recréée. Elle n’est pas modifiée lors du redimensionnement, de la réinitialisation ou
des autres opérations de maintenance/mise à niveau internes de votre passerelle
VPN.
5. Une fois la validation réussie, sélectionnez Créer pour déployer la passerelle VPN.
Vous pouvez voir l’état du déploiement dans la page Vue d’ensemble pour votre
passerelle. La création et le déploiement complets d’une passerelle peuvent prendre
jusqu’à 45 minutes. Une fois la passerelle créée, examinez le réseau virtuel dans le
portail pour obtenir l’adresse IP affectée à la passerelle. Cette dernière apparaît sous la
forme d’un appareil connecté.
) Important
Lorsque vous travaillez avec des sous-réseaux de passerelle, évitez d’associer un
groupe de sécurité réseau (NSG) au sous-réseau de passerelle. Associer un groupe
de sécurité réseau à ce sous-réseau peut empêcher votre passerelle de réseau
virtuel (passerelles VPN et ExpressRoute) de fonctionner comme prévu. Pour plus
d’informations sur les groupes de sécurité réseau, consultez Présentation du
groupe de sécurité réseau ?.
Pour voir d’autres informations sur l’objet d’adresse IP publique, sélectionnez le lien de
nom/adresse IP à côté de Adresse IP publique.
Nom : Site1
Groupe de ressources : TestRG1
Emplacement : USA Est
1. À partir du portail Azure , dans Rechercher dans les ressources, services et
documents (G+/) , saisissez Passerelle de réseau local. Recherchez la Passerelle de
réseau local sous Place de marché dans les résultats de la recherche, puis
sélectionnez-la. La page Créer une passerelle de réseau local s’ouvre.
2. Dans la page Créer une passerelle réseau locale, sous l’onglet De base, spécifiez
les valeurs de votre passerelle réseau locale.
7 Notes
Le VPN Azure ne prend en charge qu’une seule adresse IPv4 par nom
FQDN. Si le nom de domaine est résolu en plusieurs adresses IP, la
passerelle VPN Azure utilise la première adresse IP retournée par les
serveurs DNS. Pour éliminer toute incertitude, nous vous recommandons
que le nom FQDN soit toujours résolu en une seule adresse IPv4. IPv6
n’est pas pris en charge.
La passerelle VPN Azure actualise un cache DNS toutes les 5 minutes.
Elle ne tente de résoudre les noms FQDN que pour les tunnels
déconnectés. La réinitialisation de la passerelle déclenche également la
résolution des noms FQDN.
3. Sous l’onglet Avancé, vous pouvez configurer les paramètres BGP si nécessaire.
4. Quand vous avez terminé de spécifier les valeurs, sélectionnez Vérifier + créer au
bas de la page pour valider la page.
Pour plus d’informations sur les périphériques VPN compatibles, consultez la page
Périphériques VPN.
Vous trouverez des liens vers les paramètres de configuration des périphériques
sur la page Périphériques VPN validés. Les liens de configuration des périphériques
sont fournis dans la mesure du possible. Il est toujours préférable de vérifier les
dernières informations de configuration auprès du fabricant du périphérique. La
liste répertorie les versions que nous avons testées. L’absence de votre système
d’exploitation de cette liste n’exclut pas sa compatibilité. Pour savoir si la version
du système d’exploitation de votre périphérique VPN est compatible, renseignez-
vous auprès du fabricant de ce périphérique.
Pour les exigences de chiffrement, consultez sur les exigences de chiffrement et les
passerelles VPN Azure.
Pour en savoir plus sur les paramètres IPsec/IKE, consultez À propos des
périphériques VPN et des paramètres IPsec/IKE pour les connexions de passerelle
VPN site à site. Cette section contient des informations sur la version IKE version, le
groupe Diffie-Hellman, la méthode d’authentification, les algorithmes de
chiffrement et de hachage, la durée de vie de l’association de sécurité, le
paramètre PFS et la détection d’homologue mort, ainsi que des informations sur
les autres paramètres dont vous avez besoin pour effectuer votre configuration.
Pour connecter plusieurs périphériques VPN basés sur des stratégies, consultez
Connecter des passerelles VPN à plusieurs périphériques VPN basés sur des
stratégies via PowerShell.
1. Accédez à votre réseau virtuel. Sur la page de votre réseau virtuel, sélectionnez
Appareils connectés à gauche. Recherchez votre passerelle VPN et cliquez dessus
pour l’ouvrir.
2. Dans la page de votre passerelle, sélectionnez Connexions. En haut du panneau
Connexions, sélectionnez +Ajouter pour ouvrir la page Ajouter une connexion.
3. Sur la page Ajouter une connexion, configurez les valeurs de votre connexion.
Dans la capture d’écran suivante, nous avons activé tous les paramètres pour
afficher les paramètres de configuration disponibles dans le portail. Cliquez sur la
capture d’écran pour afficher la vue développée. Lorsque vous configurez vos
connexions, configurez uniquement les paramètres dont vous avez besoin. Sinon,
conservez le paramètre par défaut.
1. Recherchez l’adresse IP privée. L’adresse IP privée d’une machine virtuelle peut être
trouvée en étudiant les propriétés de la machine virtuelle dans le portail Azure ou
à l’aide de PowerShell.
Azure PowerShell
$VMs = Get-AzVM
$Nics = Get-AzNetworkInterface | Where-Object VirtualMachine -ne
$null
Si vous rencontrez des problèmes de connexion à une machine virtuelle sur votre
connexion VPN, vérifiez les points suivants :
Pour plus d’informations sur les connexions RDP, consultez Résoudre des
problèmes de connexion Bureau à distance à une machine virtuelle.
Étapes facultatives
2. Sur le côté droit de la page, cliquez sur la flèche déroulante pour afficher les
références SKU de passerelle disponibles.
Pour plus d’informations sur le protocole BGP, consultez les articles Vue
d’ensemble du protocole BGP et Comment configurer BGP.
Pour plus d’informations sur le tunneling forcé, consultez À propos du tunneling
forcé.
Pour plus d’informations sur les connexions haut actif-actif, consultez
Configuration haute disponibilité pour la connectivité entre les réseaux locaux et la
connectivité entre deux réseaux virtuels.
Pour savoir comment limiter le trafic réseau aux ressources d’un réseau virtuel,
consultez Sécurité du réseau.
Pour plus d’informations sur la façon dont Azure achemine le trafic entre les
ressources Azure, locales et Internet, consultez Routage du trafic de réseau virtuel.
Étapes suivantes
Une fois que vous avez configuré une connexion S2S, vous pouvez ajouter une
connexion P2S à la même passerelle.
Ce tutoriel vous aide à créer une connexion pour lier un réseau virtuel à un circuit Azure
ExpressRoute en utilisant le portail Azure. Les réseaux virtuels que vous connectez à
votre circuit Azure ExpressRoute peuvent être dans le même abonnement ou faire partie
d’un autre abonnement.
Prérequis
Avant de commencer la configuration, examinez les conditions préalables, la
configuration requise pour le routage et les flux de travail.
7 Notes
7 Notes
Chacun des petits clouds dans le cloud principal est utilisé pour représenter les
abonnements appartenant à différents services au sein d’une organisation. Les
départements au sein de l’organisation utilisent leur propre abonnement pour déployer
leurs services, mais ils peuvent partager un même circuit ExpressRoute pour se
reconnecter à votre réseau local. Un seul service (dans cet exemple : le service
informatique) peut détenir le circuit ExpressRoute. D’autres abonnements au sein de
l’organisation peuvent utiliser le circuit ExpressRoute.
7 Notes
7 Notes
Le propriétaire du circuit n’est pas un rôle RBAC intégré ou défini sur la ressource
ExpressRoute. La définition du propriétaire du circuit correspond aux rôles
disposant de l’accès suivant :
Microsoft.Network/expressRouteCircuits/authorizations/write
Microsoft.Network/expressRouteCircuits/authorizations/read
Microsoft.Network/expressRouteCircuits/authorizations/delete
Cela inclut les rôles intégrés tels que Contributeur, Propriétaire et Contributeur
réseau. Description détaillée des différents rôles intégrés.
Opérations du propriétaire du circuit
Création d’une autorisation de connexion
Le propriétaire du circuit crée une autorisation, ce qui entraîne la création d’une clé
d’autorisation dont un utilisateur du circuit peut se servir pour connecter ses passerelles
de réseau virtuel au circuit ExpressRoute. Une autorisation n’est valide que pour une
seule connexion.
7 Notes
7 Notes
Les connexions échangées dans des abonnements différents ne s’affichent pas dans
la page de connexion du circuit. Accédez à l’abonnement dans lequel l’autorisation
a été échangée, puis supprimez la ressource de connexion de niveau supérieur.
2. Vérifiez que l’option Type de connexion est définie sur ExpressRoute. Sélectionnez
le Groupe de ressources et l’Emplacement, puis sélectionnez OK dans la page des
informations de base.
7 Notes
7 Notes
Lorsque vous ajoutez une nouvelle connexion pour votre passerelle ExpressRoute,
cochez la case FastPath.
7 Notes
7 Notes
Vous pouvez utiliser Moniteur de connexion pour vérifier que votre trafic atteint la
destination à l’aide de FastPath.
7 Notes
Toutes les connexions configurées pour FastPath dans l’abonnement cible sont
inscrites à cette préversion. Nous ne recommandons pas l’activation de cette
préversion dans les abonnements de production. Si vous avez déjà configuré
FastPath et que vous souhaitez vous inscrire à la fonctionnalité en préversion, vous
devez effectuer les opérations suivantes :
Étapes suivantes
Ce tutoriel vous a montré comment connecter un réseau virtuel à un circuit dans le
même abonnement et dans un autre abonnement. Pour plus d’informations sur les
passerelles ExpressRoute, consultez :Passerelles de réseau virtuel ExpressRoute.
Pour savoir comment configurer des filtres de routage pour le peering Microsoft en
utilisant le portail Azure, passez au tutoriel suivant.
Architecture
On-premises network
ExpressRoute
Gateway
gateway
ExpressRoute
circuit
VPN gateway
Virtual network
Workflow
L’architecture est constituée des composants suivants.
Réseau local. Un réseau local privé qui s’exécute au sein d’une organisation.
Appliance VPN. Périphérique ou service qui assure la connectivité externe au
réseau local. L’appliance VPN peut être un périphérique matériel ou bien une
solution logicielle telle que le service RRAS (Routing and Remote Access Service)
dans Windows Server 2012. Pour obtenir la liste des périphériques VPN pris en
charge et des informations sur la configuration de certains périphériques VPN pour
la connexion à Azure, consultez À propos des périphériques VPN pour les
connexions de la passerelle VPN de site à site.
Circuit ExpressRoute. Un circuit de couche 2 ou 3 fourni par le fournisseur de
connectivité et qui relie le réseau local à Azure via les routeurs de périphérie. Le
circuit utilise l’infrastructure matérielle gérée par le fournisseur de connectivité.
Passerelle de réseau virtuel ExpressRoute. La passerelle de réseau virtuel
ExpressRoute permet au réseau virtuel Azure de se connecter au circuit
ExpressRoute qui assure la connectivité avec votre réseau local.
Passerelle de réseau virtuel VPN. La passerelle de réseau virtuel VPN permet au
réseau virtuel Azure de se connecter à l’appliance VPN dans le réseau local. La
passerelle de réseau virtuel VPN est configurée pour accepter les requêtes
provenant du réseau local uniquement via l’appliance VPN. Pour plus
d'informations, consultez Connecter un réseau local à réseau virtuel Microsoft
Azure.
Connexion VPN. La connexion a des propriétés qui spécifient le type de connexion
(IPSec) et la clé partagée avec l’appliance VPN locale pour chiffrer le trafic.
Réseau virtuel Azure Chaque réseau virtuel se trouve dans une seule région Azure
et peut héberger plusieurs couches Application. Les couches Application peuvent
être segmentées en sous-réseaux dans chaque réseau virtuel.
Sous-réseau de passerelle. Les passerelles de réseau virtuel sont conservées dans
le même sous-réseau.
Composants
Azure ExpressRoute
Passerelle VPN Azure
Réseau virtuel Azure
Détails du scénario
Cette architecture de référence montre comment connecter un réseau local à un réseau
virtuel Azure en utilisant ExpressRoute, avec un réseau privé virtuel (VPN) de site à site
comme connexion de basculement. Le trafic circule entre le réseau local et le réseau
virtuel Azure via une connexion ExpressRoute. En cas de perte de connectivité au niveau
du circuit ExpressRoute, le trafic est acheminé via un tunnel VPN IPSec. Déployez cette
solution.
Notez que si le circuit ExpressRoute n’est pas disponible, la route VPN gérera
uniquement les connexions de peering privé. Les connexions de peering public et les
connexions de peering Microsoft se font via Internet.
Recommandations
Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces
recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.
PowerShell
PowerShell
S’il y a déjà une passerelle de réseau virtuel VPN dans votre réseau virtuel Azure, utilisez
la commande PowerShell suivante pour la supprimer :
PowerShell
Remove-AzVirtualNetworkGateway -Name <your-gateway-name> -ResourceGroupName
<your-resource-group>
Suivez les instructions de l’article Configurer une architecture réseau hybride avec Azure
ExpressRoute pour établir votre connexion ExpressRoute.
Suivez les instructions de l’article Configurer une architecture réseau hybride avec Azure
et un VPN local pour établir votre connexion de passerelle de réseau virtuel VPN.
Après avoir établi les connexions de passerelle de réseau virtuel, testez l’environnement
comme suit :
1. Vérifiez que vous pouvez vous connecter au réseau virtuel Azure à partir de votre
réseau local.
2. Contactez votre fournisseur pour arrêter la connectivité ExpressRoute à des fins de
test.
3. Vérifiez que vous pouvez toujours vous connecter au réseau virtuel Azure à partir
de votre réseau local en utilisant la connexion de passerelle de réseau virtuel VPN.
4. Contactez votre fournisseur pour rétablir la connectivité ExpressRoute.
Considérations
Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est
un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge
de travail. Pour plus d'informations, consultez Microsoft Azure Well-Architected
Framework.
Sécurité
La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation
abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue
d’ensemble du pilier Sécurité.
Excellence opérationnelle
L’excellence opérationnelle couvre les processus d’exploitation qui déploient une
application et maintiennent son fonctionnement en production. Pour plus
d’informations, consultez Vue d’ensemble du pilier Excellence opérationnelle.
Pour connaître les considérations DevOps relatives au VPN de site à site, consultez
l’article Configurer une architecture réseau hybride avec Azure et un VPN local.
Déployer ce scénario
Conditions préalables. Vous devez disposer d’une infrastructure locale existante déjà
configurée avec une appliance réseau appropriée.
2. Attendez que le lien s’ouvre dans le Portail Azure, puis sélectionnez le Groupe de
ressources dans lequel vous souhaitez déployer ces ressources ou créez un groupe
de ressources. La région et l’emplacement changent automatiquement pour
correspondre au groupe de ressources.
3. Mettez à jour les champs restants si vous souhaitez modifier les noms de
ressources, les fournisseurs, la référence SKU ou les adresses IP réseau de votre
environnement.
7 Notes
Ce déploiement de modèle déploie uniquement les ressources suivantes :
6. Pour terminer le déploiement d’un VPN de site à site en tant que sauvegarde sur
ExpressRoute, consultez Créer une connexion VPN de site à site.
7. Une fois que vous avez correctement configuré une connexion VPN au même
réseau local que celui sur lequel vous avez configuré ExpressRoute, vous aurez
terminé la configuration pour sauvegarder votre connexion ExpressRoute en cas
d’échec total à l’emplacement de peering.
Contributeurs
Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.
Auteur principal :
Étapes suivantes
Documentation ExpressRoute
Ligne de base de la sécurité Azure pour ExpressRoute
Création d’un circuit ExpressRoute
Blog Azure Networking
Configurer ExpressRoute des connexions coexistantes de site à site en utilisant
PowerShell
Ressources associées
Conception d’une architecture hybride
Options hybrides Azure
Topologie réseau hub-and-spoke dans Azure
Mise en réseau spoke-to-spoke
Connecter un réseau local à Azure
Étendre un réseau local à l’aide d’ExpressRoute
Implémenter un réseau hybride sécurisé
Intégrer un environnement AD local avec Azure
Utiliser un TAP de réseau virtuel à l’aide
d’Azure CLI
Article • 01/06/2023
) Important
La préversion du TAP de réseau virtuel est actuellement en attente dans toutes les
régions Azure. Vous pouvez nous envoyer un e-mail à l’adresse
azurevnettap@microsoft.com avec votre ID d’abonnement et nous vous
informerons des futures mises à jour concernant la préversion. En attendant, vous
pouvez utiliser des solutions NVA ou basées sur agent qui fournissent des
fonctionnalités de visibilité du TAP/réseau via nos solutions de partenaire Packet
Broker disponibles dans les offres de la Place de marché Azure .
Le TAP (point d’accès terminal) de réseau virtuel Azure vous permet de diffuser en
continu votre trafic réseau de machine virtuelle vers un collecteur de paquets réseau ou
un outil analytique. Le collecteur ou l’outil analytique est fourni par une appliance
virtuelle réseau partenaire. Pour obtenir la liste des solutions de partenaires qui
fonctionnent avec un TAP de réseau virtuel, consultez les solutions de partenaires.
1. Récupérer l’ID de votre abonnement dans une variable, utilisée dans une étape
ultérieure :
Azure CLI
2. Définissez l’ID d’abonnement à utiliser pour créer une ressource TAP de réseau
virtuel.
Azure CLI
3. Réinscrivez l’ID d’abonnement à utiliser pour créer une ressource TAP de réseau
virtuel. Si vous obtenez une erreur d’inscription quand vous créez une ressource
TAP, exécutez la commande suivante :
Azure CLI
Azure CLI
Azure CLI
Azure CLI
Azure CLI
Azure CLI
Azure CLI
Azure CLI
Le plug-in Azure CNI active la mise en réseau par conteneur/pod pour les hôtes Docker
autonomes et les clusters Kubernetes. Dans cet article, vous allez apprendre à installer et
à configurer le plug-in CNI pour un hôte Docker Linux autonome.
Prérequis
Compte Azure avec un abonnement actif. Créez un compte gratuitement .
3. Sélectionnez + Créer.
Paramètre Valeur
Détails du projet
Détails de l’instance
Paramètre Valeur
9. Sélectionnez Ajouter.
Paramètre Valeur
3. Sous l’onglet Informations de base dans Créer une machine virtuelle, entrez ou
sélectionnez les informations suivantes :
Paramètre Valeur
Détails du projet
Détails de l’instance
Exécuter avec la remise Azure Spot Conservez la valeur par défaut (case non cochée).
Compte administrateur
Paramètre Valeur
Interface réseau
7. Sélectionnez Créer
Dans cette section, vous allez ajouter une configuration IP à l’interface réseau virtuelle
de la machine virtuelle que vous avez créée précédemment.
2. Sélectionnez myVM.
Paramètre Valeur
Répétez les étapes 1 à 13 pour ajouter autant de configurations que de conteneurs que
vous souhaitez déployer sur l’hôte de conteneur.
Installation de Docker
Le moteur de conteneur Docker doit être installé et configuré sur la machine virtuelle
que vous avez créée précédemment.
Connectez-vous à la machine virtuelle que vous avez créée précédemment avec l’hôte
Azure Bastion que vous avez déployé avec le réseau virtuel.
2. Sélectionnez myVM.
4. Entrez le nom d’utilisateur et le mot de passe que vous avez créés lors du
déploiement de la machine virtuelle au cours des étapes précédentes.
5. Sélectionnez Connecter.
Pour obtenir des instructions d’installation de Docker sur un hôte de conteneur Ubuntu,
consultez Installer le moteur Docker sur Ubuntu .
Une fois Docker installé sur la machine virtuelle, suivez les instructions pour la post-
installation Linux. Pour obtenir des instructions sur la post-installation Linux, consultez
Étapes post-installation du moteur Docker .
Une fois Docker installé sur votre machine virtuelle, suivez les étapes décrites dans cet
article.
Pour plus d’informations sur le plug-in Azure CNI, consultez Microsoft Azure Container
Networking .
2. Sélectionnez myVM.
4. Entrez le nom d’utilisateur et le mot de passe que vous avez créés lors du
déploiement de la machine virtuelle au cours des étapes précédentes.
5. Sélectionnez Connecter.
Bash
7. Ensuite, vous allez cloner le référentiel pour le plug-in CNI. Utilisez l’exemple
suivant pour cloner le référentiel :
Bash
git clone https://github.com/Azure/azure-container-networking.git
Bash
cd ./azure-container-networking/scripts
chmod u+x install-cni-plugin.sh
sudo ./install-cni-plugin.sh v1.4.39
chmod u+x docker-run.sh
9. Pour démarrer un conteneur avec le plug-in CNI, vous devez utiliser un script
spécial fourni avec le plug-in pour créer et démarrer le conteneur. L’exemple
suivant crée un conteneur Alpine avec le script de plug-in CNI :
Bash
10. Pour vérifier que le conteneur a reçu l’adresse IP que vous avez configurée
précédemment, connectez-vous au conteneur et affichez l’adresse IP :
Bash
11. Utilisez la commande ifconfig dans l’exemple suivant pour vérifier que l’adresse
IP a été affectée au conteneur :
Bash
ifconfig
Nettoyer les ressources
Si vous ne comptez pas continuer à utiliser cette application, supprimez le réseau virtuel
et la machine virtuelle en effectuant les étapes suivantes :
2. Sélectionnez myResourceGroup.
5. Sélectionnez Supprimer.
Étapes suivantes
Dans cet article, vous avez appris à installer le plug-in Azure CNI et à créer un conteneur
test.
Pour plus d’informations sur la mise en réseau de conteneurs Azure et le service Azure
Kubernetes, consultez :
Le plug-in Azure CNI active la mise en réseau par conteneur/pod pour les hôtes Docker
autonomes et les clusters Kubernetes. Dans cet article, vous allez apprendre à installer et
à configurer le plug-in CNI pour un hôte Docker Windows autonome.
Prérequis
Compte Azure avec un abonnement actif. Créez un compte gratuitement .
3. Sélectionnez + Créer.
Paramètre Valeur
Détails du projet
Détails de l’instance
Paramètre Valeur
9. Sélectionnez Ajouter.
Paramètre Valeur
3. Sous l’onglet Informations de base dans Créer une machine virtuelle, entrez ou
sélectionnez les informations suivantes :
Paramètre Valeur
Détails du projet
Détails de l’instance
Exécuter avec la remise Azure Conservez la valeur par défaut (case non cochée).
Spot
Compte administrateur
Paramètre Valeur
Interface réseau
7. Sélectionnez Créer
Dans cette section, vous allez ajouter une configuration IP à l’interface réseau virtuelle
de la machine virtuelle que vous avez créée précédemment.
2. Sélectionnez myVM.
8. Sélectionnez Enregistrer.
Paramètre Valeur
Répétez les étapes 1 à 13 pour ajouter autant de configurations que de conteneurs que
vous souhaitez déployer sur l’hôte de conteneur.
2. Sélectionnez myVM.
4. Entrez le nom d’utilisateur et le mot de passe que vous avez créés lors du
déploiement de la machine virtuelle au cours des étapes précédentes.
5. Sélectionnez Connecter.
7. Sélectionnez OK.
Paramètre Valeur
Adresse TCP/IP
Installation de Docker
Le moteur de conteneur Docker doit être installé et configuré sur la machine virtuelle
que vous avez créée précédemment.
Connectez-vous à la machine virtuelle que vous avez créée précédemment avec l’hôte
Azure Bastion que vous avez déployé avec le réseau virtuel.
2. Sélectionnez myVM.
4. Entrez le nom d’utilisateur et le mot de passe que vous avez créés lors du
déploiement de la machine virtuelle au cours des étapes précédentes.
5. Sélectionnez Connecter.
6. Ouvrez Windows PowerShell sur myVM.
PowerShell
Invoke-WebRequest -UseBasicParsing
"https://raw.githubusercontent.com/microsoft/Windows-
Containers/Main/helpful_tools/Install-DockerCE/install-docker-ce.ps1" -
o install-docker-ce.ps1
.\install-docker-ce.ps1
Pour plus d’informations sur les conteneurs Windows, consultez Prise en main : Préparer
Windows pour les conteneurs.
Une fois Docker installé sur votre machine virtuelle, suivez les étapes décrites dans cet
article.
Pour plus d’informations sur le plug-in Azure CNI, consultez Mise en réseau de
conteneurs Microsoft Azure .
2. Sélectionnez myVM.
4. Entrez le nom d’utilisateur et le mot de passe que vous avez créés lors du
déploiement de la machine virtuelle au cours des étapes précédentes.
5. Sélectionnez Connecter.
PowerShell
cd .\azure-container-networking\azure-container-networking-
master\scripts\
.\Install-CniPlugin.ps1 v1.4.39
8. Le plug-in CNI est fourni avec un fichier de configuration réseau intégré pour le
plug-in. Utilisez l’exemple suivant pour copier le fichier dans le répertoire de la
configuration réseau :
PowerShell
Installer jq
Le script qui crée les conteneurs avec le plug-in Azure CNI nécessite l’application jq.
Pour plus d’informations et pour connaître l’emplacement de téléchargement, consultez
Télécharger jq .
PowerShell
cd .\azure-container-networking\azure-container-networking-
master\scripts\
.\docker-exec.ps1 vnetdocker1 default
mcr.microsoft.com/windows/servercore/iis add
2. Pour vérifier que le conteneur a reçu l’adresse IP que vous avez configurée
précédemment, connectez-vous au conteneur et affichez l’adresse IP :
PowerShell
3. Utilisez la commande ipconfig dans l’exemple suivant pour vérifier que l’adresse
IP a été affectée au conteneur :
PowerShell
ipconfig
2. Sélectionnez myResourceGroup.
5. Sélectionnez Supprimer.
Étapes suivantes
Dans cet article, vous avez appris à installer le plug-in Azure CNI et à créer un conteneur
test.
Pour plus d’informations sur la mise en réseau de conteneurs Azure et le service Azure
Kubernetes, consultez :
Le plug-in CLI Réseau virtuel Azure s’installe sur une machine virtuelle Azure et apporte
des fonctionnalités de réseau virtuel au pods Kubernetes et aux conteneurs Docker. Pour
en savoir plus sur ce plug-in, consultez Permettre aux conteneurs d’utiliser les
fonctionnalités Réseau virtuel Azure. Ce plug-in peut de plus être utilisé avec Azure
Kubernetes Service (AKS) en choisissant l’option Réseau avancé, ce qui place
automatiquement les conteneurs AKS dans un réseau virtuel.
Paramètre Description
clusterSubnet under CIDR du sous-réseau de réseau virtuel sur lequel le cluster est déployé
kubernetesConfig et à partir duquel les adresses IP sont allouées aux pods
vnetSubnetId sous Spécifie l’ID de ressource Azure Resource Manager du sous-réseau sur
masterProfile lequel le cluster doit être déployé.
max-Pods sous Nombre maximal de pods sur chaque machine virtuelle agent. Pour le
kubeletConfig plug-in, la valeur par défaut est 30. Vous pouvez spécifier jusqu’à
250 pods
Exemple de configuration
L’exemple de fichier json ci-dessous s’applique à un cluster présentant les propriétés
suivantes :
JSON
{
"apiVersion": "vlabs",
"properties": {
"orchestratorProfile": {
"orchestratorType": "Kubernetes",
"kubernetesConfig": {
"clusterSubnet": "10.0.0.0/20" --> Subnet allocated for the cluster
}
},
"masterProfile": {
"count": 1,
"dnsPrefix": "ACSKubeMaster",
"vmSize": "Standard_A2",
"vnetSubnetId": "/subscriptions/<subscription
ID>/resourceGroups/<Resource Group
Name>/providers/Microsoft.Network/virtualNetworks/<Vnet
Name>/subnets/KubeClusterSubnet",
"firstConsecutiveStaticIP": "10.0.1.50", --> IP address allocated to
the Master node
"vnetCidr": "10.0.0.0/16" --> Virtual network address space
},
"agentPoolProfiles": [
{
"name": "k8sagentpoo1",
"count": 2,
"vmSize": "Standard_A2_v2",
"vnetSubnetId": "/subscriptions/<subscription ID>/resourceGroups/<Resource
Group Name>/providers/Microsoft.Network/virtualNetworks/<VNet
Name>/subnets/KubeClusterSubnet",
"availabilityProfile": "AvailabilitySet"
}
],
"linuxProfile": {
"adminUsername": "KubeServerAdmin",
"ssh": {
"publicKeys": [
{…}
]
}
},
"servicePrincipalProfile": {
"clientId": "dd438987-aa12-4754-b47d-375811889714",
"secret": "azure123"
}
}
}
Veillez à ajouter suffisamment d’adresses IP pour tous les pods que vous envisagez
d’ajouter à la machine virtuelle.
4. Si vous souhaitez que vos pods accèdent à internet, ajoutez la règle iptables
suivante sur vos machines virtuelles Linux afin de traduire les adresses sources du
trafic internet. Dans l’exemple suivant, la plage IP spécifiée est 10.0.0.0/8.
Bash
Une fois les étapes précédentes effectuées, les Pods ajoutés aux machines virtuelles
agent Kubernetes reçoivent automatiquement des adresses IP privées à partir du réseau
virtuel.
JSON
{
"cniVersion":"0.3.0",
"name":"azure",
"plugins":[
{
"type":"azure-vnet",
"mode":"bridge",
"bridge":"azure0",
"ipam":{
"type":"azure-vnet-ipam"
}
},
{
"type":"portmap",
"capabilities":{
"portMappings":true
},
"snat":true
}
]
}
« name » : nom du réseau. Cette propriété peut être définie sur une valeur unique.
« bridge » : nom du pont qui est utilisé pour connecter les conteneurs à un réseau
virtuel. Ce champ est facultatif. Si ce paramètres est omis, le plug-in choisit
automatiquement un nom unique, en fonction de l’index d’interface principal.
Pour installer le plug-in, exécutez le script approprié pour votre plateforme, en spécifiant
la version du plug-in que vous utilisez. Par exemple, vous pouvez spécifier v1.4.20. Pour
l’installation Linux, fournir une version de plug-in CNI appropriée, par exemple v1.0.1 :
Bash
PowerShell
Le script installe le plug-in sous /opt/cni/bin pour Linux et c:\cni\bin pour Windows.
Le plug-in installé est fourni avec un fichier de configuration réseau simple qui
fonctionne après l’installation. Il n’a pas besoin d’être mis à jour. Pour en savoir plus sur
les paramètres du fichier, consultez Fichier de configuration réseau CNI.
Tutoriel : Filtrer le trafic réseau avec un
groupe de sécurité réseau à l’aide du
portail Azure
Article • 01/06/2023
Vous pouvez utiliser un groupe de sécurité réseau pour filtrer le trafic réseau sortant et
entrant respectivement à destination et en provenance de ressources Azure dans un
réseau virtuel Azure.
Les groupes de sécurité réseau contiennent des règles de sécurité qui filtrent le trafic
réseau par adresse IP, port et protocole. Quand un groupe de sécurité réseau est associé
à un sous-réseau, des règles de sécurité sont appliquées aux ressources déployées dans
ce sous-réseau.
Prérequis
Un abonnement Azure
Connexion à Azure
Connectez-vous au portail Azure .
Paramètre Valeur
Détails du projet
Détails de l’instance
Paramètre Valeur
Détails du projet
Détails de l’instance
Paramètre Valeur
Détails du projet
Détails de l’instance
Détails du projet
Détails de l’instance
3. Créez une règle de sécurité qui autorise les ports 80 et 443 dans le groupe de
sécurité d’application myAsgWebServers. Dans la page Ajouter une règle de
sécurité de trafic entrant, entrez ou sélectionnez les informations suivantes :
Paramètre Valeur
Paramètre Valeur
4. Sélectionnez Ajouter.
6. Sélectionnez Ajouter.
U Attention
Dans cet article, le protocole RDP (port 3389) est exposé à Internet pour la
machine virtuelle affectée au groupe de sécurité d’application
myAsgMgmtServers.
Une fois que vous avez terminé les étapes 1 à 3, passez en revue les règles que vous
avez créées. Votre liste doit ressembler à la liste de l’exemple suivant :
Créer des machines virtuelles
Créez deux machines virtuelles dans le réseau virtuel.
Paramètre Valeur
Détails du projet
Détails de l’instance
Instance Azure Spot Conservez la valeur par défaut (case non cochée).
Compte administrateur
Paramètre Valeur
Interface réseau
Attendez que le déploiement des machines virtuelles soit terminé avant de passer à la
section suivante.
Ajoutez l’interface réseau de chaque machine virtuelle à l’un des groupes de sécurité
d’application que vous avez créés précédemment :
5. Sélectionnez OK.
PowerShell
mstsc /v:myVmWeb
PowerShell
12. Dans la page Vue d’ensemble de myVMWeb, notez l’adresse IP publique de votre
machine virtuelle. L’adresse affichée dans l’exemple suivant est 23.96.39.113, mais
votre adresse est différente :
13. Pour vérifier si vous pouvez accéder au serveur web myVMWeb depuis Internet,
ouvrez un navigateur Internet sur votre ordinateur et accédez à http://<public-
ip-address-from-previous-step> .
Vous voyez cette page par défaut IIS parce que le trafic entrant en provenance
d’Internet à destination du groupe de sécurité d’application myAsgWebServers est
autorisé via le port 80.
Étapes suivantes
Dans ce tutoriel, vous allez :
Vous avez créé un groupe de sécurité réseau, et vous l’avez associé à un sous-
réseau de réseau virtuel.
Vous avez créé des groupes de sécurité d’application pour le web et la gestion.
Créez deux machines virtuelles et associez leurs interfaces réseau aux groupes de
sécurité d’application.
Vous avez testé le filtrage réseau du groupe de sécurité d’application.
Pour en savoir plus sur les groupes de sécurité réseau, consultez Vue d’ensemble d’un
groupe de sécurité réseau et Gérer un groupe de sécurité réseau.
Azure achemine par défaut le trafic entre les sous-réseaux. À la place, vous pouvez
choisir par exemple d’acheminer le trafic entre les sous-réseaux via une machine
virtuelle, agissant comme un pare-feu.
Vous pouvez filtrer le trafic réseau entrant dans un sous-réseau de réseau virtuel ou qui
en sort, avec un groupe de sécurité réseau. Les groupes de sécurité réseau contiennent
des règles de sécurité qui filtrent le trafic réseau par adresse IP, port et protocole. Les
règles de sécurité sont appliquées aux ressources déployées dans un sous-réseau. Dans
cet article, vous apprendrez comment :
Option Exemple/Lien
Azure PowerShell
Azure PowerShell
$webAsg = New-AzApplicationSecurityGroup `
-ResourceGroupName myResourceGroup `
-Name myAsgWebServers `
-Location eastus
$mgmtAsg = New-AzApplicationSecurityGroup `
-ResourceGroupName myResourceGroup `
-Name myAsgMgmtServers `
-Location eastus
Azure PowerShell
$webRule = New-AzNetworkSecurityRuleConfig `
-Name "Allow-Web-All" `
-Access Allow `
-Protocol Tcp `
-Direction Inbound `
-Priority 100 `
-SourceAddressPrefix Internet `
-SourcePortRange * `
-DestinationApplicationSecurityGroupId $webAsg.id `
-DestinationPortRange 80,443
The following example creates a rule that allows traffic inbound from the
internet to the *myMgmtServers* application security group over port 3389:
$mgmtRule = New-AzNetworkSecurityRuleConfig `
-Name "Allow-RDP-All" `
-Access Allow `
-Protocol Tcp `
-Direction Inbound `
-Priority 110 `
-SourceAddressPrefix Internet `
-SourcePortRange * `
-DestinationApplicationSecurityGroupId $mgmtAsg.id `
-DestinationPortRange 3389
Dans cet article, RDP (port 3389) est exposé sur Internet pour la machine virtuelle
myAsgMgmtServers. Pour les environnements de production, au lieu d’exposer le port
3389 sur Internet, il est recommandé de vous connecter aux ressources Azure que vous
souhaitez gérer à l’aide d’une connexion réseau VPN ou privée.
PowerShell
$nsg = New-AzNetworkSecurityGroup `
-ResourceGroupName myResourceGroup `
-Location eastus `
-Name myNsg `
-SecurityRules $webRule,$mgmtRule
Azure PowerShell
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName myResourceGroup `
-Location EastUS `
-Name myVirtualNetwork `
-AddressPrefix 10.0.0.0/16
Azure PowerShell
Add-AzVirtualNetworkSubnetConfig `
-Name mySubnet `
-VirtualNetwork $virtualNetwork `
-AddressPrefix "10.0.2.0/24" `
-NetworkSecurityGroup $nsg
$virtualNetwork | Set-AzVirtualNetwork
PowerShell
$virtualNetwork = Get-AzVirtualNetwork `
-Name myVirtualNetwork `
-Resourcegroupname myResourceGroup
Créez une adresse IP publique pour chaque machine virtuelle avec New-
AzPublicIpAddress :
PowerShell
$publicIpWeb = New-AzPublicIpAddress `
-AllocationMethod Dynamic `
-ResourceGroupName myResourceGroup `
-Location eastus `
-Name myVmWeb
$publicIpMgmt = New-AzPublicIpAddress `
-AllocationMethod Dynamic `
-ResourceGroupName myResourceGroup `
-Location eastus `
-Name myVmMgmt
PowerShell
$webNic = New-AzNetworkInterface `
-Location eastus `
-Name myVmWeb `
-ResourceGroupName myResourceGroup `
-SubnetId $virtualNetwork.Subnets[0].Id `
-ApplicationSecurityGroupId $webAsg.Id `
-PublicIpAddressId $publicIpWeb.Id
L’exemple suivant crée une interface réseau, lui associe l’adresse IP publique
myVmMgmt et la rend membre du groupe de sécurité d’application myAsgMgmtServers :
PowerShell
$mgmtNic = New-AzNetworkInterface `
-Location eastus `
-Name myVmMgmt `
-ResourceGroupName myResourceGroup `
-SubnetId $virtualNetwork.Subnets[0].Id `
-ApplicationSecurityGroupId $mgmtAsg.Id `
-PublicIpAddressId $publicIpMgmt.Id
Créez deux machines virtuelles dans le réseau virtuel pour pouvoir valider le filtrage du
trafic à une étape ultérieure.
Azure PowerShell
$webVmConfig = New-AzVMConfig `
-VMName myVmWeb `
-VMSize Standard_DS1_V2 | `
Set-AzVMOperatingSystem -Windows `
-ComputerName myVmWeb `
-Credential $cred | `
Set-AzVMSourceImage `
-PublisherName MicrosoftWindowsServer `
-Offer WindowsServer `
-Skus 2016-Datacenter `
-Version latest | `
Add-AzVMNetworkInterface `
-Id $webNic.Id
New-AzVM `
-ResourceGroupName myResourceGroup `
-Location eastus `
-VM $webVmConfig `
-AsJob
Azure PowerShell
# Create the web server virtual machine configuration and virtual machine.
$mgmtVmConfig = New-AzVMConfig `
-VMName myVmMgmt `
-VMSize Standard_DS1_V2 | `
Set-AzVMOperatingSystem -Windows `
-ComputerName myVmMgmt `
-Credential $cred | `
Set-AzVMSourceImage `
-PublisherName MicrosoftWindowsServer `
-Offer WindowsServer `
-Skus 2016-Datacenter `
-Version latest | `
Add-AzVMNetworkInterface `
-Id $mgmtNic.Id
New-AzVM `
-ResourceGroupName myResourceGroup `
-Location eastus `
-VM $mgmtVmConfig
Azure PowerShell
Get-AzPublicIpAddress `
-Name myVmMgmt `
-ResourceGroupName myResourceGroup `
| Select IpAddress
Utilisez la commande suivante pour créer une session Bureau à distance avec la machine
virtuelle myVmMgmt à partir de votre ordinateur local. Remplacez <publicIpAddress>
par l’adresse IP retournée par la commande précédente.
mstsc /v:<publicIpAddress>
Utilisez la commande suivante pour créer une connexion Bureau à distance vers la
machine virtuelle myVmWeb à partir de la machine virtuelle myVmMgmt, avec la
commande suivante, à partir de PowerShell :
mstsc /v:myvmWeb
La connexion réussit car une règle de sécurité par défaut au sein de chaque groupe de
sécurité réseau autorise le trafic par tous les ports entre toutes les adresses IP au sein
d’un réseau virtuel. Vous ne pouvez pas créer une connexion Bureau à distance à la
machine virtuelle myVmWeb depuis Internet, car la règle de sécurité pour le
myAsgWebServers n’autorise pas les données entrantes venant d’Internet sur le port
3389.
Utilisez la commande suivante pour installer Microsoft IIS sur la machine virtuelle
myVmWeb à partir de PowerShell :
PowerShell
Azure PowerShell
Get-AzPublicIpAddress `
-Name myVmWeb `
-ResourceGroupName myResourceGroup `
| Select IpAddress
Pour confirmer que vous pouvez accéder au serveur web myVmWeb sans être dans
Azure, ouvrez un navigateur web sur votre ordinateur et accédez à http://<public-ip-
address-from-previous-step> . La connexion réussit, car le port 80 autorise le trafic
Azure PowerShell
Étapes suivantes
Dans cet article, vous avez créé un groupe de sécurité réseau et vous l’avez associé à un
sous-réseau d’un réseau virtuel. Pour en savoir plus sur les groupes de sécurité réseau,
consultez Vue d’ensemble d’un groupe de sécurité réseau et Gérer un groupe de
sécurité réseau.
Azure achemine par défaut le trafic entre les sous-réseaux. À la place, vous pouvez
choisir par exemple d’acheminer le trafic entre les sous-réseaux via une machine
virtuelle, agissant comme un pare-feu. Pour savoir comment procéder, consultez Créer
une table de routage.
Filtrer le trafic réseau avec un groupe de
sécurité réseau à l’aide d’Azure CLI
Article • 01/06/2023
Vous pouvez filtrer le trafic réseau entrant dans un sous-réseau de réseau virtuel ou qui
en sort, avec un groupe de sécurité réseau. Les groupes de sécurité réseau contiennent
des règles de sécurité qui filtrent le trafic réseau par adresse IP, port et protocole. Les
règles de sécurité sont appliquées aux ressources déployées dans un sous-réseau. Dans
cet article, vous apprendrez comment :
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de
commencer.
Prérequis
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations,
consultez Démarrage rapide pour Bash dans Azure Cloud Shell.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première
utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des
extensions avec Azure CLI.
Exécutez az version pour rechercher la version et les bibliothèques dépendantes
installées. Pour effectuer une mise à niveau vers la dernière version, exécutez az
upgrade.
Cet article nécessite la version 2.0.28 ou ultérieure d’Azure CLI. Si vous utilisez
Azure Cloud Shell, la version la plus récente est déjà installée.
Azure CLI
az group create \
--name myResourceGroup \
--location eastus
Azure CLI
Azure CLI
Azure CLI
L’exemple suivant crée une règle qui autorise le trafic entrant à partir d’Internet vers le
groupe de sécurité d’application myMgmtServers par le port 22 :
Azure CLI
Azure CLI
Azure CLI
Créez une machine virtuelle avec la commande az vm create. L’exemple suivant crée une
machine virtuelle qui servira de serveur web. L’option --asgs myAsgWebServers amène
Azure à rendre l’interface réseau qu’il crée pour la machine virtuelle membre du groupe
de sécurité d’application myAsgWebServers.
L’option --nsg "" est spécifiée pour empêcher la création par Azure d’un groupe de
sécurité réseau par défaut pour l’interface réseau créée par Azure lorsqu’il crée la
machine virtuelle. Pour simplifier cet article, un mot de passe est utilisé. Les clés sont
généralement utilisées dans les déploiements en production. Si vous utilisez des clés,
vous devez également configurer le transfert de l’agent SSH pour les étapes restantes.
Pour plus d’informations, consultez la documentation associée à votre client SSH.
Remplacez <replace-with-your-password> dans la commande suivante par un mot de
passe de votre choix.
Azure CLI
adminPassword="<replace-with-your-password>"
az vm create \
--resource-group myResourceGroup \
--name myVmWeb \
--image UbuntuLTS \
--vnet-name myVirtualNetwork \
--subnet mySubnet \
--nsg "" \
--asgs myAsgWebServers \
--admin-username azureuser \
--admin-password $adminPassword
Sortie
{
"fqdns": "",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virt
ualMachines/myVmWeb",
"location": "eastus",
"macAddress": "00-0D-3A-23-9A-49",
"powerState": "VM running",
"privateIpAddress": "10.0.0.4",
"publicIpAddress": "13.90.242.231",
"resourceGroup": "myResourceGroup"
}
Veuillez noter publicIpAddress. Cette adresse sera utilisée pour accéder à la machine
virtuelle à partir d’Internet dans une prochaine étape. Créez une machine virtuelle
comme un serveur d’administration :
Azure CLI
az vm create \
--resource-group myResourceGroup \
--name myVmMgmt \
--image UbuntuLTS \
--vnet-name myVirtualNetwork \
--subnet mySubnet \
--nsg "" \
--asgs myAsgMgmtServers \
--admin-username azureuser \
--admin-password $adminPassword
Bash
ssh azureuser@<publicIpAddress>
Lorsque vous êtes invité à indiquer un mot de passe, entrez le mot de passe que vous
avez utilisé dans Créer des machines virtuelles.
La connexion réussit, car le port 22 autorise le trafic entrant depuis Internet vers le
groupe de sécurité d’application myAsgMgmtServers dans lequel se situe l’interface
réseau attachée à la machine virtuelle myVmMgmt.
Utilisez la commande suivante pour établir une connexion SSH avec la machine virtuelle
myVmWeb à partir de la machine virtuelle myVmMgmt :
Bash
ssh azureuser@myVmWeb
La connexion réussit car une règle de sécurité par défaut au sein de chaque groupe de
sécurité réseau autorise le trafic par tous les ports entre toutes les adresses IP au sein
d’un réseau virtuel. Vous ne pouvez pas établir une connexion SSH myVmWeb depuis
Internet, car la règle de sécurité pour le myAsgWebServers n’autorise pas les données
entrantes venant d’Internet sur le port 22.
Utilisez les commandes suivantes pour installer le serveur web nginx sur la machine
virtuelle myVmWeb :
Bash
# Install NGINX
sudo apt-get -y install nginx
Bash
curl myVmWeb
Azure CLI
Étapes suivantes
Dans cet article, vous avez créé un groupe de sécurité réseau et vous l’avez associé à un
sous-réseau d’un réseau virtuel. Pour en savoir plus sur les groupes de sécurité réseau,
consultez Vue d’ensemble d’un groupe de sécurité réseau et Gérer un groupe de
sécurité réseau.
Azure achemine par défaut le trafic entre les sous-réseaux. À la place, vous pouvez
choisir par exemple d’acheminer le trafic entre les sous-réseaux via une machine
virtuelle, agissant comme un pare-feu. Pour savoir comment procéder, consultez Créer
une table de routage.
Démarrage rapide – Créer un point de
terminaison privé en utilisant le portail
Azure
Article • 25/03/2023 • 7 minutes de lecture
Démarrez avec Azure Private Link en créant et utilisant un point de terminaison privé
pour vous connecter en toute sécurité à une application web Azure.
Dans ce guide de démarrage rapide, vous allez créer un point de terminaison privé pour
une application web Azure, puis créer et déployer une machine virtuelle pour tester la
connexion privée.
Vous pouvez créer des points de terminaison privés pour divers services Azure, tels
qu’Azure SQL et Stockage Azure.
Prérequis
Compte Azure avec un abonnement actif. Si vous n’avez pas encore de compte
Azure, créez-en un gratuitement .
Une application web Azure avec un niveau PremiumV2 ou un plan App Service
supérieur déployé dans votre abonnement Azure.
L’hôte Bastion vous permet de vous connecter en toute sécurité à la machine virtuelle
pour tester le point de terminaison privé.
2. Dans la zone de recherche située en haut du portail, entrez Réseau virtuel. Dans
les résultats de recherche, sélectionnez Réseaux virtuels.
3. Sélectionnez + Créer dans Réseaux virtuels.
Paramètre Valeur
Détails du projet
Détails de l’instance
Paramètre Valeur
Paramètre Valeur
7 Notes
4. Sous l’onglet Informations de base de la page Créer une machine virtuelle, entrez
ou sélectionnez les informations suivantes.
Paramètre Valeur
Détails du projet
Détails de l’instance
Paramètre Valeur
Compte
administrateur
Paramètre Valeur
Interface réseau
7 Notes
Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles
qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends
d’un Azure Load Balancer de base interne. Le mécanisme d’adresse IP d’accès
sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.
L’adresse IP d’accès sortant par défaut est désactivée quand une adresse IP
publique est affectée à la machine virtuelle, quand la machine virtuelle est placée
dans le pool back-end d’un équilibreur de charge standard, avec ou sans règles de
trafic sortant, ou si une ressource de passerelle NAT de réseau virtuel Azure est
affectée au sous-réseau de la machine virtuelle.
Les machines virtuelles créées par des groupes de machines virtuelles identiques en
mode d’orchestration flexible n’ont pas d’accès sortant par défaut.
Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès
sortant par défaut dans Azure et Utiliser la traduction d’adresses réseau sources
(SNAT) pour les connexions sortantes.
) Important
Vous devez disposer d’une application web Azure précédemment déployée pour
suivre les étapes décrites dans cet article. Pour plus d’informations, consultez
Prérequis.
Détails du projet
Détails de l’instance
Paramètre Valeur
Paramètre Valeur
Mise en réseau
Stratégie réseau pour Sélectionnez Modifier pour appliquer des groupes de sécurité
les points de réseau ou des tables de routage au sous-réseau contenant le point
terminaison privés de terminaison privé.
Dans Modifier la stratégie réseau du sous-réseau, cochez la case
en regard de Groupes de sécurité réseau et Tables de routage.
Sélectionnez Enregistrer.
Adresse IP dynamique
Paramètre Valeur
2. Sélectionnez myVM.
4. Entrez le nom d’utilisateur et le mot de passe que vous avez utilisés lors de la
création de la machine virtuelle.
5. Sélectionnez Connecter.
PowerShell
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: mywebapp1979.privatelink.azurewebsites.net
Address: 10.1.0.5
Aliases: mywebapp1979.azurewebsites.net
Une adresse IP privée 10.1.0.5 est retournée pour le nom de l’application web si
vous avez choisi l’adresse IP dynamique dans les étapes précédentes. Cette adresse
se trouve dans le sous-réseau du réseau virtuel que vous avez créé plus tôt.
Si votre application web n’a pas été déployée, vous obtiendrez la page
d’application web par défaut suivante :
2. Sélectionnez CreatePrivateEndpointQS-rg.
5. Sélectionnez Supprimer.
Étapes suivantes
Dans le cadre de ce guide de démarrage rapide, vous avez créé les éléments suivants :
Vous avez utilisé la machine virtuelle pour tester la connectivité à l’application web sur le
point de terminaison privé.
Pour plus d’informations sur les services qui prennent en charge les points de
terminaison privés, consultez :
Démarrez avec Azure Private Link en utilisant un point de terminaison privé pour vous
connecter en toute sécurité à une application web Azure.
Dans ce guide de démarrage rapide, vous allez créer un point de terminaison privé pour
une application web Azure, puis créer et déployer une machine virtuelle pour tester la
connexion privée.
Vous pouvez créer des points de terminaison privés pour divers services Azure, tels
qu’Azure SQL et Stockage Azure.
Prérequis
Compte Azure avec un abonnement actif. Si vous n’avez pas encore de compte
Azure, créez-en un gratuitement .
Une application web Azure avec un niveau PremiumV2 ou un plan App Service
supérieur déployé dans votre abonnement Azure.
Azure PowerShell
Azure PowerShell
) Important
Vous devez disposer d’une application web Azure précédemment déployée pour
suivre les étapes décrites dans cet article. Pour plus d’informations, consultez
Prérequis.
Azure PowerShell
Lier la zone DNS au réseau virtuel que vous avez créé précédemment avec New-
AzPrivateDnsVirtualNetworkLink
Azure PowerShell
Azure PowerShell
## Create the credential for the virtual machine. Enter a username and
password at the prompt. ##
$cred = Get-Credential
7 Notes
Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles
qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends
d’un Azure Load Balancer de base interne. Le mécanisme d’adresse IP d’accès
sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.
L’adresse IP d’accès sortant par défaut est désactivée quand une adresse IP
publique est affectée à la machine virtuelle, quand la machine virtuelle est placée
dans le pool back-end d’un équilibreur de charge standard, avec ou sans règles de
trafic sortant, ou si une ressource de passerelle NAT de réseau virtuel Azure est
affectée au sous-réseau de la machine virtuelle.
Les machines virtuelles créées par des groupes de machines virtuelles identiques en
mode d’orchestration flexible n’ont pas d’accès sortant par défaut.
Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès
sortant par défaut dans Azure et Utiliser la traduction d’adresses réseau sources
(SNAT) pour les connexions sortantes.
3. Sélectionnez myVM.
5. Entrez le nom d’utilisateur et le mot de passe que vous avez utilisés lors de la
création de la machine virtuelle. Sélectionnez Connecter.
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: mywebapp1979.privatelink.azurewebsites.net
Address: 10.0.0.10
Aliases: mywebapp1979.azurewebsites.net
Si votre application web n’a pas été déployée, vous obtiendrez la page
d’application web par défaut suivante :
Azure PowerShell
Démarrez avec Azure Private Link en utilisant un point de terminaison privé pour vous
connecter en toute sécurité à une application web Azure.
Dans ce guide de démarrage rapide, vous allez créer un point de terminaison privé pour
une application web Azure, puis créer et déployer une machine virtuelle pour tester la
connexion privée.
Vous pouvez créer des points de terminaison privés pour divers services Azure, tels
qu’Azure SQL et Stockage Azure.
Prérequis
Compte Azure avec un abonnement actif. Si vous n’avez pas encore de compte
Azure, créez-en un gratuitement .
Pour vous assurer que votre abonnement est actif, connectez-vous au portail
Azure, puis vérifiez votre version en exécutant az login .
Une application web Azure avec un niveau PremiumV2 ou un plan App Service
supérieur déployé dans votre abonnement Azure.
Vérifiez votre version d’Azure CLI dans un terminal ou une fenêtre de commande
en exécutant az --version . Pour obtenir la dernière version, consultez les notes de
publication les plus récentes.
Azure CLI
az group create \
--name CreatePrivateEndpointQS-rg \
--location eastus
Azure CLI
Azure CLI
Créez une adresse IP publique pour l’hôte bastion à l’aide de la commande az network
public-ip create.
Azure CLI
Azure CLI
) Important
Vous devez disposer d’une application web Azure précédemment déployée pour
suivre les étapes décrites dans cet article. Pour plus d’informations, consultez
Prérequis.
Placez l’ID de ressource de l’application web que vous avez créée précédemment dans
une variable d’interpréteur de commandes à l’aide de la commande az webapp list.
Créez le point de terminaison privé à l’aide de la commande az network private-
endpoint create.
Adresse IP dynamique
Azure CLI
Créez une zone DNS Azure privée à l’aide de la commande az network private-dns zone
create.
Azure CLI
Liez la zone DNS au réseau virtuel que vous avez créé précédemment, à l’aide de la
commande az network private-dns link vnet create.
Azure CLI
Azure CLI
Azure CLI
az vm create \
--resource-group CreatePrivateEndpointQS-rg \
--name myVM \
--image Win2019Datacenter \
--public-ip-address "" \
--vnet-name myVNet \
--subnet myBackendSubnet \
--admin-username azureuser
7 Notes
Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles
qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends
d’un Azure Load Balancer de base interne. Le mécanisme d’adresse IP d’accès
sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.
L’adresse IP d’accès sortant par défaut est désactivée quand une adresse IP
publique est affectée à la machine virtuelle, quand la machine virtuelle est placée
dans le pool back-end d’un équilibreur de charge standard, avec ou sans règles de
trafic sortant, ou si une ressource de passerelle NAT de réseau virtuel Azure est
affectée au sous-réseau de la machine virtuelle.
Les machines virtuelles créées par des groupes de machines virtuelles identiques en
mode d’orchestration flexible n’ont pas d’accès sortant par défaut.
Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès
sortant par défaut dans Azure et Utiliser la traduction d’adresses réseau sources
(SNAT) pour les connexions sortantes.
3. Sélectionnez myVM.
5. Entrez le nom d’utilisateur et le mot de passe que vous avez utilisés lors de la
création de la machine virtuelle. Sélectionnez Connecter.
PowerShell
Server: UnKnown
Address: 168.63.129.16
Non-authoritative answer:
Name: mywebapp1979.privatelink.azurewebsites.net
Address: 10.0.0.10
Aliases: mywebapp1979.azurewebsites.net
Si votre application web n’a pas été déployée, vous obtiendrez la page
d’application web par défaut suivante :
Azure CLI
az group delete \
--name CreatePrivateEndpointQS-rg
Étapes suivantes
Pour plus d’informations sur les services qui prennent en charge les points de
terminaison privés, consultez :
Ce tutoriel utilise le portail Azure. Vous pouvez également le suivre avec l’interface Azure
CLI ou PowerShell.
Prérequis
Un abonnement Azure
Connexion à Azure
Connectez-vous au portail Azure .
Créer un réseau virtuel
1. Dans le menu du portail Azure, sélectionnez + Créer une ressource.
Paramètre Valeur
Paramètre Valeur
1. Si vous n’êtes pas déjà sur la page de ressources du réseau virtuel, vous pouvez
rechercher le réseau virtuel créé dans la case située en haut du portail. Saisissez
myVirtualNetwork, et sélectionnez-le dans la liste.
Paramètre Valeur
Name Privé
1. Dans la zone de recherche située en haut du portail Azure, recherchez les groupes
de sécurité réseau.
Paramètre Valeur
7. Créer une règle qui autorise les communications sortantes vers le service Stockage
Azure. Saisissez ou sélectionnez les informations suivantes, puis sélectionnez
Ajouter :
Paramètre Valeur
Source port *
ranges
Plages de ports Remplacez par 445. Le protocole SMB est utilisé pour se connecter à un
de destination partage de fichiers créé lors d’une étape ultérieure.
Protocol Quelconque
Action Autoriser
Priority 100
Paramètre Valeur
Protocol Quelconque
Priority 110
Source Quelconque
Protocol Quelconque
Action Autoriser
Priority 120
Le port RDP 3389 est exposé à Internet. Ceci est recommandé uniquement
pour les tests. Pour Environnements de production, nous vous recommandons
d’utiliser une connexion VPN ou privée.
12. Sélectionnez myVirtualNetwork sous Réseau virtuel, puis sélectionnez Privé sous
Sous-réseaux. Sélectionnez OK pour associer le groupe de sécurité réseau au sous-
réseau sélectionné.
Paramètre Valeur
Nom du Entrez un nom qui est unique dans tous les emplacements Azure. La
compte de longueur du nom doit être comprise entre 3 et 24 caractères, en utilisant
stockage uniquement des chiffres et des lettres minuscules.
Performances standard
7 Notes
Paramètre Valeur
Nom my-file-share
1. Sous Paramètres pour votre compte de stockage (nom unique), sélectionnez Mise
en réseau.
Paramètre Valeur
Sous-réseaux Privé
Paramètre Valeur
Zone de 1
disponibilité
Mot de passe Entrez un mot de passe de votre choix. Le mot de passe doit contenir au
moins 12 caractères et satisfaire aux exigences de complexité définies.
Paramètre Valeur
5. Une fois connecté, ouvrez Windows PowerShell. Utilisez le script ci-dessous pour
mapper le partage de fichiers Azure au lecteur Z à l’aide de PowerShell. Remplacez
<storage-account-key> et les deux variables <storage-account-name> par les
valeurs récupérées plus tôt lors des étapes de création du compte de stockage.
PowerShell
À partir de myVmPublic :
1. Entrez myVmPublic dans le champ Rechercher des ressources, services et
documents en haut du portail. Quand myVmPublic apparaît dans les résultats de
la recherche, sélectionnez cette entrée.
Après un court délai d’attente, vous recevez une erreur New-PSDrive : Access is
denied . L’accès est refusé car la machine virtuelle myVmPublic est déployée sur le
PowerShell
7 Notes
L’accès est refusé, car votre ordinateur ne se trouve pas dans le sous-réseau Private
du réseau virtuel MyVirtualNetwork.
Étapes suivantes
Dans ce tutoriel, vous avez activé un point de terminaison de service pour un sous-
réseau de réseau virtuel. Vous avez vu que les points de terminaison de service peuvent
être activés pour les ressources déployées à partir de différents services Azure. Vous
avez créé un compte Stockage Azure et un accès réseau à ce compte de stockage, limité
aux ressources du sous-réseau du réseau virtuel. Pour en savoir plus sur les points de
terminaison de service, consultez Points de terminaison de service de réseau virtuel et
Ajouter, modifier ou supprimer un sous-réseau de réseau virtuel.
Si vous avez plusieurs réseaux virtuels dans votre compte, vous souhaiterez peut-être
établir une connectivité entre eux afin que les ressources puissent communiquer entre
elles. Pour savoir comment connecter des réseaux virtuels, passez au didacticiel suivant.
Azure PowerShell
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName myResourceGroup `
-Location EastUS `
-Name myVirtualNetwork `
-AddressPrefix 10.0.0.0/16
Azure PowerShell
$subnetConfigPublic = Add-AzVirtualNetworkSubnetConfig `
-Name Public `
-AddressPrefix 10.0.0.0/24 `
-VirtualNetwork $virtualNetwork
Azure PowerShell
$virtualNetwork | Set-AzVirtualNetwork
Azure PowerShell
Créez un autre sous-réseau dans le réseau virtuel. Dans cet exemple, un sous-réseau
nommé Private est créé avec un point de terminaison de service Microsoft.Storage :
Azure PowerShell
$subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig `
-Name Private `
-AddressPrefix 10.0.1.0/24 `
-VirtualNetwork $virtualNetwork `
-ServiceEndpoint Microsoft.Storage
$virtualNetwork | Set-AzVirtualNetwork
Azure PowerShell
$rule1 = New-AzNetworkSecurityRuleConfig `
-Name Allow-Storage-All `
-Access Allow `
-DestinationAddressPrefix Storage `
-DestinationPortRange * `
-Direction Outbound `
-Priority 100 `
-Protocol * `
-SourceAddressPrefix VirtualNetwork `
-SourcePortRange *
La règle suivante refuse l’accès à toutes les adresses IP publiques. La règle précédente
remplace cette règle, du fait de sa priorité plus élevée, ce qui permet d’accéder aux
adresses IP publiques du Stockage Azure.
Azure PowerShell
$rule2 = New-AzNetworkSecurityRuleConfig `
-Name Deny-Internet-All `
-Access Deny `
-DestinationAddressPrefix Internet `
-DestinationPortRange * `
-Direction Outbound `
-Priority 110 `
-Protocol * `
-SourceAddressPrefix VirtualNetwork `
-SourcePortRange *
La règle suivante autorise le trafic du protocole RDP (Remote Desktop Protocol) entrant
dans le sous-réseau à partir de n’importe quel endroit. Les connexions Bureau à distance
sont autorisées dans le sous-réseau, afin que vous puissiez vérifier l’accès réseau à une
ressource dans une étape ultérieure.
Azure PowerShell
$rule3 = New-AzNetworkSecurityRuleConfig `
-Name Allow-RDP-All `
-Access Allow `
-DestinationAddressPrefix VirtualNetwork `
-DestinationPortRange 3389 `
-Direction Inbound `
-Priority 120 `
-Protocol * `
-SourceAddressPrefix * `
-SourcePortRange *
Azure PowerShell
$nsg = New-AzNetworkSecurityGroup `
-ResourceGroupName myResourceGroup `
-Location EastUS `
-Name myNsgPrivate `
-SecurityRules $rule1,$rule2,$rule3
Azure PowerShell
Set-AzVirtualNetworkSubnetConfig `
-VirtualNetwork $VirtualNetwork `
-Name Private `
-AddressPrefix 10.0.1.0/24 `
-ServiceEndpoint Microsoft.Storage `
-NetworkSecurityGroup $nsg
$virtualNetwork | Set-AzVirtualNetwork
Azure PowerShell
$storageAcctName = '<replace-with-your-unique-storage-account-name>'
New-AzStorageAccount `
-Location EastUS `
-Name $storageAcctName `
-ResourceGroupName myResourceGroup `
-SkuName Standard_LRS `
-Kind StorageV2
Une fois le compte de stockage créé, récupérez la clé du compte de stockage dans une
variable avec Get-AzStorageAccountKey :
Azure PowerShell
$storageAcctKey = (Get-AzStorageAccountKey `
-ResourceGroupName myResourceGroup `
-AccountName $storageAcctName).Value[0]
La clé sera utilisée pour créer un partage de fichiers lors d’une prochaine étape. Entrez
$storageAcctKey et notez la valeur, car vous devez également l’entrer dans une étape
ultérieure lorsque vous mapperez le partage de fichiers à un lecteur d’une machine
virtuelle.
Azure PowerShell
Update-AzStorageAccountNetworkRuleSet `
-ResourceGroupName "myresourcegroup" `
-Name $storageAcctName `
-DefaultAction Deny
Azure PowerShell
$privateSubnet = Get-AzVirtualNetwork `
-ResourceGroupName "myResourceGroup" `
-Name "myVirtualNetwork" `
| Get-AzVirtualNetworkSubnetConfig `
-Name "Private"
Azure PowerShell
Add-AzStorageAccountNetworkRule `
-ResourceGroupName "myresourcegroup" `
-Name $storageAcctName `
-VirtualNetworkResourceId $privateSubnet.Id
Créer des machines virtuelles
Pour tester l’accès réseau à un compte de stockage, déployez une machine virtuelle sur
chaque sous-réseau.
Azure PowerShell
New-AzVm `
-ResourceGroupName "myResourceGroup" `
-Location "East US" `
-VirtualNetworkName "myVirtualNetwork" `
-SubnetName "Public" `
-Name "myVmPublic" `
-AsJob
PowerShell
Azure PowerShell
New-AzVm `
-ResourceGroupName "myResourceGroup" `
-Location "East US" `
-VirtualNetworkName "myVirtualNetwork" `
-SubnetName "Private" `
-Name "myVmPrivate"
Azure PowerShell
Get-AzPublicIpAddress `
-Name myVmPrivate `
-ResourceGroupName myResourceGroup `
| Select IpAddress
PowerShell
mstsc /v:<publicIpAddress>
Un fichier .rdp (Remote Desktop Protocol) est créé et téléchargé sur votre ordinateur.
Ouvrez le fichier .rdp téléchargé. Si vous y êtes invité, sélectionnez Connexion. Entrez le
nom d’utilisateur et le mot de passe spécifiés lors de la création de la machine virtuelle.
Vous devrez peut-être sélectionner Plus de choix, puis Utiliser un autre compte, pour
spécifier les informations d’identification que vous avez entrées lorsque vous avez créé
la machine virtuelle. Sélectionnez OK. Un avertissement de certificat peut s’afficher
pendant le processus de connexion. Si vous recevez l’avertissement, sélectionnez Oui ou
Continuer pour poursuivre le processus de connexion.
PowerShell
PowerShell
ping bing.com
Vous ne recevez aucune réponse, car le groupe de sécurité réseau associé au sous-
réseau Private n’autorise pas l’accès sortant aux adresses IP publiques autres que les
adresses affectées au service Stockage Azure.
Azure PowerShell
Get-AzPublicIpAddress `
-Name myVmPublic `
-ResourceGroupName myResourceGroup `
| Select IpAddress
Remplacez <publicIpAddress> dans la commande suivante par l’adresse IP publique
adresse retournée à partir de la commande précédente, puis entrez la commande
suivante :
PowerShell
mstsc /v:<publicIpAddress>
PowerShell
L’accès au partage est refusé et vous recevez une erreur New-PSDrive : Access is
denied . L’accès est refusé car la machine virtuelle myVmPublic est déployée sur le sous-
réseau Public. Le sous-réseau Public ne dispose pas d’un point de terminaison de service
activé pour Stockage Azure, et le compte de stockage autorise uniquement l’accès
réseau à partir du sous-réseau Private et non à partir du sous-réseau Public.
Sur votre ordinateur, essayez d’afficher les partages de fichier du compte de stockage
avec la commande suivante :
PowerShell
Get-AzStorageFile `
-ShareName my-file-share `
-Context $storageContext
L’accès est refusé, et vous recevez une erreur indiquant Get-AzStorageFile : Le serveur
distant a retourné une erreur : (403) Interdit. Code d’état HTTP : 403 - Message d’erreur
HTTP : Cette requête n’est pas autorisée à effectuer cette opération, car votre ordinateur
ne se trouve pas dans le sous-réseau Private du réseau virtuel MyVirtualNetwork.
Nettoyer les ressources
Quand vous n’avez plus besoin d’un groupe de ressources, vous pouvez utiliser
Remove-AzResourceGroup pour le supprimer ainsi que toutes les ressources qu’il
contient :
Azure PowerShell
Étapes suivantes
Dans cet article, vous avez activé un point de terminaison de service pour un sous-
réseau de réseau virtuel. Vous avez vu que les points de terminaison de service peuvent
être activés pour les ressources déployées à l’aide de différents services Azure. Vous
avez créé un compte Stockage Azure et un accès réseau à ce compte de stockage, limité
aux ressources du sous-réseau du réseau virtuel. Pour en savoir plus sur les points de
terminaison de service, consultez Points de terminaison de service de réseau virtuel et
Ajouter, modifier ou supprimer un sous-réseau de réseau virtuel.
Si votre compte comporte plusieurs réseaux virtuels, vous pouvez relier deux réseaux
virtuels pour que les ressources de chaque réseau virtuel puissent communiquer entre
elles. Pour connaître la marche à suivre, consultez Connecter des réseaux virtuels.
Restreindre l’accès réseau aux
ressources PaaS avec des points de
terminaison de service de réseau virtuel
en utilisant Azure CLI
Article • 01/06/2023
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de
commencer.
Prérequis
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations,
consultez Démarrage rapide pour Bash dans Azure Cloud Shell.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première
utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des
extensions avec Azure CLI.
Cet article nécessite la version 2.0.28 ou ultérieure d’Azure CLI. Si vous utilisez
Azure Cloud Shell, la version la plus récente est déjà installée.
Azure CLI
az group create \
--name myResourceGroup \
--location eastus
Azure CLI
Azure CLI
Créez un sous-réseau supplémentaire dans le réseau virtuel avec az network vnet subnet
create. Dans cet exemple, un point de terminaison Microsoft.Storage est créé pour le
sous-réseau :
Azure CLI
Azure CLI
Créez des règles de sécurité avec az network nsg rule create. La règle qui suit autorise
un accès sortant vers les adresses IP publiques affectées au service Stockage Azure :
Azure CLI
Chaque groupe de sécurité réseau contient plusieurs règles de sécurité par défaut. La
règle qui suit remplace une règle de sécurité par défaut, qui autorise l’accès de trafic
sortant à toutes les adresses IP publiques. L’option destination-address-prefix
"Internet" refuse l’accès sortant à toutes les adresses IP publiques. La règle précédente
remplace cette règle, du fait de sa priorité plus élevée, ce qui permet d’accéder aux
adresses IP publiques du Stockage Azure.
Azure CLI
Azure CLI
Azure CLI
storageAcctName="<replace-with-your-unique-storage-account-name>"
Azure CLI
Azure CLI
echo $saConnectionString
Azure CLI
Azure CLI
Azure CLI
Azure CLI
az vm create \
--resource-group myResourceGroup \
--name myVmPublic \
--image UbuntuLTS \
--vnet-name myVirtualNetwork \
--subnet Public \
--generate-ssh-keys
Azure CLI
{
"fqdns": "",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virt
ualMachines/myVmPublic",
"location": "eastus",
"macAddress": "00-0D-3A-23-9A-49",
"powerState": "VM running",
"privateIpAddress": "10.0.0.4",
"publicIpAddress": "13.90.242.231",
"resourceGroup": "myResourceGroup"
}
Prenez note de la valeur de publicIpAddress dans la sortie retournée. Cette adresse sera
utilisée pour accéder à la machine virtuelle à partir d’Internet dans une prochaine étape.
az vm create \
--resource-group myResourceGroup \
--name myVmPrivate \
--image UbuntuLTS \
--vnet-name myVirtualNetwork \
--subnet Private \
--generate-ssh-keys
Bash
ssh <publicIpAddress>
Montez le partage de fichiers Azure dans le répertoire que vous avez créé. Avant
d’exécuter la commande suivante, remplacez <storage-account-name> par le nom du
compte et <storage-account-key> par la clé que vous avez récupérée dans Créer un
compte de stockage.
Bash
Vous recevez l’invite user@myVmPrivate:~$ . Le partage de fichiers Azure est monté sur
/mnt/MyAzureFileShare.
Bash
ping bing.com -c 4
Vous ne recevez aucune réponse, car le groupe de sécurité réseau associé au sous-
réseau Private n’autorise pas l’accès sortant aux adresses IP publiques autres que les
adresses affectées au service Stockage Azure.
Bash
ssh <publicIpAddress>
Créez un répertoire comme point de montage :
Bash
Essayez de monter le partage de fichiers Azure dans le répertoire que vous avez créé.
Cet article suppose que vous ayez déployé la dernière version d’Ubuntu. Si vous utilisez
une version antérieure d’Ubuntu, consultez Montage sur Linux pour en savoir plus sur le
montage des partages de fichiers. Avant d’exécuter la commande suivante, remplacez
<storage-account-name> par le nom du compte et <storage-account-key> par la clé que
Bash
L’accès est refusé et vous recevez une erreur mount error(13): Permission denied , car la
machine virtuelle myVmPublic est déployée sur le sous-réseau Public. Le sous-réseau
Public ne dispose pas d’un point de terminaison de service activé pour Stockage Azure,
et le compte de stockage autorise uniquement l’accès réseau à partir du sous-réseau
Private et non à partir du sous-réseau Public.
Sur votre ordinateur, essayez d’afficher les partages de votre compte de stockage avec
az storage share list. Remplacez <account-name> et <account-key> par le nom de compte
de stockage et la clé utilisés dans la section Créer un compte de stockage :
Azure CLI
L’accès est refusé et vous recevez une erreur indiquant que la requête n’est pas autorisée
à effectuer cette opération, car votre ordinateur ne fait pas partie du sous-réseau Private
du réseau virtuel MyVirtualNetwork.
Azure CLI
Étapes suivantes
Dans cet article, vous avez activé un point de terminaison de service pour un sous-
réseau de réseau virtuel. Vous avez vu que les points de terminaison de service peuvent
être activés pour les ressources déployées à l’aide de différents services Azure. Vous
avez créé un compte Stockage Azure et un accès réseau à ce compte de stockage, limité
aux ressources du sous-réseau du réseau virtuel. Pour en savoir plus sur les points de
terminaison de service, consultez Points de terminaison de service de réseau virtuel et
Ajouter, modifier ou supprimer un sous-réseau de réseau virtuel.
Si votre compte comporte plusieurs réseaux virtuels, vous pouvez relier deux réseaux
virtuels pour que les ressources de chaque réseau virtuel puissent communiquer entre
elles. Pour connaître la marche à suivre, consultez Connecter des réseaux virtuels.
Créer, changer ou supprimer une
stratégie de point de terminaison de
service à l’aide du portail Azure
Article • 01/06/2023
Connexion à Azure
Connectez-vous au portail Azure sur https://portal.azure.com .
6. Sélectionnez Vérifier + créer. Validez les informations, puis cliquez sur Créer. Pour
apporter d’autres modifications, cliquez sur Précédent.
Afficher des stratégies de points de
terminaison
1. Dans la zone Tous les services du portail, commencez à taper stratégies de point de
terminaison de service. Sélectionnez Stratégies de points de terminaison de
service.
2 Avertissement
Vérifiez que toutes les ressources ayant fait l’objet d’un accès à partir du sous-
réseau sont ajoutées à la définition de stratégie avant d’associer la stratégie au
sous-réseau indiqué. Une fois que la stratégie est associée, seul l’accès aux
ressources de la liste verte sera autorisé sur les points de terminaison de service.
Vérifiez également qu’il n’existe aucun service Azure managé dans le sous-réseau
associé à la stratégie de point de terminaison de service
Avant de pouvoir associer une stratégie à un sous-réseau, vous devez créer un
réseau virtuel et un sous-réseau. Pour obtenir de l’aide, reportez-vous à l’article
Créer un réseau virtuel.
Une fois que vous avez configuré le réseau virtuel et le sous-réseau, vous devez
configurer des points de terminaison de service de réseau virtuel pour le stockage
Azure. Dans le panneau Réseau virtuel, sélectionnez Points de terminaison de
service puis, dans le volet suivant, sélectionnez Microsoft.Storage et le réseau
virtuel ou le sous-réseau souhaité sous Sous-réseaux
OU, si vous associez des stratégies de points de terminaison de service après avoir
déjà configuré des points de terminaison de service, vous pouvez choisir d’associer
le sous-réseau à partir du panneau Stratégie de point de terminaison de service en
accédant au volet Sous-réseaux associés, comme indiqué ci-dessous
2 Avertissement
L’accès aux ressources de stockage Azure dans toutes les régions est limité en
fonction de la stratégie de point de terminaison de service de ce sous-réseau.
Étapes suivantes
Dans ce tutoriel, vous avez créé une stratégie de point de terminaison de service que
vous avez associée à un sous-réseau. Pour en savoir plus sur les stratégies de point de
terminaison de service, consultez la vue d’ensemble des stratégies de point de
terminaison de service.
Gérer l’exfiltration de données vers des
comptes de stockage Azure avec des
stratégies de point de terminaison de
service de réseau virtuel à l’aide d’Azure
PowerShell
Article • 11/05/2023
7 Notes
Option Exemple/Lien
Azure PowerShell
New-AzResourceGroup `
-ResourceGroupName myResourceGroup `
-Location EastUS
Azure PowerShell
$virtualNetwork = New-AzVirtualNetwork `
-ResourceGroupName myResourceGroup `
-Location EastUS `
-Name myVirtualNetwork `
-AddressPrefix 10.0.0.0/16
Azure PowerShell
$subnetConfigPrivate = Add-AzVirtualNetworkSubnetConfig `
-Name Private `
-AddressPrefix 10.0.0.0/24 `
-VirtualNetwork $virtualNetwork `
-ServiceEndpoint Microsoft.Storage
$virtualNetwork | Set-AzVirtualNetwork
Azure PowerShell
$rule1 = New-AzNetworkSecurityRuleConfig `
-Name Allow-Storage-All `
-Access Allow `
-DestinationAddressPrefix Storage `
-DestinationPortRange * `
-Direction Outbound `
-Priority 100 -Protocol * `
-SourceAddressPrefix VirtualNetwork `
-SourcePortRange *
La règle suivante refuse l’accès à toutes les adresses IP publiques. La règle précédente
remplace cette règle, du fait de sa priorité plus élevée, ce qui permet d’accéder aux
adresses IP publiques du Stockage Azure.
Azure PowerShell
$rule2 = New-AzNetworkSecurityRuleConfig `
-Name Deny-Internet-All `
-Access Deny `
-DestinationAddressPrefix Internet `
-DestinationPortRange * `
-Direction Outbound `
-Priority 110 -Protocol * `
-SourceAddressPrefix VirtualNetwork `
-SourcePortRange *
La règle suivante autorise le trafic du protocole RDP (Remote Desktop Protocol) entrant
dans le sous-réseau à partir de n’importe quel endroit. Les connexions Bureau à distance
sont autorisées dans le sous-réseau, afin que vous puissiez vérifier l’accès réseau à une
ressource dans une étape ultérieure.
Azure PowerShell
$rule3 = New-AzNetworkSecurityRuleConfig `
-Name Allow-RDP-All `
-Access Allow `
-DestinationAddressPrefix VirtualNetwork `
-DestinationPortRange 3389 `
-Direction Inbound `
-Priority 120 `
-Protocol * `
-SourceAddressPrefix * `
-SourcePortRange *
$nsg = New-AzNetworkSecurityGroup `
-ResourceGroupName myResourceGroup `
-Location EastUS `
-Name myNsgPrivate `
-SecurityRules $rule1,$rule2,$rule3
Azure PowerShell
Set-AzVirtualNetworkSubnetConfig `
-VirtualNetwork $VirtualNetwork `
-Name Private `
-AddressPrefix 10.0.0.0/24 `
-ServiceEndpoint Microsoft.Storage `
-NetworkSecurityGroup $nsg
$virtualNetwork | Set-AzVirtualNetwork
Azure PowerShell
$storageAcctName1 = 'allowedaccount'
New-AzStorageAccount `
-Location EastUS `
-Name $storageAcctName1 `
-ResourceGroupName myResourceGroup `
-SkuName Standard_LRS `
-Kind StorageV2
Une fois le compte de stockage créé, récupérez la clé du compte de stockage dans une
variable avec Get-AzStorageAccountKey :
Azure PowerShell
La clé sera utilisée pour créer un partage de fichiers lors d’une prochaine étape. Entrez
$storageAcctKey et notez la valeur, car vous devez également l’entrer dans une étape
ultérieure lorsque vous mapperez le partage de fichiers à un lecteur d’une machine
virtuelle.
À présent, répétez les étapes ci-dessus pour créer un deuxième compte de stockage.
Azure PowerShell
$storageAcctName2 = 'notallowedaccount'
New-AzStorageAccount `
-Location EastUS `
-Name $storageAcctName2 `
-ResourceGroupName myResourceGroup `
-SkuName Standard_LRS `
-Kind StorageV2
Azure PowerShell
Azure PowerShell
$storageContext1 = New-AzStorageContext $storageAcctName1 $storageAcctKey1
Azure PowerShell
Azure PowerShell
Update-AzStorageAccountNetworkRuleSet `
-ResourceGroupName myresourcegroup `
-Name $storageAcctName1 `
-DefaultAction Deny
Update-AzStorageAccountNetworkRuleSet `
-ResourceGroupName myresourcegroup `
-Name $storageAcctName2 `
-DefaultAction Deny
Azure PowerShell
$privateSubnet = Get-AzVirtualNetwork `
-ResourceGroupName myResourceGroup `
-Name myVirtualNetwork `
| Get-AzVirtualNetworkSubnetConfig -Name Private
Autorisez l’accès réseau au compte de stockage à partir du sous-réseau Private avec
Add-AzStorageAccountNetworkRule.
Azure PowerShell
Add-AzStorageAccountNetworkRule `
-ResourceGroupName myresourcegroup `
-Name $storageAcctName1 `
-VirtualNetworkResourceId $privateSubnet.Id
Add-AzStorageAccountNetworkRule `
-ResourceGroupName myresourcegroup `
-Name $storageAcctName2 `
-VirtualNetworkResourceId $privateSubnet.Id
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
$virtualNetwork | Set-AzVirtualNetwork
Créez une machine virtuelle dans le sous-réseau Privé avec New-AzVM. Lors de
l’exécution de la commande qui suit, vous êtes invité à saisir vos informations
d’identification. Les valeurs que vous saisissez sont configurées comme le nom
d’utilisateur et le mot de passe pour la machine virtuelle. L’option -AsJob crée la
machine virtuelle en arrière-plan. Vous pouvez donc passer à l’étape suivante.
Azure PowerShell
PowerShell
Azure PowerShell
Get-AzPublicIpAddress `
-Name myVmPrivate `
-ResourceGroupName myResourceGroup `
| Select IpAddress
PowerShell
mstsc /v:<publicIpAddress>
Un fichier .rdp (Remote Desktop Protocol) est créé et téléchargé sur votre ordinateur.
Ouvrez le fichier .rdp téléchargé. Si vous y êtes invité, sélectionnez Connexion. Entrez le
nom d’utilisateur et le mot de passe spécifiés lors de la création de la machine virtuelle.
Vous devrez peut-être sélectionner Plus de choix, puis Utiliser un autre compte, pour
spécifier les informations d’identification que vous avez entrées lorsque vous avez créé
la machine virtuelle. Sélectionnez OK. Un avertissement de certificat peut s’afficher
pendant le processus de connexion. Si vous recevez l’avertissement, sélectionnez Oui ou
Continuer pour poursuivre le processus de connexion.
PowerShell
PowerShell
PowerShell
L’accès au partage est refusé et vous recevez une erreur New-PSDrive : Access is
denied . L’accès est refusé, car le compte de stockage notallowedaccount ne figure pas
dans la liste des ressources autorisées de la stratégie de point de terminaison de service.
Azure PowerShell
Étapes suivantes
Dans le cadre de cet article, vous avez appliqué une stratégie de point de terminaison
de service sur un point de terminaison de service de réseau virtuel Azure au stockage
Azure. Vous avez créé des comptes de stockage Azure et vous avez limité l’accès réseau
à certains comptes de stockage (et refusé l’accès à d’autres) à partir d’un sous-réseau de
réseau virtuel. Pour en savoir plus sur les stratégies de point de terminaison de service,
consultez Vue d’ensemble des stratégies de points de terminaison de service.
Gérer l’exfiltration de données vers des
comptes Stockage Azure avec des
stratégies de points de terminaison de
service de réseau virtuel à l’aide d’Azure
CLI
Article • 09/03/2023 • 9 minutes de lecture
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit Azure avant de
commencer.
Prérequis
Utilisez l’environnement Bash dans Azure Cloud Shell. Pour plus d’informations,
consultez Démarrage rapide pour Bash dans Azure Cloud Shell.
Lorsque vous y êtes invité, installez l’extension Azure CLI lors de la première
utilisation. Pour plus d’informations sur les extensions, consultez Utiliser des
extensions avec Azure CLI.
Cet article nécessite la version 2.0.28 ou ultérieure d’Azure CLI. Si vous utilisez
Azure Cloud Shell, la version la plus récente est déjà installée.
Azure CLI
az group create \
--name myResourceGroup \
--location eastus
Azure CLI
Azure CLI
Azure CLI
Azure CLI
Créez des règles de sécurité avec az network nsg rule create. La règle qui suit autorise
un accès sortant vers les adresses IP publiques affectées au service Stockage Azure :
Azure CLI
Chaque groupe de sécurité réseau contient plusieurs règles de sécurité par défaut. La
règle qui suit remplace une règle de sécurité par défaut, qui autorise l’accès de trafic
sortant à toutes les adresses IP publiques. L’option destination-address-prefix
"Internet" refuse l’accès sortant à toutes les adresses IP publiques. La règle précédente
remplace cette règle, du fait de sa priorité plus élevée, ce qui permet d’accéder aux
adresses IP publiques du Stockage Azure.
Azure CLI
La règle suivante autorise le trafic SSH entrant vers le sous-réseau à partir de n’importe
quel endroit. La règle remplace une règle de sécurité par défaut qui refuse tout le trafic
entrant provenant d’Internet. Le SSH est autorisé sur le sous-réseau afin que la
connectivité puisse être testée dans une étape ultérieure.
Azure CLI
Azure CLI
storageAcctName1="allowedstorageacc"
storageAcctName2="notallowedstorageacc"
Une fois les comptes de stockage créés, récupérez la chaîne de connexion des comptes
de stockage dans une variable avec az storage account show-connection-string. La
chaîne de connexion sera utilisée pour créer un partage de fichiers lors d’une prochaine
étape.
Azure CLI
Azure CLI
echo $saConnectionString1
echo $saConnectionString2
Azure CLI
Azure CLI
Azure CLI
Les stratégies de points de terminaison de service sont appliquées sur les points de
terminaison de service. Nous allons commencer par créer une stratégie de points de
terminaison de service. Après quoi, nous allons créer les définitions de stratégie dans le
cadre de cette stratégie pour les comptes Stockage Azure à approuver pour ce sous-
réseau.
Azure CLI
az network service-endpoint policy create \
--resource-group myResourceGroup \
--name mysepolicy \
--location eastus
Enregistrez l’URI de ressource pour le compte de stockage autorisé dans une variable.
Avant d’exécuter la commande ci-dessous, remplacez <your-subscription-id> par la
valeur réelle de votre ID d’abonnement.
Azure CLI
$serviceResourceId="/subscriptions/<your-subscription-
id>/resourceGroups/myResourceGroup/providers/Microsoft.Storage/storageAccoun
ts/allowedstorageacc"
Créer et ajouter une définition de stratégie pour autoriser le compte Stockage Azure ci-
dessus dans la stratégie de point de terminaison de service
Azure CLI
Azure CLI
Créez une machine virtuelle dans le sous-réseau Private avec az vm create. Si des clés
SSH n’existent pas déjà dans un emplacement de clé par défaut, la commande les crée.
Pour utiliser un ensemble spécifique de clés, utilisez l’option --ssh-key-value .
Azure CLI
az vm create \
--resource-group myResourceGroup \
--name myVmPrivate \
--image UbuntuLTS \
--vnet-name myVirtualNetwork \
--subnet Private \
--generate-ssh-keys
Bash
ssh <publicIpAddress>
Bash
Montez le partage de fichiers Azure dans le répertoire que vous avez créé. Avant
d’exécuter la commande ci-dessous, remplacez <storage-account-key> par la valeur
AccountKey de $saConnectionString1.
Bash
sudo mount --types cifs //allowedstorageacc.file.core.windows.net/my-file-
share /mnt/MyAzureFileShare1 --options
vers=3.0,username=allowedstorageacc,password=<storage-account-
key>,dir_mode=0777,file_mode=0777,serverino
Vous recevez l’invite user@myVmPrivate:~$ . Le partage de fichiers Azure est monté sur
/mnt/MyAzureFileShare.
Bash
Bash
L’accès est refusé et vous recevez une erreur mount error(13): Permission denied , car
ce compte de stockage ne figure pas dans la liste verte de la stratégie de points de
terminaison de service que nous avons appliquée au sous-réseau.
Azure CLI
Étapes suivantes
Dans le cadre de cet article, vous avez appliqué une stratégie de point de terminaison
de service sur un point de terminaison de service de réseau virtuel Azure au stockage
Azure. Vous avez créé des comptes de stockage Azure et vous avez limité l’accès réseau
à certains comptes de stockage (et refusé l’accès à d’autres) à partir d’un sous-réseau de
réseau virtuel. Pour en savoir plus sur les stratégies de point de terminaison de service,
consultez Vue d’ensemble des stratégies de points de terminaison de service.
Ressources supplémentaires
Documentation
Gérer les stratégies réseau pour les points de terminaison privés - Azure Private Link
Découvrez comment désactiver les stratégies réseau pour les points de terminaison privés.
Tutoriel : Créer une infrastructure DNS de point de terminaison privé avec Azure
Private Resolver pour une charge de travail locale - Azure Private Link
Découvrez comment déployer un point de terminaison privé avec un résolveur privé Azure pour une
charge de travail locale.
az network service-endpoint
Qu’est-ce qu’une sous-ressource de liaison de réseau virtuel dans les zones Azure
DNS privées ?
Vue d’ensemble d’une sous-ressource de liaison de réseau virtuel dans une zone Azure DNS privée
az network firewall
Afficher 5 de plus
Entrainement
Parcours d’apprentissage
AZ-104 : Implémenter et gérer le stockage dans Azure - Training
AZ-104 : Implémenter et gérer le stockage dans Azure
Certification
Microsoft Certified: Azure Network Engineer Associate - Certifications
Les candidats à cette certification doivent avoir une expertise en matière de planification,
d’implémentation et de gestion des solutions réseau Azure, y compris l’infrastructure réseau
principale, la connectivité hybride, les services de distribution d’applications, l’accès privé aux servic…
Démarrage rapide : Créer et configurer
Azure DDoS Network Protection à l’aide
du portail Azure
Article • 01/06/2023
Un plan de protection DDoS définit un ensemble de réseaux virtuels pour lesquels DDoS
Network Protection est activée entre différents abonnements. Vous pouvez configurer
un plan de protection DDoS pour votre organisation et lier des réseaux virtuels à partir
de plusieurs abonnements sous un même locataire Azure AD au même plan.
Dans ce démarrage rapide, vous allez créer un plan de protection DDoS et le lier à un
réseau virtuel.
Prérequis
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de
commencer.
Connectez-vous au portail Azure sur https://portal.azure.com . Assurez-vous que
votre compte dispose du rôle de contributeur de réseau ou d’un rôle personnalisé
attribué aux actions appropriées répertoriées dans le guide pratique relatif aux
Autorisations.
2. Recherchez le terme DDoS. Lorsque Plan de protection DDoS apparaît dans les
résultats de la recherche, sélectionnez cette entrée.
Paramètre Valeur
7 Notes
Bien que les ressources du plan de protection DDoS doivent être associées à une
région, les utilisateurs peuvent activer la protection DDoS sur des réseaux virtuels
dans différentes régions et sur plusieurs abonnements sous un seul locataire Azure
Active Directory.
Paramètre Valeur
Paramètre Valeur
5. Sélectionnez Ajouter.
7 Notes
Vous ne pouvez pas déplacer un réseau virtuel vers un autre groupe de ressources
ou abonnement quand la protection DDoS Standard est activée pour le réseau
virtuel. Si vous devez déplacer un réseau virtuel pour lequel la protection DDoS
Standard est activée, désactivez d’abord celle-ci, déplacez le réseau virtuel, puis
activez la protection DDoS Standard. Après le déplacement, les seuils de stratégie
réglée automatiquement pour toutes les adresses IP publiques protégées dans le
réseau virtuel sont réinitialisés.
Vous pouvez également activer le plan de protection DDoS pour un réseau virtuel
existant à partir du plan de protection DDoS, et non à partir du réseau virtuel.
1. Entrez le nom du réseau virtuel pour lequel vous souhaitez désactiver DDoS
Network Protection dans la zone Rechercher dans les ressources, les services et
les documents en haut du portail. Quand le nom du réseau virtuel apparaît dans
les résultats de la recherche, sélectionnez-le.
2. Sous DDoS Network Protection, sélectionnez Désactiver.
Valider et tester
Tout d’abord, vérifiez les détails de votre plan de protection DDoS :
2 Avertissement
7 Notes
Cet article décrit les opportunités de partenariat offertes par Azure DDoS Protection. Il
est conçu pour aider les chefs de produits et les personnes en charge du
développement commercial à comprendre les parcours d’investissement et à fournir des
insights sur les propositions de valeur de partenariat.
Arrière-plan
Les attaques par déni de service distribué (DDoS) représentent l’un des problèmes de
disponibilité et de sécurité majeurs soulevés par les clients qui déplacent leurs
applications vers le cloud. L’extorsion et le « hacktivisme » sont des motivations
courantes d’attaques DDoS, et elles présentent une augmentation constante en termes
de type, d’échelle et de fréquence des occurrences, car elles sont relativement faciles et
peu onéreuses à lancer.
Azure DDoS Protection propose des mesures contre les menaces DDoS les plus
sophistiquées, en tirant parti de l’échelle mondiale des réseaux Azure. Le service fournit
des fonctionnalités améliorées d’atténuation des attaques DDoS pour les applications et
les ressources déployées sur des réseaux virtuels.
Scénarios de partenaires
Voici les principaux avantages dont vous pouvez bénéficier par l’intégration à Azure
DDoS Protection :
7 Notes
Un seul plan de protection DDoS doit être créé pour un locataire donné.
) Important
Une fois qu’Azure DDoS Protection est activé sur un réseau virtuel, toutes les
adresses IP publiques de ce réseau virtuel sont protégées automatiquement.
L’origine de ces adresses IP publiques peut être dans Azure (abonnement
client) ou en dehors d’Azure.
Obtenir de l’aide
Si vous avez des questions sur l’intégration des applications, des services ou des
produits avec Azure DDoS Protection, contactez la communauté de sécurité
Azure .
Suivez les discussions sur Stack Overflow .
Accès au marché
Le principal programme de partenariat avec Microsoft est le Microsoft Partner
Network . – Les intégrations de Microsoft Graph Security sont comprises dans le
suivi MPN Independent Software Vendor (ISV) .
Microsoft Intelligent Security Association est un programme spécifiquement
destiné aux partenaires de sécurité Microsoft afin de les aider à enrichir leurs
produits de sécurité et à améliorer la découvertibilité par les clients des
intégrations aux produits de sécurité Microsoft.
Étapes suivantes
Consultez les intégrations partenaires existantes :
Barracuda WAF-as-a-Service
Créer, changer ou supprimer un groupe
de sécurité réseau
Article • 24/04/2023
Les règles de sécurité dans les groupes de sécurité réseau permettent de filtrer le type
de trafic réseau qui peut circuler vers et depuis les interfaces réseau et les sous-réseaux
de réseau virtuel. Pour en savoir plus sur les groupes de sécurité réseau, consultez Vue
d’ensemble du groupe de sécurité réseau. Ensuite, suivez le tutoriel Filtrer le trafic
réseau pour gagner en expérience avec les groupes de sécurité réseau.
Prérequis
Si vous n’avez pas de compte Azure avec un abonnement actif, créez-en un
gratuitement . Effectuez une des tâches suivantes avant de commencer les étapes
décrites dans la suite de cet article :
Utilisateurs de Azure CLI : exécutez les commandes dans Azure Cloud Shell ou
exécutez Azure CLI à partir de votre ordinateur. Azure Cloud Shell est un
interpréteur de commandes interactif et gratuit que vous pouvez utiliser pour
exécuter les étapes de cet article. Il contient des outils Azure courants préinstallés
et configurés pour être utilisés avec votre compte. Sous l’onglet de navigateur
Azure Cloud Shell, ouvrez la liste déroulante Sélectionner un environnement, puis
choisissez Bash si ce n’est pas déjà fait.
Si vous exécutez Azure CLI localement, utilisez Azure CLI version 2.0.28 ou
ultérieure. Exécutez az --version pour rechercher la version installée. Si vous
devez installer ou mettre à niveau, voir Installer Azure CLI. Exécutez az login pour
vous connecter à Azure.
Portail
2. Sélectionnez + Créer.
Paramètre Action
Détails du
projet
Détails de
l’instance
Nom du Entrez un nom pour le groupe de sécurité réseau que vous créez.
groupe de
sécurité
réseau
Portail
Portail
Sous Paramètres vous pouvez voir les Règles de sécurité de trafic entrant, les
Règles de sécurité de trafic sortant, les Interfaces réseau et les Sous-réseaux
auxquels le groupe de sécurité réseau est associé.
Sous Aide, vous pouvez voir les Règles de sécurité effectives. Pour plus
d’informations, consultez Diagnostiquer un problème de filtre de trafic réseau sur
une machine virtuelle.
Pour en savoir plus sur les paramètres Azure courants répertoriés, consultez les
articles suivants :
Journal d’activité
Balises
Verrous
Script Automation
Portail
Portail
Portail
Priorité Entrez une valeur Azure traite les règles de sécurité par ordre de
comprise entre 100 priorité. Plus le numéro est faible, plus la
et 4096 qui est priorité est élevée. Nous vous recommandons
unique pour toutes de laisser un écart entre les numéros de
les règles de priorité quand vous créez des règles, par
sécurité au sein du exemple, 100, 200, 300. Cela permet par la
groupe de sécurité suite d’intercaler de nouvelles règles et de leur
réseau. donner une priorité plus ou moins élevée que
les règles existantes.
Paramètre Valeur Détails
La liste contient toutes les règles que vous avez créées et les règles de sécurité
par défaut de votre groupe de sécurité réseau.
Portail
4. Sélectionnez la règle dont vous souhaitez voir les détails. Pour obtenir une
explication détaillée de tous les paramètres, consultez les paramètres de règle
de sécurité.
7 Notes
Portail
Portail
Portail
2. Sélectionnez + Créer.
Détails du
projet
Détails de
l’instance
Portail
Dans la zone de recherche située en haut du portail, entrez Groupe de sécurité
application. Dans les résultats de la recherche, sélectionnez Groupes de sécurité
d’application. Le portail Azure affiche la liste de vos groupes de sécurité
d’application.
Portail
Portail
7 Notes
Portail
Autorisations
Pour gérer les groupes de sécurité réseau, les règles de sécurité et les groupes de
sécurité des applications, votre compte doit disposer du rôle Contributeur réseau. Vous
pouvez également utiliser un rôle personnalisé disposant des autorisations appropriées,
comme indiqué dans les tableaux suivants :
Action Nom
7 Notes
Pour effectuer des opérations write sur un groupe de sécurité réseau, le compte
d’abonnement doit au moins avoir les autorisations read pour le groupe de
ressources, ainsi que l’autorisation
Microsoft.Network/networkSecurityGroups/write .
Règle de groupe de sécurité réseau
Action Nom
Action Nom
Microsoft.Network/applicationSecurityGroups/read Obtenir un
groupe de
sécurité
d’application
Microsoft.Network/applicationSecurityGroups/delete Supprimer un
groupe de
sécurité
d’application
Étapes suivantes
Ajouter ou supprimer une interface réseau dans ou à partir d’un groupe de
sécurité d’application.
Créez et attribuez des définitions Azure Policy pour les réseaux virtuels
Scénario d’appliance virtuelle
Article • 27/03/2023 • 9 minutes de lecture
Pour les clients Azure volumineux, il faut souvent fournir une application à deux niveaux
exposée à Internet, tout en autorisant l’accès au niveau d’arrière-plan à partir d’un
centre de données local. Ce document vous guide dans un scénario utilisant des tables
de routage, une passerelle VPN et des appliances virtuelles de réseau pour déployer un
environnement à deux niveaux conforme aux exigences suivantes :
Tout le trafic transitant entre Internet et l’application web doit passer par une
appliance virtuelle de pare-feu. Cette appliance virtuelle n’est utilisée que pour le
trafic Internet.
Tout le trafic envoyé au serveur d’applications doit transiter par une appliance
virtuelle de pare-feu. Cette appliance virtuelle est utilisée pour accéder au serveur
principal depuis le réseau local via une passerelle VPN.
Cet exemple est un scénario de réseau de périmètre standard (également nommé DMZ)
avec une zone DMZ et un réseau protégé. Ce scénario peut être mis en œuvre dans
Azure à l’aide de groupes de sécurité réseau, d’appliances virtuelles de pare-feu ou
d’une combinaison des deux.
Pare-feu Contrôle total sur le plan des données. Coût de l’appliance de pare-feu.
Gestion centralisée via la console du pare- Non intégré à l’accès en fonction
feu. du rôle Azure.
La solution suivante utilise des appliances virtuelles de pare-feu pour implémenter un
scénario de réseau de périmètre (DMZ)/réseau protégé.
Considérations
Vous pouvez déployer l’environnement décrit précédemment dans Azure à l’aide de
différentes fonctionnalités disponibles aujourd’hui, comme suit.
Tables de routage. Les tables de routage sont utilisées par les itinéraires définis par
l’utilisateur, utilisées par la mise en réseau Azure pour contrôler le flux de paquets
dans un réseau virtuel. Ces tables d’itinéraires peuvent être appliquées à des sous-
réseaux. Vous pouvez appliquer une table de routage à GatewaySubnet, qui
transfère tout le trafic entrant dans le réseau virtuel Azure d’une connexion hybride
à une appliance virtuelle.
Transfert IP. Par défaut, le moteur de mise en réseau Azure ne transfère les
paquets aux cartes réseau que si l’adresse IP de destination des paquets
correspond à l’adresse IP de la carte réseau. Par conséquent, si une table de
routage définie par l’utilisateur détermine qu’un paquet doit être envoyé à une
appliance virtuelle donnée, le moteur de mise en réseau Azure supprime ce
paquet. Pour vérifier que le paquet est envoyé à une machine virtuelle (dans ce cas,
une appliance virtuelle) qui n’est pas la destination réelle du paquet, activez le
transfert IP pour l’appliance virtuelle.
Groupes de sécurité réseau (NSG) . L’exemple suivant ne tire pas parti de groupes
de sécurité réseau, mais vous pouvez utiliser les groupes de sécurité réseau
appliqués aux sous-réseaux et/ou à des NIC dans cette solution. Les groupes de
sécurité réseau filtrent davantage le trafic entrant et sortant de ces sous-réseaux et
cartes réseau.
Dans cet exemple, il existe un abonnement qui contient les éléments suivants :
Un réseau virtuel nommé onpremvnet segmenté comme suit utilisé pour imiter un
centre de données local.
Une appliance virtuelle de pare-feu nommée OPFW sur onpremvnet utilisée pour
conserver un tunnel vers azurevnet.
AZF1. Pare-feu externe exposé à l’Internet public par l’utilisation d’une ressource
ayant une adresse IP publique dans Azure. Vous devez vous procurer un modèle
auprès de Marketplace ou directement auprès de votre fournisseur d’appliances,
qui déploie une appliance virtuelle à 3 cartes réseau.
AZF2. Pare-feu interne utilisé pour contrôler le trafic entre azsn2 et azsn3. Ce
pare-feu est également une appliance virtuelle à 3 cartes réseau.
Tables de routage
Chaque sous-réseau dans Azure peut être lié à une table de routage utilisée pour définir
le mode d’acheminement du trafic dans ce sous-réseau. Si aucun UDR n’est défini, Azure
utilise les itinéraires par défaut pour autoriser le trafic d’un sous-réseau à un autre. Pour
mieux comprendre les tables de routage et le routage du trafic, consultez Routage du
trafic de réseau virtuel Azure.
azsn2udr
10.0.3.0/24 10.0.2.11 Autorise le trafic vers le sous-réseau principal qui héberge le serveur
d’applications, à transiter par AZF2
azsn3udr
Vous devez également créer des tables d’itinéraires pour les sous-réseaux dans
onpremvnet afin d’imiter le centre de données local.
onpremsn1udr
onpremsn2udr
transfert IP
Les tables de routage et le transfert IP sont des fonctionnalités que vous pouvez
combiner pour permettre à des appliances virtuelles de contrôler le trafic dans un
réseau virtuel Azure. Une appliance virtuelle n’est rien de plus qu’une machine virtuelle
qui exécute une application permettant de gérer le trafic réseau d’une certaine façon,
comme un pare-feu ou un périphérique NAT.
La machine virtuelle d’appliance virtuelle doit être capable de recevoir le trafic entrant
qui ne lui est pas adressé. Pour permettre à une machine virtuelle de recevoir le trafic
adressé à d’autres destinations, vous devez activer le transfert IP pour la machine
virtuelle. Il s’agit d’un paramètre Azure, pas d’un paramètre du système d’exploitation
invité. Votre appliance virtuelle doit toujours exécuter un type d’application pour gérer
le trafic entrant et l’acheminer correctement.
Pour en savoir plus sur le transfert IP, consultez Routage du trafic de réseau virtuel
Azure.
Un itinéraire défini par l’utilisateur et lié à onpremsn1 spécifie que tout le trafic
destiné à onpremsn2 doit être envoyé à OPFW.
À ce point, si onpremvm1 tente d’établir une connexion à onpremvm2, l’UDR sera utilisé
et le trafic sera envoyé à OPFW en tant tronçon suivant. N’oubliez pas que la destination
réelle du paquet n’est pas modifiée (onpremvm2).
Si le transfert IP n’est pas activé pour OPFW, la logique du réseau virtuel Azure supprime
les paquets, car elle n’autorise l’envoi des paquets qu’à une machine virtuelle dont
l’adresse IP correspond à la destination du paquet.
Avec le transfert IP, la logique du réseau virtuel Azure transmet les paquets à OPFW,
sans modifier leur adresse de destination d’origine. OPFW doit gérer les paquets et
déterminer ce qu’il faut en faire.
Pour que ce scénario vu précédemment fonctionne, vous devez activer le transfert IP sur
les cartes réseau d’OPFW, AZF1, AZF2 et AZF3 qui sont utilisées pour le routage (toutes
les cartes réseau sauf celles liées au sous-réseau de gestion).
Règles de pare-feu
Comme décrit précédemment, le transfert IP ne garantit que l’envoi des paquets à des
appliances virtuelles. Votre appliance doit encore décider quoi faire avec les paquets.
Dans le scénario précédent, vous devez créer les règles suivantes dans vos appliances :
OPFW
OPFW représente un appareil local contenant les règles suivantes :
Itinéraire : tout le trafic vers 10.0.0.0/16 (azurevnet) doit être envoyé via le tunnel
ONPREMAZURE.
AZF1
AZF1 représente une appliance virtuelle Azure contenant les règles suivantes :
AZF2
AZF2 représente une appliance virtuelle Azure contenant les règles suivantes :
AZF3
AZF3 représente une appliance virtuelle Azure contenant les règles suivantes :
Itinéraire : tout le trafic vers 192.168.0.0/16 (onpremvnet) doit être envoyé à
l’adresse IP de la passerelle Azure (par exemple, 10.0.0.1) via port1.
Entrant
Autoriser tout le trafic TCP provenant d’Internet vers le port 80 sur toutes les
machines virtuelles du sous-réseau.
Sortant
2. Si vous souhaitez déployer un réseau virtuel pour imiter le réseau local, déployez
les ressources qui font partie d’ONPREMRG.
Cette architecture de référence montre un réseau sécurisé hybride qui étend un réseau
local sur Azure. Cette architecture implémente un réseau de périmètre, également appelé
DMZ, entre le réseau local et un réseau virtuel Azure. Tout le trafic entrant et sortant
transite par le pare-feu Azure.
Architecture
Composants
L’architecture repose sur les aspects suivants :
Réseau virtuel Azure Le réseau virtuel héberge les composants de la solution et les
autres ressources exécutées dans Azure.
7 Notes
Selon les exigences de votre connexion VPN, vous pouvez configurer des
itinéraires de protocole BGP (Border Gateway Protcol) pour implémenter les
règles de transfert qui orientent le trafic par le biais du réseau local.
Pare-feu Azure. Le Pare-feu Azure est un pare-feu géré en tant que service.
L'instance de pare-feu est placée dans son propre sous-réseau.
Groupes de sécurité réseau. Utilisez des groupes de sécurité pour limiter le trafic
réseau au sein du réseau virtuel.
Azure Bastion. Azure Bastion vous permet de vous connecter aux machines
virtuelles du réseau virtuel via SSH ou RDP (Remote Desktop Protocol) sans
exposer les machines virtuelles directement à Internet. Utilisez Bastion pour gérer
les machines virtuelles du réseau virtuel.
Recommandations
Les recommandations suivantes s’appliquent à la plupart des scénarios. Suivez ces
recommandations, sauf si vous avez un besoin spécifique qui vous oblige à les ignorer.
Le rôle d’administrateur informatique ne doit pas avoir accès aux ressources du pare-
feu. L’accès doit être limité au rôle d’administrateur informatique de sécurité.
Ne bloquez pas complètement le trafic Internet des ressources dans les sous-réseaux
spoke. Bloquer le trafic empêchera ces ressources d’utiliser les services PaaS Azure qui
reposent sur les adresses IP publiques, comme la journalisation des diagnostics des
machines virtuelles, le téléchargement des extensions de machines virtuelles, et d’autres
fonctionnalités. Les diagnostics Azure exigent également que les composants puissent
lire et écrire dans un compte de stockage Azure.
Vérifiez que le trafic Internet sortant est correctement acheminé de force. Si vous utilisez
une connexion VPN avec le service de routage et d'accès à distance sur un serveur local,
utilisez un outil tel que WireShark .
Pensez à utiliser Application Gateway ou Azure Front Door pour l'arrêt SSL.
Considérations
Ces considérations implémentent les piliers d’Azure Well-Architected Framework qui est
un ensemble de principes directeurs qui permettent d’améliorer la qualité d’une charge
de travail. Pour plus d'informations, consultez Microsoft Azure Well-Architected
Framework.
Pour plus d'informations sur les limites de bande passante de la passerelle VPN,
consultez Références SKU de passerelles. Pour des bandes passantes plus élevées,
envisagez d’effectuer une mise à niveau vers une passerelle ExpressRoute. ExpressRoute
offre jusqu’à 10 Gbit/s de bande passante avec une latence inférieure à celle d’une
connexion VPN.
Pour plus d’informations sur la scalabilité des passerelles Azure, consultez les sections
relatives à la scalabilité dans :
Fiabilité
La fiabilité permet de s’assurer que votre application tient vos engagements auprès de
vos clients. Pour plus d’informations, consultez la page Vue d’ensemble du pilier de
fiabilité.
Si vous utilisez Azure ExpressRoute pour fournir la connectivité entre le réseau local et le
réseau virtuel, configurez une passerelle VPN pour proposer un basculement si la
connexion ExpressRoute n'est plus disponible.
Pour obtenir des informations sur le maintien de la disponibilité des connexions VPN et
ExpressRoute, consultez les considérations relatives à la disponibilité dans :
Excellence opérationnelle
L’excellence opérationnelle couvre les processus d’exploitation qui déploient une
application et maintiennent son fonctionnement en production. Pour plus
d’informations, consultez Vue d’ensemble du pilier Excellence opérationnelle.
En cas de problème de connectivité sur la passerelle qui relie votre réseau local à Azure,
vous pouvez toujours accéder aux machines virtuelles du réseau virtuel Azure via Azure
Bastion.
Chaque sous-réseau de couche dans l’architecture de référence est protégé par les
règles du groupe de sécurité réseau. Vous devrez peut-être créer une règle pour ouvrir
le port 3389 pour l’accès au protocole RDP sur les machines virtuelles Windows ou le
port 22 pour l’accès SSH sur les machines virtuelles Linux. D’autres outils de gestion et
de surveillance peuvent nécessiter des règles pour ouvrir des ports supplémentaires.
Si vous utilisez ExpressRoute pour fournir la connectivité entre votre centre de données
local et Azure, utilisez Azure Connectivity Toolkit (AzureCT) pour surveiller et résoudre
les problèmes de connexion.
Vous trouverez des informations supplémentaires sur la supervision et la gestion des
connexions VPN et ExpressRoute dans l’article Implémentation d’une architecture réseau
hybride avec Azure et un VPN local.
Sécurité
La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation
abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue
d’ensemble du pilier Sécurité.
L'itinéraire défini par l'utilisateur dans le sous-réseau de passerelle bloque toutes les
requêtes des utilisateurs en dehors de celles reçues du site local. La route transmet les
demandes autorisées au pare-feu. Les demandes sont transmises ensuite aux ressources
dans les réseaux virtuels spoke si elles sont autorisées par les règles de pare-feu. Vous
pouvez ajouter d'autres itinéraires, mais veillez à ce qu'ils ne contournent pas par
inadvertance le pare-feu ou à ce qu'ils ne bloquent pas le trafic destiné au sous-réseau
de gestion.
Protection DDoS
Azure DDoS Protection Standard, combiné aux meilleures pratiques de conception
d’application, offre des fonctionnalités d’atténuation des attaques DDoS améliorées
pour une meilleure défense contre les attaques DDoS. Vous devez activer Azure DDoS
Protection Standard sur tout réseau virtuel de périmètre.
Utiliser AVNM pour créer des règles de base
d’administration de la sécurité
AVNM vous permet de créer des bases de référence de règles de sécurité, qui peuvent
prendre la priorité sur les règles de groupe de sécurité réseau. Les règles
d’administration de la sécurité sont évaluées avant celles du NSG (groupe de sécurité
réseau) et ont la même nature que ces dernières, avec la prise en charge de la
hiérarchisation, des balises de service et des protocoles L3-L4. AVNM permet au service
informatique central de mettre en place une base de référence des règles de sécurité,
tout en autorisant une indépendance des règles de groupe de sécurité réseau
supplémentaires pour les propriétaires des réseaux virtuels spoke. Pour faciliter un
déploiement contrôlé des changements de règles de sécurité, la fonctionnalité de
déploiements d’AVNM vous permet de libérer en toute sécurité les changements de
rupture de ces configurations dans les environnements hub-and-spoke.
Accès DevOps
Utilisez RBAC Azure pour limiter les opérations que DevOps peut effectuer sur chaque
couche. Lorsque vous accordez des autorisations, utilisez le principe des privilèges
minimum. Journalisez toutes les opérations d’administration et réalisez des audits
réguliers pour vérifier qu’aucune modification de configuration n’est prévue.
Utiliser la calculatrice de prix Azure pour estimer les coûts. D'autres considérations
sont décrites dans la section Optimisation des coûts de Microsoft Azure Well-
Architected Framework.
Les considérations de coûts suivantes s'appliquent aux services utilisés dans cette
architecture.
Pare-feu Azure
Dans cette architecture, le Pare-feu Azure est déployé sur le réseau virtuel pour
contrôler le trafic entre le sous-réseau de la passerelle et les ressources des réseaux
virtuels spoke. De cette façon, Azure Firewall est rentable car il est utilisé en tant que
solution partagée consommée par plusieurs charges de travail. Les modèles de
tarification du Pare-feu Azure sont les suivants :
Par rapport aux appliances virtuelles réseau (NVA), le Pare-feu Azure vous permet
d'économiser 30 à 50 %. Pour plus d’informations, consultez Pare-feu Azure et
appliances virtuelles réseau .
Azure Bastion
Azure Bastion se connecte en toute sécurité à votre machine virtuelle via RDP et SSH
sans qu'il soit nécessaire de configurer une adresse IP publique sur celle-ci.
La facturation Bastion est comparable à celle d’une machine virtuelle de base de bas
niveau configurée en tant que jumpbox. Bastion est plus rentable qu’un serveur de
rebond, car il intègre des fonctionnalités de sécurité et n’entraîne pas de coûts
supplémentaires pour le stockage et la gestion d’un serveur distinct.
Le service Réseau virtuel Azure est gratuit. Chaque abonnement est autorisé à créer
jusqu’à 50 réseaux virtuels dans toutes les régions. Au sein du réseau virtuel, tout le
trafic est gratuit. Par exemple, les machines virtuelles d’un même réseau virtuel qui
communiquent entre elles n’entraînent pas de frais de trafic réseau.
Dans cette architecture, des équilibreurs de charge internes sont utilisés pour équilibrer
la charge du trafic au sein d'un réseau virtuel.
Déployer ce scénario
Ce déploiement crée deux groupes de ressources : la première détient un réseau local
fictif, le deuxième un ensemble de réseaux Hub-and-Spoke. Le réseau local fictif et le
réseau hub sont connectés à l’aide de passerelles de réseau virtuel Azure pour former
une connexion de site à site. Cette configuration est très similaire à celle que vous
utiliseriez pour connecter votre centre de données local à Azure.
Azure portal
Une fois le déploiement terminé, vérifiez la connectivité de site à site en examinant les
ressources de connexion nouvellement créées. Tant que vous êtes dans le portail Azure,
recherchez « connexions » et notez l’état de chaque connexion.
L’instance IIS trouvée dans le réseau spoke est accessible à partir de la machine virtuelle
située dans le réseau local fictif. Créez une connexion à la machine virtuelle à l’aide de
l’hôte Azure Bastion inclus, ouvrez un navigateur web et accédez à l’adresse de
l’équilibreur de charge réseau de l’application.
Étapes suivantes
Le centre de données virtuel Azure : une perspective réseau.
Documentation sur la sécurité Azure.
Ressources associées
Connecter un réseau local à Azure en utilisant ExpressRoute.
Configurer ExpressRoute des connexions coexistantes de site à site en utilisant
PowerShell
Étendre un réseau local en utilisant ExpressRoute.
Tutoriel : Migrer l'adresse IP publique
d'une machine virtuelle vers une
passerelle NAT Azure
Article • 01/05/2023
Dans cet article, vous apprendrez à migrer l'adresse IP publique de votre machine
virtuelle vers une passerelle NAT. Vous apprendrez à supprimer l'adresse IP de la
machine virtuelle. Vous réutiliserez l'adresse IP de la machine virtuelle pour la passerelle
NAT.
Azure NAT Gateway est la méthode recommandé pour la connectivité sortante. Une
passerelle NAT Azure est un service de traduction d’adresses réseau entièrement
managé et hautement résilient. Une passerelle NAT n’a pas les mêmes limites
d’épuisement de ports SNAT qu’un accès sortant par défaut. Une passerelle NAT évite à
une machine virtuelle d'avoir à utiliser une adresse IP publique pour disposer d’une
connectivité sortante.
Pour plus d’informations sur Azure NAT Gateway, consultez Qu’est-ce que Azure NAT
Gateway
Prérequis
Compte Azure avec un abonnement actif. Créez un compte gratuitement .
Une machine virtuelle Azure avec une adresse IP publique attribuée à son interface
réseau. Pour plus d'informations sur la création d'une machine virtuelle avec une
adresse IP publique, consultez Démarrage rapide : Créer une machine virtuelle
Windows sur le Portail Azure.
Dans cet article, l'exemple de machine virtuelle est nommé myVM. L'exemple
d'adresse IP publique est nommé myPublicIP.
7 Notes
Paramètre Valeur
Détails du projet
Détails de
l’instance
Étapes suivantes
Dans cet article, vous avez appris à effectuer les opérations suivantes :
Supprimer une adresse IP publique d’une machine virtuelle.
Toute machine virtuelle créée dans ce sous-réseau n'aura pas besoin d'une adresse IP
publique et disposera automatiquement d’une connectivité sortante. Pour plus
d’informations sur la passerelle NAT et les avantages de connectivité qu’elle offre,
consultez Concevoir des réseaux virtuels avec une passerelle NAT.
Passez à l'article suivant pour apprendre à migrer l'accès sortant par défaut vers
Passerelle NAT Azure :
Découvrez comment ajouter une interface réseau existante quand vous créez une
machine virtuelle Azure, Découvrez également comment ajouter ou supprimer des
interfaces réseau d’une machine virtuelle existante à l’état arrêté (libéré). Une interface
réseau permet à une machine virtuelle Azure de communiquer avec des ressources sur
Internet, sur Azure et locales. Une machine virtuelle a une ou plusieurs interfaces réseau.
Si vous devez ajouter, changer ou supprimer des adresses IP pour une interface réseau,
consultez Configurer des adresses IP pour une interface réseau Azure. Pour gérer les
interfaces réseau, consultez Créer, changer ou supprimer une interface réseau.
Prérequis
Si vous n’en avez pas, configurez un compte Azure avec un abonnement actif. Créez un
compte gratuitement . Effectuez une des tâches suivantes avant de commencer les
étapes décrites dans la suite de cet article :
Utilisateurs de Azure CLI : exécutez les commandes dans Azure Cloud Shell ou
exécutez Azure CLI à partir de votre ordinateur. Azure Cloud Shell est un
interpréteur de commandes interactif et gratuit que vous pouvez utiliser pour
exécuter les étapes de cet article. Sous l’onglet de navigateur Azure Cloud Shell,
ouvrez la liste déroulante Sélectionner un environnement, puis choisissez Bash si
ce n’est pas déjà fait.
Si vous exécutez Azure CLI localement, utilisez Azure CLI version 2.0.26 ou
ultérieure. Exécutez az --version pour rechercher la version installée. Si vous
devez installer ou mettre à niveau, voir Installer Azure CLI. Exécutez az login pour
créer une connexion avec Azure.
Commandes
Avant de créer la machine virtuelle, créez une interface réseau.
Outil Commande
7 Notes
L’interface réseau que vous sélectionnez doit exister dans le même réseau
virtuel que l’interface réseau attachée à la machine virtuelle.
Si vous ne disposez pas d’une interface réseau existante, vous devez d’abord en
créer une. Pour ce faire, sélectionnez Créer une interface réseau. Pour plus
d’informations sur la création d’une interface réseau, consultez Créer une interface
réseau. Pour plus d’informations sur les contraintes supplémentaires qui
s’appliquent à l’ajout d’interfaces réseau à des machines virtuelles, consultez
Contraintes.
Commandes
Outil Commande
7 Notes
2. Sélectionnez le nom de la machine virtuelle pour laquelle vous voulez afficher les
interfaces réseau attachées.
Commandes
Outil Commande
PowerShell Get-AzVM
3. Sélectionnez Arrêter.
7 Notes
S’il n’y a qu’une seule interface réseau, vous ne pouvez pas la détacher, car
une machine virtuelle doit toujours avoir au moins une interface réseau
attachée.
Commandes
Outil Commande
Contraintes
Une machine virtuelle doit avoir au moins une interface réseau attachée.
Le nombre d’interfaces réseau d’une machine virtuelle est limité par ce que la taille
de machine virtuelle prend en charge. Pour en savoir plus sur le nombre
d’interfaces réseau prises en charge par chaque taille de machine virtuelle,
consultez Tailles des machines virtuelles dans Azure. Toutes les tailles prennent en
charge au moins deux interfaces réseau.
Actuellement, les interfaces réseau que vous ajoutez à une machine virtuelle ne
peuvent pas être attachées à une autre machine virtuelle. Pour plus d’informations
sur la création d’une interface réseau, consultez Créer une interface réseau.
Auparavant, vous pouviez ajouter des interfaces réseau uniquement aux machines
virtuelles prenant en charge plusieurs interfaces réseau et créées avec au moins
deux interfaces réseau. Vous ne pouviez pas ajouter une interface réseau à une
machine virtuelle créée avec une seule interface réseau, même si la taille de
machine virtuelle prenait en charge plusieurs interfaces réseau. À l’inverse, vous
pouviez uniquement supprimer des interfaces réseau à partir d’une machine
virtuelle comportant au moins trois interfaces réseau, car les machines virtuelles
créées avec au moins deux interfaces réseau devaient toujours avoir au moins deux
interfaces réseau. Ces contraintes ne s’appliquent plus. Vous pouvez désormais
créer des machines virtuelles avec un nombre quelconque d’interfaces réseau
(dans la limite du nombre pris en charge par la taille de machine virtuelle).
Par défaut, la première interface réseau attachée à une machine virtuelle est
l’interface réseau principale. Toutes les autres interfaces réseau de la machine
virtuelle sont des interfaces réseau secondaires.
Vous pouvez contrôler l’interface réseau vers laquelle vous envoyez le trafic
sortant. Toutefois, par défaut une machine virtuelle envoie tout le trafic sortant à
l’adresse IP affectée à la configuration IP principale de l’interface réseau principale.
Vous pouvez connecter des interfaces réseau dans la même machine virtuelle à
différents sous-réseaux au sein d’un réseau virtuel. Toutefois, les interfaces réseau
doivent toutes être connectées au même réseau virtuel.
La suppression d’une machine virtuelle n’a pas pour effet de supprimer les
interfaces réseau qui y sont attachées. Lorsque vous supprimez une machine
virtuelle, les interfaces réseau sont détachées de la machine virtuelle. Vous pouvez
attacher ces interfaces réseau à différentes machines virtuelles, ou les supprimer.
Pour obtenir des performances optimales, vous devez disposer d’une mise en
réseau accélérée. Dans certains cas, vous devez activer explicitement la mise en
réseau accélérée pour les machines virtuelles Windows ou Linux.
7 Notes
Azure fournit une adresse IP d’accès sortant par défaut pour les machines virtuelles
qui n’ont pas d’adresse IP publique ou qui se trouvent dans le pool de back-ends
d’un Azure Load Balancer de base interne. Le mécanisme d’adresse IP d’accès
sortant par défaut fournit une adresse IP sortante qui n’est pas configurable.
L’adresse IP d’accès sortant par défaut est désactivée quand une adresse IP
publique est affectée à la machine virtuelle, quand la machine virtuelle est placée
dans le pool back-end d’un équilibreur de charge standard, avec ou sans règles de
trafic sortant, ou si une ressource de passerelle NAT de réseau virtuel Azure est
affectée au sous-réseau de la machine virtuelle.
Les machines virtuelles créées par des groupes de machines virtuelles identiques en
mode d’orchestration flexible n’ont pas d’accès sortant par défaut.
Pour plus d’informations sur les connexions sortantes dans Azure, consultez Accès
sortant par défaut dans Azure et Utiliser la traduction d’adresses réseau sources
(SNAT) pour les connexions sortantes.
Étapes suivantes
Pour créer une machine virtuelle avec plusieurs interfaces réseau ou adresses IP,
consultez :
Tâche Outil
Créer une machine virtuelle avec plusieurs cartes d’interface CLI, PowerShell
réseau
Créer une machine virtuelle à carte réseau unique avec plusieurs CLI, PowerShell
adresses IPv4
Créer une machine virtuelle à carte réseau unique avec une CLI, PowerShell, modèle
adresse IPv6 privée (derrière Azure Load Balancer) Azure Resource Manager
Créer et gérer une machine virtuelle
Windows équipée de plusieurs cartes
d’interface réseau
Article • 01/06/2023
Les machines virtuelles (VM) dans Azure peuvent être équipées de plusieurs cartes
d’interface réseau (NIC) virtuelles. Un scénario courant consiste à disposer de sous-
réseaux différents pour les connectivités frontale et principale. Vous pouvez associer
plusieurs cartes d’interface réseau d’une machine virtuelle à différents sous-réseaux,
mais ces sous-réseaux doivent tous résider dans le même réseau virtuel. Cet article
explique comment créer une machine virtuelle équipée de plusieurs cartes d’interface
réseau. Il explique également comment ajouter ou supprimer des cartes d’interface
réseau d’une machine virtuelle existante. Comme le nombre de cartes réseau prises en
charge varie suivant la taille des machines virtuelles , pensez à dimensionner la vôtre en
conséquence.
7 Notes
Si plusieurs sous-réseaux ne sont pas requis pour un scénario, il peut être plus
simple d’utiliser plusieurs configurations IP sur une seule carte réseau. Vous
trouverez des instructions pour cette configuration ici.
Prérequis
Dans les exemples suivants, remplacez les exemples de noms de paramètre par vos
propres valeurs. Les noms de paramètre sont par exemple myResourceGroup, myVnet et
myVM.
PowerShell
New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"
PowerShell
PowerShell
PowerShell
En général, vous créez également un groupe de sécurité réseau pour filtrer le trafic vers
la machine virtuelle, ainsi qu’un équilibreur de charge pour répartir le trafic entre
plusieurs machines virtuelles.
PowerShell
$cred = Get-Credential
PowerShell
PowerShell
4. Associez les deux cartes d’interface réseau que vous avez créées précédemment à
l’aide de la commande Add-AzVMNetworkInterface :
PowerShell
PowerShell
6. Ajoutez des itinéraires pour les cartes réseau secondaires au système d’exploitation
en suivant les étapes décrites dans Configurer le système d’exploitation pour
plusieurs cartes réseau.
PowerShell
PowerShell
3. L’exemple suivant crée une carte d’interface réseau virtuelle avec la commande
New-AzNetworkInterface, nommée myNic3, et associée à mySubnetBackEnd. La
carte d’interface réseau virtuelle est ensuite associée à la machine virtuelle
nommée myVM dans myResourceGroup avec la commande Add-
AzVMNetworkInterface :
PowerShell
PowerShell
# List existing NICs on the VM and find which one is primary
$vm.NetworkProfile.NetworkInterfaces
PowerShell
5. Ajoutez des itinéraires pour les cartes réseau secondaires au système d’exploitation
en suivant les étapes décrites dans Configurer le système d’exploitation pour
plusieurs cartes réseau.
PowerShell
PowerShell
PowerShell
PowerShell
PowerShell
JSON
"copy": {
"name": "multiplenics",
"count": "[parameters('count')]"
}
JSON
Ajoutez des itinéraires pour les cartes réseau secondaires au système d’exploitation en
suivant les étapes décrites dans Configurer le système d’exploitation pour plusieurs
cartes réseau.
1. Dans une invite de commande Windows, exécutez la commande route print , qui
retourne une sortie similaire à la sortie suivante d’une machine virtuelle à deux
interfaces réseau :
=======================================================================
====
Interface List
3...00 0d 3a 10 92 ce ......Microsoft Hyper-V Network Adapter #3
7...00 0d 3a 10 9b 2a ......Microsoft Hyper-V Network Adapter #4
=======================================================================
====
2. Depuis une invite de commande, exécutez la commande ipconfig pour voir quelle
adresse IP est assignée à l’interface réseau secondaire. Dans cet exemple, l’adresse
192.168.2.4 est assignée à l’interface 7. Aucune adresse de passerelle par défaut
n’est retournée pour l’interface réseau secondaire.
5. Pour confirmer que l’itinéraire ajouté se trouve dans la table de routage, entrez la
commande route print , qui retourne une sortie similaire à ce qui suit :
=======================================================================
====
Active Routes:
Network Destination Netmask Gateway Interface
Metric
0.0.0.0 0.0.0.0 192.168.1.1 192.168.1.4
15
0.0.0.0 0.0.0.0 192.168.2.1 192.168.2.4
5015
Étapes suivantes
Réviser les Tailles des machines virtuelles Windows lorsque vous tentez de créer une
machine virtuelle équipée de plusieurs cartes d’interface réseau. Faites attention au
nombre maximal de cartes d’interface réseau pris en charge par chaque taille de
machine virtuelle.
Guide de création d’une machine
virtuelle Linux dans Azure avec plusieurs
cartes d’interface réseau
Article • 01/06/2023
Cet article explique comment créer une machine virtuelle avec plusieurs cartes réseau à
l’aide de l’interface Azure CLI.
Dans les exemples suivants, remplacez les exemples de noms de paramètre par vos
propres valeurs. Les noms de paramètre sont par exemple myResourceGroup,
mystorageaccount et myVM.
Azure CLI
Créez le réseau virtuel avec la commande az network vnet create. L’exemple suivant
permet de créer un réseau virtuel nommé myVnet et un sous-réseau nommé
mySubnetFrontEnd :
Azure CLI
Azure CLI
Créez un groupe de sécurité réseau avec la commande az network nsg create. L’exemple
suivant crée un groupe de sécurité réseau nommé myNetworkSecurityGroup :
Azure CLI
Azure CLI
Créez une machine virtuelle avec la commande az vm create. L’exemple suivant crée une
machine virtuelle nommée myVM :
Azure CLI
az vm create \
--resource-group myResourceGroup \
--name myVM \
--image UbuntuLTS \
--size Standard_DS3_v2 \
--admin-username azureuser \
--generate-ssh-keys \
--nics myNic1 myNic2
Créez une autre carte réseau avec az network nic create. L’exemple suivant crée une
carte réseau nommée myNic3 connectée au sous-réseau principal et au groupe de
sécurité réseau créés lors des étapes précédentes :
Azure CLI
Azure CLI
Ajoutez la carte réseau avec az vm nic add. L’exemple suivant ajoute myNic3 à myVM :
Azure CLI
az vm nic add \
--resource-group myResourceGroup \
--vm-name myVM \
--nics myNic3
Azure CLI
Azure CLI
Supprimez la carte réseau avec az vm nic remove. L’exemple suivant supprime myNic3
de myVM :
Azure CLI
az vm nic remove \
--resource-group myResourceGroup \
--vm-name myVM \
--nics myNic3
Azure CLI
JSON
"copy": {
"name": "multiplenics"
"count": "[parameters('count')]"
}
Vous pouvez également utiliser copyIndex() pour ajouter ensuite un numéro à un nom
de ressource permettant de créer myNic1 , myNic2 , etc. Voici un exemple d’ajout de la
valeur d’index :
JSON
Pour autoriser le trafic SSH, créez une règle de groupe de sécurité réseau avec az
network nsg rule create comme suit :
Azure CLI
Azure CLI
Pour voir l’adresse IP publique de la machine virtuelle, utilisez az vm show comme suit :
Azure CLI
Bash
ssh azureuser@137.117.58.232
Pour effectuer un envoi vers ou depuis une interface réseau secondaire, vous devez
ajouter manuellement des itinéraires persistants au système d’exploitation pour chaque
interface réseau secondaire. Dans cet article, eth1 représente l’interface secondaire. Les
instructions pour l’ajout d’itinéraires persistants au système d’exploitation varient selon
la distribution. Consultez la documentation de votre distribution pour obtenir des
instructions.
Une fois que vous avez ajouté l’itinéraire pour une interface secondaire, vérifiez que
l’itinéraire est dans votre table de routage avec route -n . L’exemple de sortie suivant
concerne la table de routage qui contient les deux interfaces réseau ajoutées à la
machine virtuelle dans cet article :
Bash
Confirmez que l’itinéraire que vous avez ajouté est conservé entre les redémarrages en
vérifiant à nouveau votre table de routage après un redémarrage. Pour tester la
connectivité, vous pouvez par exemple entrer la commande suivante, où eth1 est le nom
d’une interface réseau secondaire :
Bash
Étapes suivantes
Vérifiez les tailles des machines virtuelles Linux si vous créez une machine virtuelle avec
plusieurs cartes réseau. Faites attention au nombre maximal de cartes réseau pris en
charge par chaque taille de machine virtuelle.
Pour sécuriser davantage vos machines virtuelles, utilisez l’accès aux machines virtuelles
juste-à-temps. Cette fonctionnalité ouvre les règles de groupe de sécurité réseau pour le
trafic SSH en cas de besoin et pour une période de temps définie. Pour plus
d’informations, consultez Gérer l’accès Juste à temps à la machine virtuelle.
Vue d’ensemble de Performances réseau
accélérées (AccelNet)
Article • 02/06/2023
Cet article explique Performances réseau accélérées et décrit ses avantages, ses
contraintes et ses configurations prises en charge. Performances réseau accélérées
active la virtualisation SR-IOV (Single Root I/O Virtualization) sur des types de machines
virtuelles pris en charge, ce qui améliore considérablement les performances réseau. Ce
chemin d’accès aux données hautement performant contourne l’hôte, ce qui réduit la
latence, l’instabilité et l’utilisation du processeur pour les charges de travail réseau les
plus exigeantes.
Avec Performances réseau accélérées, le trafic qui parvient à l’interface réseau (NIC) de
la machine virtuelle est directement transféré à celle-ci. Performances réseau accélérées
décharge toutes les stratégies réseau que le réseau virtuel applique, et les applique dans
le matériel. Étant donné que le matériel applique les stratégies, la NIC peut transférer le
trafic réseau directement à la machine virtuelle. La carte d’interface réseau ignore l’hôte
et le commutateur virtuel, alors qu’elle gère l’ensemble de la stratégie appliquée à
l’hôte.
Avantages
Performances réseau accélérées présente les avantages suivants :
Une latence plus faible et un plus grand nombre de paquets par seconde (pps).
Une suppression du réseau virtuel du chemin de données évite que les paquets liés
au traitement des stratégies séjournent sur l'hôte, ce qui augmente le nombre de
paquets que la machine virtuelle peut traiter.
Limitations et contraintes
Les avantages de Performances réseau accélérées s’appliquent uniquement à la
machine virtuelle qui l’active.
Vous ne pouvez pas activer Performances réseau accélérées dans une machine
virtuelle en cours d’exécution. Vous pouvez activer Performances réseau accélérées
sur une machine virtuelle prise en charge uniquement lorsque la machine virtuelle
est arrêtée et libérée.
Les distributions Linux et FreeBSD suivantes à partir d’Azure Gallery prennent en charge
Performances réseau accélérées prêt à l’emploi :
az vm list-skus \
--location westus \
--all true \
--resource-type virtualMachines \
--query '[].{size:size, name:name, acceleratedNetworkingEnabled:
capabilities[?name==`AcceleratedNetworkingEnabled`].value | [0]}' \
--output table
7 Notes
RHEL, CentOS
Bash
Cet article explique comment utiliser Azure PowerShell pour créer une machine virtuelle
Windows avec Performances réseau accélérées (AccelNet) activé. Il explique aussi
comment activer et gérer les performances réseau accélérées sur des machines virtuelles
existantes.
Vous pouvez aussi créer une machine virtuelle avec les performances réseau accélérées
activées à l’aide du portail Azure. Pour plus d’informations sur l’utilisation du portail
Azure pour gérer les performances réseau accélérées sur des machines virtuelles,
consultez la section Gérer les performances réseau accélérées dans le portail.
Pour utiliser Azure CLI pour créer une machine virtuelle Windows avec Performances
réseau accélérées activé, consultez l’article Créer une machine virtuelle dotée de
performances réseau accélérées à l’aide d’Azure CLI.
Prérequis
Compte Azure avec un abonnement actif. Vous pouvez créer un compte
gratuitement .
Azure PowerShell version 1.0.0 ou une version ultérieure installée. Pour connaître la
version actuellement installée, exécutez Get-Module -ListAvailable Az . Si vous
devez installer ou mettre à niveau le module Az, installez la dernière version du
module à partir de PowerShell Gallery .
Azure PowerShell
Azure PowerShell
$subnet = New-AzVirtualNetworkSubnetConfig `
-Name "<mySubnet>" `
-AddressPrefix "<192.168.1.0/24>"
Azure PowerShell
Azure PowerShell
$rdp = New-AzNetworkSecurityRuleConfig `
-Name "Allow-RDP-All" `
-Description "Allow RDP" `
-Access Allow `
-Protocol Tcp `
-Direction Inbound `
-Priority 100 `
-SourceAddressPrefix * `
-SourcePortRange * `
-DestinationAddressPrefix * `
-DestinationPortRange 3389
Azure PowerShell
$nsg = New-AzNetworkSecurityGroup `
-ResourceGroupName "<myResourceGroup>" `
-Location "<myAzureRegion>" `
-Name "<myNsg>" `
-SecurityRules $rdp
Azure PowerShell
Set-AzVirtualNetworkSubnetConfig `
-VirtualNetwork $vnet `
-Name "<mySubnet>" `
-AddressPrefix "<192.168.1.0/24>" `
-NetworkSecurityGroup $nsg
Azure PowerShell
$publicIp = New-AzPublicIpAddress `
-ResourceGroupName "<myResourceGroup>" `
-Name "<myPublicIp>" `
-Location "<myAzureRegion>" `
-AllocationMethod Dynamic
2. Utilisez la commande New-AzNetworkInterface pour créer une interface réseau
(NIC) avec Performances réseau accélérées activé, et attribuez l’adresse IP publique
à la NIC.
Azure PowerShell
$nic = New-AzNetworkInterface `
-ResourceGroupName "<myResourceGroup>" `
-Name "<myNic>" `
-Location "<myAzureRegion>" `
-SubnetId $vnet.Subnets[0].Id `
-PublicIpAddressId $publicIp.Id `
-EnableAcceleratedNetworking
Azure PowerShell
$cred = Get-Credential
2. Utilisez New-AzVMConfig pour définir une machine virtuelle avec une taille de
machine virtuelle qui prend en charge la mise en réseau accélérée, comme indiqué
dans Mise en réseau accélérée Windows . Pour obtenir la liste de toutes les tailles
de machine virtuelle Windows et leurs caractéristiques, consultez Tailles de
machines virtuelles Windows.
Azure PowerShell
Azure PowerShell
Azure PowerShell
Azure PowerShell
7. Sur la machine virtuelle distante, cliquez avec le bouton droit sur Démarrer, puis
sélectionnez Gestionnaire de périphériques.
7 Notes
Azure PowerShell
2. Activez les performances réseau accélérées sur la carte réseau de votre machine
virtuelle :
Azure PowerShell
$nic = Get-AzNetworkInterface -ResourceGroupName "<myResourceGroup>" -
Name "<myNic>"
$nic.EnableAcceleratedNetworking = $true
$nic | Set-AzNetworkInterface
Azure PowerShell
Azure PowerShell
Azure PowerShell
$vmss.VirtualMachineProfile.NetworkProfile.NetworkInterfaceConfiguratio
ns[0].EnableAcceleratedNetworking = $true
Update-AzVmss
-ResourceGroupName "<myResourceGroup>" `
-VMScaleSetName "<myScaleSet>" `
-VirtualMachineScaleSet $vmss
3. Virtual Machine Scale Sets a une stratégie de mise à niveau qui applique des mises
à jour à l’aide de paramètres automatiques, propagés ou manuels. Définissez les
stratégies de mise à niveau sur « automatique » afin que les modifications soient
immédiatement récupérées.
Azure PowerShell
$vmss.UpgradePolicy.Mode = "Automatic"
Update-AzVmss
-ResourceGroupName "<myResourceGroup>" `
-VMScaleSetName "<myScaleSet>" `
-VirtualMachineScaleSet $vmss
Azure PowerShell
Une fois le redémarrage et les mises à niveau terminés, la fonction virtuelle (VF) apparaît
dans les machines virtuelles qui utilisent un système d’exploitation et une taille de
machine virtuelle pris en charge.
7 Notes
Vous pouvez activer les performances réseau accélérées lors de la création d’une
machine virtuelle du portail uniquement pour les systèmes d’exploitation pris en
charge de la Place de marché Azure. Pour créer et activer les performances réseau
accélérées pour une machine virtuelle avec une image de système d’exploitation
personnalisée, vous devez utiliser PowerShell ou Azure CLI.
Pour activer ou désactiver les performances réseau accélérées pour une machine
virtuelle existante à l’aide du portail Azure :
Pour vérifier si les performances réseau accélérées sont activées pour une machine
virtuelle existante :
Étapes suivantes
Fonctionnement des performances réseau accélérées dans les machines virtuelles
Linux et FreeBSD
Créer une machine virtuelle Performances réseau accélérées à l’aide d’Azure CLI
Groupes de placement de proximité
Créer une machine virtuelle Windows
ou Linux avec les performances réseau
accélérées à l’aide d’Azure CLI
Article • 18/04/2023
Cet article explique comment créer une machine virtuelle Linux ou Windows avec les
performances réseau accélérées (AccelNet) activées à l’aide de l’interface de ligne de
commande Azure CLI. Il explique également comment activer et gérer les performances
réseau accélérées sur des machines virtuelles existantes.
Vous pouvez aussi créer une machine virtuelle avec les performances réseau accélérées
activées à l’aide du portail Azure. Pour plus d’informations sur l’utilisation du portail
Azure pour gérer les performances réseau accélérées sur des machines virtuelles,
consultez la section Gérer les performances réseau accélérées dans le portail.
Pour utiliser Azure PowerShell pour créer une machine virtuelle Windows dont les
performances réseau accélérées sont activées, consultez l’article Créer une machine
virtuelle Linux avec les performances réseau accélérées à l’aide d’Azure PowerShell.
Prérequis
Compte Azure avec un abonnement actif. Vous pouvez créer un compte
gratuitement .
Azure CLI
2. Utilisez la commande az network vnet create pour créer un réseau virtuel avec un
sous-réseau au sein du groupe de ressources :
Azure CLI
Azure CLI
2. Le groupe de sécurité réseau contient plusieurs règles par défaut, dont l’une
désactive tous les accès entrants à partir d’Internet. Utilisez la commande az
network nsg rule create pour ouvrir un port afin d’autoriser l’accès RDP (Remote
Desktop Protocol) ou SSH (Secure Shell) à la machine virtuelle.
Windows
Azure CLI
Azure CLI
2. Utilisez la commande az network nic create pour créer une interface réseau (NIC)
dont les performances réseau accélérées sont activées. L’exemple suivant crée une
interface réseau dans le sous-réseau du réseau virtuel et associe le groupe de
sécurité réseau à la carte réseau.
Azure CLI
Windows
L’exemple suivant crée une machine virtuelle Windows Server 2019 Datacenter avec
une taille qui prend en charge les performances réseau accélérées,
Standard_DS4_v2.
Azure CLI
az vm create \
--resource-group <myResourceGroup> \
--name <myVm> \
--image Win2019Datacenter \
--size Standard_DS4_v2 \
--admin-username <myAdminUser> \
--admin-password <myAdminPassword> \
--nics <myNic>
Une fois la machine virtuelle créée, vous obtenez une sortie similaire à l’exemple suivant.
Pour une machine Linux, notez l’élément publicIpAddress , que vous entrez pour
accéder à la machine virtuelle à l’étape suivante.
Sortie
{
"fqdns": "",
"id": "/subscriptions/00000000-0000-0000-0000-
000000000000/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virt
ualMachines/myVm",
"location": "centralus",
"macAddress": "00-0D-3A-23-9A-49",
"powerState": "VM running",
"privateIpAddress": "192.168.0.4",
"publicIpAddress": "40.68.254.142",
"resourceGroup": "myResourceGroup"
}
7. Sur la machine virtuelle distante, cliquez avec le bouton droit sur Démarrer,
puis sélectionnez Gestionnaire de périphériques.
7 Notes
Vous devez exécuter une application via la carte réseau synthétique pour garantir que
l’application reçoit tous les paquets qui lui sont destinés. La liaison à la carte réseau
synthétique garantit également que l’application continue à s’exécuter même si la
fonction virtuelle est révoquée pendant la maintenance de l’hôte.
Pour plus d’informations sur les exigences de liaison d’application, consultez l’article
Fonctionnement des performances réseau accélérées dans les machines virtuelles Linux
et FreeBSD.
Arrêté ou libéré avant l’activation des performances réseau accélérées sur une
carte réseau. Cette exigence s’applique à une machine virtuelle individuelle ou aux
machines virtuelles d’un groupe à haute disponibilité ou dans Azure Virtual
Machine Scale Sets.
Azure CLI
az vm deallocate \
--resource-group <myResourceGroup> \
--name <myVm>
Si vous avez créé la machine virtuelle individuellement, sans groupe à haute
disponibilité, vous ne devez arrêter ou libérer que cette machine pour activer les
performances réseau accélérées. Si vous avez créé votre machine virtuelle avec un
groupe à haute disponibilité, vous devez arrêter ou libérer toutes les machines
virtuelles du groupe pour pouvoir activer les performances réseau accélérées sur
une carte réseau.
2. Après avoir arrêté la machine virtuelle, activez les performances réseau accélérées
sur la carte réseau de la machine virtuelle.
Azure CLI
Azure CLI
Azure CLI
az vmss deallocate \
--name <myVmss> \
--resource-group <myResourceGroup>
2. Une fois que les machines virtuelles sont arrêtées, mettez à jour la propriété
Performances réseau accélérées sur l’interface réseau.
Azure CLI
az vmss update --name <myVmss> \
--resource-group <myResourceGroup> \
--set
virtualMachineProfile.networkProfile.networkInterfaceConfigurations[0].
enableAcceleratedNetworking=true
3. Virtual Machine Scale Sets a une stratégie de mise à niveau qui applique des mises
à jour à l’aide de paramètres automatiques, propagés ou manuels. Les instructions
suivantes définissent la stratégie en mode automatique afin que Virtual Machine
Scale Sets récupère les modifications immédiatement après le redémarrage.
Azure CLI
az vmss update \
--name <myVmss> \
--resource-group <myResourceGroup> \
--set upgradePolicy.mode="automatic"
Azure CLI
az vmss start \
--name <myVmss> \
--resource-group <myResourceGroup>
Une fois le redémarrage et les mises à niveau terminés, la fonction virtuelle apparaît
dans les machines virtuelles qui utilisent un système d’exploitation et une taille de
machine virtuelle pris en charge.
3. Attribuez aux machines virtuelles une nouvelle taille qui ne prend pas en charge les
performances réseau accélérées, puis redémarrez-les.
7 Notes
Pour vérifier si les performances réseau accélérées sont activées pour une machine
virtuelle existante :
Étapes suivantes
Fonctionnement des performances réseau accélérées dans les machines virtuelles
Linux et FreeBSD
Quand une machine virtuelle est créée dans Azure, une interface réseau synthétique est
créée pour chaque carte réseau virtuelle dans sa configuration. L’interface synthétique
est un appareil VMbus et utilise le pilote « netvsc ». Les paquets réseau qui utilisent
cette interface synthétique circulent dans le commutateur virtuel de l’hôte Azure et sur
le réseau physique du centre de données.
Si la machine virtuelle est configurée avec les performances réseau accélérées, une
deuxième interface réseau est créée pour chaque carte réseau virtuelle configurée. La
deuxième interface est une fonction virtuelle (VF, Virtual Fonction) SR-IOV fournie par la
carte réseau physique dans l’hôte Azure. L’interface VF apparaît dans l’invité Linux en
tant qu’appareil PCI et utilise le pilote Mellanox « mlx4 » ou « mlx5 » dans Linux, car les
hôtes Azure utilisent des cartes réseau physiques Mellanox. La plupart des paquets
réseau sont directement placés entre l’invité Linux et la carte réseau physique sans
traverser le commutateur virtuel ni un autre logiciel qui s’exécute sur l’ordinateur hôte.
En raison de l’accès direct au matériel, la latence du réseau est plus faible et moins de
temps processeur est utilisé pour traiter les paquets réseau par rapport à l’interface
synthétique.
Différents hôtes Azure utilisent différents modèles de carte réseau physique Mellanox.
Linux détermine automatiquement s’il faut utiliser le pilote « mlx4 » ou « mlx5 ».
L’infrastructure Azure contrôle l’emplacement de la machine virtuelle sur l’hôte Azure. Si
aucune option client ne spécifie la carte réseau physique qui doit être utilisée par un
déploiement de machine virtuelle, les machines virtuelles doivent inclure les deux
pilotes. Si une machine virtuelle est arrêtée/libérée, puis redémarrée, elle peut être
redéployée sur du matériel avec un autre modèle de carte réseau physique Mellanox.
Par conséquent, la machine virtuelle peut utiliser l’autre pilote Mellanox.
Si une image de machine virtuelle n’inclut pas de pilote pour la carte réseau physique
Mellanox, les fonctionnalités réseau continuent de fonctionner à des vitesses plus lentes
de la carte réseau virtuelle. Le portail, Azure CLI et Azure PowerShell affichent la
fonctionnalité Performances réseau accélérées comme étant activée.
FreeBSD offre la même prise en charge des performances réseau accélérées que Linux
lors de l’exécution dans Azure. Le reste de cet article décrit Linux et utilise des exemples
Linux, mais les mêmes fonctionnalités sont disponibles dans FreeBSD.
7 Notes
Cet article contient des références au terme esclave, un terme que Microsoft
n’utilise plus. Lorsque ce terme sera supprimé du logiciel, nous le supprimerons de
cet article.
Les interfaces synthétiques et VF ont la même adresse MAC. Ensemble, elles constituent
une carte réseau unique du point de vue des autres entités réseau qui échangent des
paquets avec la carte réseau virtuelle dans la machine virtuelle. Les autres entités
n’effectuent aucune action spéciale en raison de l’existence de l’interface synthétique et
de l’interface VF.
Les deux interfaces sont visibles via la commande ifconfig ou ip addr dans Linux. Voici
un exemple de sortie de ifconfig :
Sortie
U1804:~$ ifconfig
enP53091s1np0: flags=6211<UP,BROADCAST,RUNNING,SLAVE,MULTICAST> mtu 1500
ether 00:0d:3a:f5:76:bd txqueuelen 1000 (Ethernet)
RX packets 365849 bytes 413711297 (413.7 MB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 9447684 bytes 2206536829 (2.2 GB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
Qu’une interface particulière soit l’interface synthétique ou que l’interface VF puisse être
déterminée à l’aide de la ligne de commande shell qui affiche le pilote d’appareil utilisé
par l’interface :
Sortie
Utilisation de l'application
Les applications doivent interagir uniquement avec l’interface synthétique, comme dans
tout autre environnement de mise en réseau. Les paquets réseau sortants sont envoyés
du pilote netvsc au pilote VF, puis transmis par le biais de l’interface VF. Les paquets
entrants sont reçus et traités sur l’interface VF avant d’être transmis à l’interface
synthétique. Les exceptions sont les paquets TCP SYN entrants et les paquets de
diffusion/multidiffusion qui sont traités seulement par l’interface synthétique.
Vous pouvez vérifier que les paquets circulent sur l’interface VF à partir de la sortie de
ethtool -S eth\<n\> . Les lignes de la sortie qui contiennent vf montrent le trafic sur
l’interface VF. Par exemple :
Sortie
Sortie
U1804:~# lspci
0000:00:00.0 Host bridge: Intel Corporation 440BX/ZX/DX - 82443BX/ZX/DX Host
bridge (AGP disabled) (rev 03)
0000:00:07.0 ISA bridge: Intel Corporation 82371AB/EB/MB PIIX4 ISA (rev 01)
0000:00:07.1 IDE interface: Intel Corporation 82371AB/EB/MB PIIX4 IDE (rev
01)
0000:00:07.3 Bridge: Intel Corporation 82371AB/EB/MB PIIX4 ACPI (rev 02)
0000:00:08.0 VGA compatible controller: Microsoft Corporation Hyper-V
virtual VGA
cf63:00:02.0 Ethernet controller: Mellanox Technologies MT27710 Family
[ConnectX-4 Lx Virtual Function] (rev 80)
Dans cet exemple, la dernière ligne de sortie identifie une fonction VF à partir de la carte
réseau physique Mellanox ConnectX-4.
Sortie
Le pilote PCI VMbus virtuel a été inscrit. Ce pilote fournit des services PCI de base dans
une machine virtuelle Linux dans Azure et doit être inscrit pour que l’interface VF puisse
être détectée et configurée.
Sortie
L’appareil PCI avec le GUID répertorié (attribué par l’hôte Azure) a été détecté. Il reçoit
un ID de domaine PCI (0xcf63 dans le cas présent) en fonction du GUID. L’ID de
domaine PCI doit être unique sur tous les appareils PCI disponibles dans la machine
virtuelle. Cette exigence d’unicité s’étend aux autres interfaces Mellanox VF, GPU,
appareils NVMe, etc. pouvant être présents dans la machine virtuelle.
Sortie
Sortie
Sortie
L’interface VF était initialement nommée « eth1 » par le noyau Linux. Une règle udev l’a
renommée pour éviter toute confusion avec les noms donnés aux interfaces
synthétiques.
Sortie
Sortie
Ces messages indiquent que le chemin d’accès aux données de la paire liée a changé
pour utiliser l’interface VF. Il repasse ensuite à l’interface synthétique au bout de
1,6 seconde environ. Ces commutations peuvent se produire deux ou trois fois pendant
le processus de démarrage. Il s’agit du comportement normal quand la configuration est
initialisée.
Sortie
Le message final indique que le chemin des données a changé pour utiliser l’interface
VF. Ce comportement est attendu pendant le fonctionnement normal de la machine
virtuelle.
Sortie
Sortie
Quand l’interface VF est rajoutée une fois que la maintenance est effectuée, un nouvel
appareil PCI avec le GUID spécifié est détecté. Il se voit attribuer le même ID de domaine
PCI (0xcf63) que précédemment. Le traitement de l’interface VF après rajout est
identique au démarrage initial.
Sortie
Sortie
Sortie
Étapes suivantes
Découvrez comment créer une machine virtuelle avec les performances réseau
accélérées dans PowerShell
Découvrez comment créer une machine virtuelle avec des performances réseau
accélérées en utilisant Azure CLI
Améliorer la latence avec le groupe de placement de proximité Azure
Configurer DPDK dans une machine
virtuelle Linux
Article • 30/04/2023
Le kit DPDK (Data Plan Development Kit) dans Azure offre une infrastructure de
traitement des paquets d’espace utilisateur plus rapide pour les applications exigeantes
en termes de performance. Cette infrastructure contourne la pile réseau du noyau de la
machine virtuelle.
Dans le traitement de paquets typique qui utilise la pile réseau du noyau, le processus
est piloté par les interruptions. Lorsque l’interface réseau reçoit des paquets entrants, le
noyau s’interrompt afin de traiter le paquet et un changement de contexte de l’espace
noyau à l’espace utilisateur. DPDK remplace le changement de contexte et la méthode
pilotée par les interruptions par l’implémentation d’un espace utilisateur qui se sert des
pilotes du mode d’interrogation pour traiter rapidement les paquets.
DPDK peut s’exécuter sur des machines virtuelles Azure prenant en charge plusieurs
distributions de système d’exploitation. DPDK fournit une différenciation de
performance clé dans le pilotage des implémentations de virtualisation des fonctions
réseau. Ces implémentations peuvent prendre la forme d'appliances virtuelles réseau
(NVA), telles que des routeurs virtuels, des pare-feu, des VPN, des équilibreurs de
charge, des cœurs de paquets évolués et des applications de déni de service (DDoS).
Avantage
Nombre supérieur de paquets par seconde (PPS) : le contournement du noyau et la
prise de contrôle des paquets dans l’espace utilisateur ont pour effet de réduire le
nombre de cycles du fait de l’élimination des changements de contexte. Il améliore
également le nombre de paquets traités à la seconde dans les machines virtuelles Linux
Azure.
Debian 10 4.19.0-1-cloud+
Pour toute version du noyau Linux non répertoriée, voir Correctifs pour la création d'un
noyau Linux optimisé pour Azure . Pour plus d’informations, vous pouvez également
contacter aznetdpdk@microsoft.com.
Prérequis
La mise en réseau accélérée doit être activée sur une machine virtuelle Linux. La machine
virtuelle doit disposer d’au moins deux interfaces réseau, dont une pour la gestion.
L’activation des performances réseau accélérées sur l’interface de gestion n’est pas
recommandée. Découvrez comment créer une machine virtuelle Linux en ayant activé la
mise en réseau accélérée.
De plus, DPDK utilise des verbes RDMA pour créer des files d’attente de données sur
l’adaptateur réseau. Dans la machine virtuelle, vérifiez que les pilotes de noyau RDMA
corrects sont chargés. Elles peuvent être mlx4_ib, mlx5_ib ou mana_ib selon les tailles de
machine virtuelle.
RHEL, CentOS
Bash
1. Hugepages
Bash
7 Notes
3. Adresses PCI
Utiliser ethtool -i <vf interface name> pour savoir quelle adresse PCI
utiliser pour ethtool -i <vf interface name> .
PMD maître
Les applications DPDK doivent être exécutées sur le PMD maître exposé dans Azure. Si
l’application s’exécute directement via le PMD VF, elle ne reçoit pas tous les paquets
destinés à la machine virtuelle, car certains paquets s’affichent via l’interface
synthétique. DPDK prend en charge deux types de PMD maître : NetVSC PMD et Failsafe
PMD. Un PMD maître garantit que l’application reçoit tous les paquets qui lui sont
destinés. Il permet également de s’assurer que l’application continue de fonctionner en
mode DPDK sur le PMD maître, même si le VF est révoqué lorsque l’hôte est en cours de
maintenance.
PMD NetVSC
NetVSC est le PMD recommandé pour fonctionner en tant que PMD maître dans Azure.
Il garantit que l’application reçoit tous les paquets qui lui sont destinés. Il est par ailleurs
certain que l’application continuera à s’exécuter en mode DPDK, même si la fonction
virtuelle est révoqué lorsque l’hôte est en cours de maintenance. Pour plus
d’informations sur l’utilisation et la configuration de PMD NetVSC, consultez
(https://doc.dpdk.org/guides/nics/netvsc.html ).
Vous pouvez également exécuter une application DPDK sur le PMD de sécurité
automatique. Si vous souhaitez obtenir plus d’informations sur le PMD fiable (failsafe),
consultez la Bibliothèque de pilotes de prévention de défaillance en mode
interrogation .
Exécuter testpmd
Pour exécuter testpmd en mode racine, utilisez sudo avant la commande sudo .
Bash
2. Exécutez les commandes suivantes pour démarrer une application testpmd à deux
ports :
Bash
Après que l’application a démarré, exécutez show port info all pour vérifier les
informations de port. Un ou deux ports DPDK net_netvsc devraient s’afficher.
Bash
testpmd \
-l <core-list> \
-n <num of mem channels> \
-w <pci address of the device you plan to use> \
-- --port-topology=chained \
--nb-cores <number of cores to use for test pmd> \
--forward-mode=txonly \
--eth-peer=<port id>,<receiver peer MAC address> \
--stats-period <display interval in seconds>
Bash
testpmd \
-l <core-list> \
-n <num of mem channels> \
-w <pci address of the device you plan to use> \
-- --port-topology=chained \
--nb-cores <number of cores to use for test pmd> \
--forward-mode=rxonly \
--eth-peer=<port id>,<sender peer MAC address> \
--stats-period <display interval in seconds>
Si vous exécutez les commandes précédentes sur une machine virtuelle, modifiez
IP_SRC_ADDR et IP_DST_ADDR dans pour faire correspondre l’adresse IP effective des
machines virtuelles avant de procéder à la compilation. Sinon, les paquets seront
abandonnés avant de parvenir au destinataire.
Bash
testpmd \
-l <core-list> \
-n <num of mem channels> \
-w <pci address of the device you plan to use> \
-- --port-topology=chained \
--nb-cores <number of cores to use for test pmd> \
--forward-mode=txonly \
--eth-peer=<port id>,<receiver peer MAC address> \
--stats-period <display interval in seconds>
Bash
testpmd \
-l <core-list> \
-n <num of mem channels> \
-w <pci address NIC1> \
-w <pci address NIC2> \
-- --nb-cores <number of cores to use for test pmd> \
--forward-mode=io \
--eth-peer=<recv port id>,<sender peer MAC address> \
--stats-period <display interval in seconds>
Si vous exécutez les commandes précédentes sur une machine virtuelle, modifiez
IP_SRC_ADDR et IP_DST_ADDR dans pour faire correspondre l’adresse IP effective des
machines virtuelles avant de procéder à la compilation. Sinon, les paquets seront
abandonnés avant de parvenir au redirecteur. Vous ne pouvez pas utiliser une troisième
machine pour la réception du trafic transféré, car le redirecteur testpmd ne modifie pas
les adresses de couche 3, sauf si vous apportez des modifications au code.
Installer DPDK via le package système (non
recommandé)
RHEL, CentOS
Bash
References
Options EAL
Commandes Testpmd
Cet article présente les techniques courantes d'optimisation des performances TCP/IP et
certains éléments à prendre en compte lorsque vous les utilisez pour les machines
virtuelles exécutées sur Azure. Il fournira un aperçu de base des techniques et détaillera
les différentes méthodes d’optimisation.
MTU
L'unité de transmission maximale (MTU) est la trame de taille maximale (paquet),
spécifiée en octets, qui peut être envoyée via une interface réseau. La MTU est un
paramètre configurable. La MTU par défaut utilisée sur les machines virtuelles Azure, et
le paramètre par défaut sur la plupart des périphériques réseau dans le monde, est de 1
500 octets.
Fragmentation
La fragmentation survient lorsqu'un paquet envoyé dépasse la MTU d'une interface
réseau. La pile TCP/IP décomposera le paquet en plus petits morceaux (fragments)
conformes à la MTU de l'interface. La fragmentation se produit au niveau de la couche
IP et est indépendante du protocole sous-jacent (par exemple TCP). Lorsqu'un paquet
de 2 000 octets est envoyé via une interface réseau avec une MTU de 1 500, le paquet
sera décomposé en un paquet de 1 500 octets et un autre paquet de 500 octets.
Les périphériques réseau dans le chemin qui sépare une source et une destination
peuvent soit supprimer des paquets qui dépassent la MTU, soit fragmenter le paquet en
plus petits morceaux.
La fragmentation peut avoir des répercussions négatives sur les performances. L'un des
principaux effets sur les performances est l'impact au niveau du processeur/de la
mémoire de la fragmentation et du réassemblage des paquets. Lorsqu'un périphérique
réseau a besoin de fragmenter un paquet, il devra allouer des ressources
processeur/mémoire pour effectuer la fragmentation.
La même chose se produit lorsque le paquet est réassemblé. Le périphérique réseau doit
stocker tous les fragments jusqu'à ce qu'ils soient reçus afin de pouvoir les réassembler
dans le paquet original. Ce processus de fragmentation et de réassemblage peut
également provoquer une certaine latence.
L'autre conséquence négative possible de la fragmentation sur les performances est que
les paquets fragmentés peuvent arriver en désordre. Lorsque les paquets sont reçus en
désordre, certains types de périphériques réseau peuvent les supprimer. Lorsque cela se
produit, le paquet entier doit être retransmis.
Les fragments sont généralement supprimés par les dispositifs de sécurité tels que les
pare-feu réseau ou lorsque les tampons de réception d'un périphérique réseau sont
épuisés. Lorsque les tampons de réception d'un périphérique réseau sont épuisés, un
périphérique réseau tente de réassembler un paquet fragmenté mais ne dispose pas des
ressources nécessaires pour stocker et consommer à nouveau ce paquet.
La fragmentation peut être considérée comme une opération négative, mais la prise en
charge de cette fragmentation est nécessaire lorsque vous connectez divers réseaux via
Internet.
En règle générale, vous pouvez créer un réseau plus performant en augmentant la MTU.
Chaque paquet transmis contient des informations d'en-tête qui sont ajoutées au
paquet d'origine. Lorsque la fragmentation crée d’autres paquets, une surcharge se
produit au niveau de l’en-tête, et cela rend le réseau moins efficace.
Voici un exemple. La taille de l'en-tête Ethernet est de 14 octets plus une séquence de
vérification de trame de 4 octets pour assurer la cohérence des trames. Si un paquet de
2 000 octets est envoyé, 18 octets de surcharge Ethernet sont ajoutés sur le réseau. Si le
paquet est fragmenté en un paquet de 1 500 octets plus un paquet de 500 octets,
chaque paquet aura 18 octets d'en-tête Ethernet, soit 36 octets au total.
Notez que la pile du réseau virtuel n'est pas intrinsèquement inefficace car elle
fragmente les paquets à 1 400 octets même si les machines virtuelles ont une MTU de 1
500 octets. Un grand pourcentage des paquets réseau sont beaucoup plus petits que 1
400 ou 1 500 octets.
Azure et la fragmentation
La pile du réseau virtuel est configurée pour supprimer les « fragments en désordre »,
c'est-à-dire les paquets fragmentés qui n'arrivent pas dans leur ordre fragmenté
d'origine. Ces paquets sont supprimés principalement à cause d'une vulnérabilité de
sécurité réseau annoncée en novembre 2018 et appelée FragmentSmack.
FragmentSmack est un défaut dans la façon dont le noyau Linux traite le réassemblage
des paquets IPv4 et IPv6 fragmentés. Un attaquant distant pourrait utiliser cette faille
pour déclencher des opérations coûteuses de réassemblage des fragments, ce qui
risquerait d’entraîner une augmentation du processeur et un déni de service sur le
système cible.
Ajuster la MTU
Vous pouvez configurer une MTU de machine virtuelle Azure, comme dans tout autre
système d'exploitation. Mais vous devriez tenir compte de la fragmentation qui se
produit dans Azure, décrite ci-dessus, lorsque vous configurez une MTU.
Nous déconseillons aux clients d’augmenter les MTU des machines virtuelles. Cette
discussion a pour but d'expliquer en détail comment Azure implémente la MTU et
effectue la fragmentation.
) Important
Lorsque LSO est activé, les clients Azure peuvent voir de grandes tailles de trames
lorsqu'ils effectuent des captures de paquets. Ces grandes tailles de trames peuvent
amener certains clients à penser à tort qu’une fragmentation se produit ou qu'une
grande MTU est utilisée. Avec LSO, l'adaptateur Ethernet peut annoncer une taille de
segment maximale (MSS) plus grande à la pile TCP/IP afin de créer un paquet TCP plus
grand. Toute cette trame non segmentée est ensuite transmise à l'adaptateur Ethernet et
apparaît dans une capture de paquets effectuée sur la machine virtuelle. Mais le paquet
sera décomposé en de nombreuses trames plus petites par l'adaptateur Ethernet, selon
la MTU de l'adaptateur Ethernet.
Ce paramètre est validé dans la connexion en trois temps TCP lorsqu'une session TCP est
configurée entre une source et une destination. Les deux côtés envoient une valeur
MSS, et la valeur la plus faible est utilisée pour la connexion TCP.
Gardez à l'esprit que les MTU de la source et de la destination ne sont pas les seuls
facteurs qui déterminent la valeur MSS. Les périphériques réseau intermédiaires, comme
les passerelles VPN et notamment la passerelle VPN Azure, peuvent ajuster la MTU
indépendamment de la source et de la destination pour assurer des performances
réseau optimales.
Le processus PMTUD est inefficace et affecte les performances du réseau. Lorsque des
paquets sont envoyés et dépassent la MTU d'un chemin réseau, ils doivent être
retransmis avec une MSS inférieure. Si l'expéditeur ne reçoit pas le message « ICMP
Fragmentation Needed » (Fragmentation ICMP requise), la cause peut venir d'un pare-
feu réseau installé dans le chemin d'accès (communément appelé trou noir PMTUD) :
l'expéditeur ne sait pas qu'il doit baisser la MSS et retransmet continuellement le
paquet. C'est pourquoi nous déconseillons d'augmenter la MTU des machines virtuelles
Azure.
VPN et MTU
Si vous utilisez des machines virtuelles qui effectuent une encapsulation (comme les
VPN IPsec), vous devez tenir compte de quelques exigences supplémentaires
concernant la taille des paquets et la MTU. Les VPN ajoutent d’autres en-têtes aux
paquets, ce qui augmente la taille des paquets et nécessite une MSS inférieure.
Pour Azure, nous vous recommandons de définir la MSS TCP sur 1 350 octets et la MTU
de l’interface tunnel sur 1 400 octets. Pour plus d'informations, voir la page Appareils
VPN et paramètres IPSec/IKE.
Ce tableau indique la distance en ligne droite entre deux emplacements. Dans les
réseaux, la distance est généralement plus longue que la distance en ligne droite. Voici
une formule simple pour calculer la RTT minimale en fonction de la vitesse de la lumière
:
Vous pouvez utiliser 200 comme vitesse de propagation. C'est la distance, en kilomètres,
que parcourt la lumière en 1 milliseconde.
Prenons comme exemple la distance de New York à San Francisco. La distance en ligne
droite est de 4 148 km. En intégrant cette valeur à l'équation, nous obtenons le résultat
suivant :
Si vous voulez obtenir les meilleures performances réseau, l'option logique consiste à
sélectionner les destinations les plus proches les unes des autres. Vous devriez
également concevoir votre réseau virtuel en essayant d’optimiser le chemin du trafic et
de réduire la latence. Pour plus d’informations, voir la section « Considérations relatives
à la conception du réseau » de cet article.
Effets de la latence et de la durée des bouches sur TCP
La durée des boucles a un impact direct sur le débit TCP maximal. Dans le protocole
TCP, la taille de la fenêtre est la quantité maximale de trafic qui peut être envoyée via
une connexion TCP avant que l'expéditeur ait besoin de recevoir un accusé de réception
du destinataire. Si la MSS TCP est définie sur 1 460 octets et la taille de la fenêtre TCP
sur 65 535 octets, l'expéditeur peut envoyer 45 paquets avant de devoir recevoir un
accusé de réception du destinataire. Si l'expéditeur n'obtient pas cet accusé de
réception, il retransmet les données. Voici la formule :
Cet état d’« attente d’un accusé de réception », mécanisme permettant d'assurer une
transmission fiable des données, est à l’origine de l’impact de la RTT sur le débit TCP.
Plus l'expéditeur attend un accusé de réception, plus il doit patienter avant d'envoyer
d'autres données.
Voici la formule pour calculer le débit maximal d'une connexion TCP unique :
En cas de perte de paquets, le débit maximal d'une connexion TCP sera réduit pendant
que l'expéditeur retransmet les données qu'il a déjà envoyées.
Mais la valeur de l'en-tête TCP pour la taille de la fenêtre TCP n'est que de 2 octets, ce
qui signifie que la valeur maximale pour une fenêtre de réception est de 65 535 octets.
Pour augmenter la taille maximale de la fenêtre, un facteur d'échelle de la fenêtre TCP a
été introduit.
Le facteur d'échelle est également un paramètre que vous pouvez configurer dans un
système d'exploitation. Voici la formule pour calculer la taille de la fenêtre TCP en
utilisant des facteurs d'échelle :
Voici le calcul pour un facteur d'échelle de fenêtre de 3 octets et une taille de fenêtre de
65 535 octets :
Un facteur d'échelle de 14 octets donne une taille de fenêtre TCP de 14 octets (le
décalage maximal autorisé). La taille de la fenêtre TCP sera de 1 073 725 440 octets (8,5
gigabits).
Windows peut définir différents facteurs d'échelle pour différents types de connexion.
(Les classes de connexions incluent les centres de données, Internet, etc.) Vous utilisez la
commande PowerShell Get-NetTCPConnection pour afficher le type de connexion de
mise à l'échelle de la fenêtre :
PowerShell
Get-NetTCPConnection
PowerShell
Get-NetTCPSetting
Vous pouvez définir la taille initiale de la fenêtre TCP et le facteur d'échelle TCP dans
Windows en utilisant la commande PowerShell Set-NetTCPSetting . Pour plus
d’informations, voir Set-NetTCPSetting.
PowerShell
Set-NetTCPSetting
Ces paramètres sont les plus susceptibles d'affecter les performances TCP, mais gardez à
l'esprit que de nombreux autres facteurs sur Internet, hors du contrôle d’Azure, peuvent
également affecter les performances TCP.
) Important
Nous déconseillons clients Azure de modifier la valeur MTU par défaut des
machines virtuelles.
Les fonctions réseau de la machine virtuelle ont toujours été gourmandes en ressources
processeur, tant sur la machine virtuelle invitée que sur l'hyperviseur/hôte. Chaque
paquet qui transite par l'hôte est traité dans un logiciel par le processeur hôte, y compris
toutes les encapsulations et décapsulations du réseau virtuel. Ainsi, plus le trafic qui
passe par l'hôte est important, plus le processeur est sollicité. Et si le processeur hôte est
occupé par d’autres opérations, cela affectera également le débit et la latence du réseau.
Azure règle ce problème grâce à la mise en réseau accélérée.
La mise en réseau accélérée offre une latence réseau ultra-faible constante grâce à un
matériel programmable interne Azure et à des technologies comme SR-IOV. La mise en
réseau accélérée déplace une grande partie de la pile réseau définie par le logiciel Azure
des processeurs vers les cartes SmartNIC basées sur FPGA. Ce changement permet aux
applications des utilisateurs finaux de récupérer des cycles de calcul, ce qui réduit la
charge sur la machine virtuelle, diminue la gigue et l’incohérence de la latence. En
d'autres termes, les performances peuvent être plus déterministes.
Pour utiliser la mise en réseau accélérée, vous devez l'activer explicitement sur chaque
machine virtuelle applicable. Consultez Créer une machine virtuelle Linux avec la mise en
réseau accélérée pour obtenir des instructions.
Pour obtenir les meilleures performances lorsque la mise en réseau accélérée est activée
sur une machine virtuelle, vous devez activer RSS. RSS peut également offrir des
avantages sur les machines virtuelles qui n'utilisent pas la mise en réseau accélérée. Pour
un aperçu sur la façon de vérifier si RSS est activé et comment le faire le cas échéant,
voir Optimiser le débit du réseau des machines virtuelles Azure.
La durée pendant laquelle un socket est à l’état TIME_WAIT est configurable. Elle peut
varier de 30 à 240 secondes. Les sockets constituent une ressource limitée, et le nombre
de sockets qui peuvent être utilisés à tout moment est configurable. (Le nombre de
sockets disponibles est généralement d'environ 30 000.) Si les sockets disponibles sont
consommés, ou si les paramètres TIME_WAIT des clients et des serveurs ne
correspondent pas, et qu'une machine virtuelle tente de réutiliser un socket à un état
TIME_WAIT, les nouvelles connexions échoueront car les paquets TCP SYN sont
supprimés en silence.
La valeur de la plage de ports pour les sockets sortants est généralement configurable
dans la pile TCP/IP d'un système d'exploitation. C’est également le cas pour les
paramètres TCP TIME_WAIT et la réutilisation d’un socket. La modification de ces valeurs
peut potentiellement améliorer l'évolutivité. Mais, selon la situation, ces changements
pourraient provoquer des problèmes d'interopérabilité. Faites attention si vous modifiez
ces valeurs.
Pour en savoir plus sur la configuration des paramètres TCP TIME_WAIT et la plage de
ports source, voir Paramètres pouvant être modifiés pour améliorer les performances du
réseau.
La bande passante réseau allouée à chaque machine virtuelle est mesurée en fonction
du trafic sortant de la machine virtuelle. L’ensemble du trafic réseau quittant la machine
virtuelle est mesuré en fonction de la limite d’allocation, quelle que soit la destination.
Par exemple, si une machine virtuelle se voit allouer une limite de 1 000 Mbit/s, cette
limite s’applique de toute façon, que le trafic sortant soit destiné à une machine virtuelle
du réseau virtuel ou à une machine en dehors d’Azure.
Le trafic en entrée n’est pas compté ou limité directement. Mais il existe d’autres
facteurs, tels que les limites en termes de processeur et de stockage, susceptibles
d’affecter la capacité d’une machine virtuelle à traiter les données entrantes.
La mise en réseau accélérée est conçue pour améliorer les performances du réseau,
notamment la latence, le débit et le taux d’utilisation des processeurs. La mise en réseau
accélérée peut améliorer le débit de la machine virtuelle, mais en deçà de la limite de
bande passante allouée à la machine virtuelle.
Les machines virtuelles Azure doivent toujours être associées à au moins une interface
réseau. Il peut y en avoir plusieurs. La bande passante allouée à une machine virtuelle
représente l’intégralité du trafic sortant sur l’ensemble des interfaces réseau associées à
la machine. En d’autres termes, la bande passante est allouée machine virtuelle par
machine virtuelle, quel que soit le nombre d’interfaces réseau associées à cette machine.
Le débit sortant attendu et le nombre d’interfaces réseau prises en charge par chaque
taille de machine virtuelle sont détaillés dans la section Tailles des machines virtuelles
Windows dans Azure. Pour afficher le débit maximal, sélectionnez un type, par exemple
Usage général, puis recherchez la section consacrée aux séries de tailles sur la page
résultante (par exemple, « Série Dv2 »). Pour chaque série, un tableau fournit les
spécifications réseau dans la dernière colonne, sous le titre « Nombre max de cartes
réseau / Bande passante réseau attendue (Mbit/s) ».
Cette limite de débit s’applique à la machine virtuelle. Le débit n'est pas affecté par ces
facteurs :
Pour plus d’informations, consultez Bande passante réseau des machines virtuelles.
Latence : La durée des boucles entre deux destinations peut être affectée par des
problèmes sur les réseaux intermédiaires, par un trafic qui ne prend pas le chemin
le plus court, et par des chemins de peering non optimaux.
Perte de paquets : Une perte de paquets peut être causée par l'encombrement du
réseau, des problèmes de chemin physique et des périphériques réseau moins
performants.
Traceroute est un bon outil pour mesurer les performances du réseau (notamment la
perte de paquets et la latence) le long de chaque chemin réseau entre un périphérique
source et un périphérique cible.
Le nombre de périphériques réseau par lesquels le trafic réseau transite peut également
affecter la latence globale. Par exemple, dans une conception « hub-and-spoke », si le
trafic transite via une appliance virtuelle réseau spoke et une appliance virtuelle de
concentrateur avant d’être dirigé vers Internet, les appliances virtuelles réseau peuvent
entraîner une latence.
Par exemple, deux machines virtuelles figurant dans le même réseau virtuel et le même
sous-réseau peuvent se trouver dans des racks, des lignes ou même des centres de
données différents. Elles pourraient être séparées par plusieurs mètres ou plusieurs
kilomètres de câble à fibre optique. Cette variation pourrait entraîner une latence
variable (une différence de quelques millisecondes) entre différentes machines virtuelles.
Pour chaque connexion sortante, Azure Load Balancer doit maintenir ce mappage
pendant un certain temps. Étant donné la nature multilocataire d'Azure, le maintien de
ce mappage pour chaque flux sortant de chaque machine virtuelle peut consommer
beaucoup de ressources. Il existe donc des limites fixées et basées sur la configuration
du réseau virtuel Azure. Ou, pour simplifier, une machine virtuelle Azure ne peut
uniquement établir un certain nombre de connexions sortantes à un moment donné.
Lorsque ces limites sont atteintes, la machine virtuelle ne pourra plus établir de
connexions sortantes.
Mais ce comportement est configurable. Pour plus d'informations sur SNAT et
l'épuisement de port SNAT, consultez cet article.
Utilitaire NTttcp
Néanmoins, ces types de paquets sont des indications que le débit TCP n'atteint pas ses
performances maximales, pour les raisons discutées dans d’autres sections de cet article.
Étapes suivantes
Maintenant que vous en savez plus sur l'optimisation des performances TCP/IP pour les
machines virtuelles Azure, vous pouvez examiner d'autres considérations sur la
planification des réseaux virtuels ou en savoir plus sur la connexion et la configuration
des réseaux virtuels.
Bande passante réseau des machines
virtuelles
Article • 06/04/2023 • 4 minutes de lecture
Azure offre de nombreuses tailles et types de machines virtuelles, qui présentent une
combinaison différente de capacités de performances. L’une de ces capacités est la
bande passante réseau (ou débit réseau), mesurée en mégabits par seconde (Mbits/s).
Étant donné que les machines virtuelles sont hébergées sur du matériel partagé, la
capacité du réseau doit être répartie équitablement entre les machines virtuelles
partageant le même matériel. Les machines virtuelles plus volumineuses bénéficient
d’une plus grande bande passante que les machines plus petites.
La bande passante réseau allouée à chaque machine virtuelle est mesurée en fonction
du trafic sortant de la machine virtuelle. L’ensemble du trafic réseau quittant la machine
virtuelle est mesuré en fonction de la limite d’allocation, quelle que soit la destination.
Par exemple, si une machine virtuelle a une limite de 1 000 Mbits/s, cette limite
s’applique que le trafic sortant soit destiné à une autre machine virtuelle du même
réseau virtuel ou qu’il se dirige en dehors d’Azure.
L’entrée n’est pas mesurée ni limitée directement. Toutefois, il existe d’autres facteurs,
tels que les limites de processeur et de stockage, qui peuvent affecter la capacité d’une
machine virtuelle à traiter des données entrantes.
La mise en réseau accélérée est une fonctionnalité conçue pour améliorer les
performances du réseau, notamment la latence, le débit et le taux d’utilisation des
processeurs. La mise en réseau accélérée peut améliorer le débit de la machine virtuelle,
mais en deçà de la limite de bande passante allouée à la machine virtuelle. Pour en
savoir plus sur la mise en réseau accélérée, consultez « Mise en réseau accélérée pour
les machines virtuelles Windows ou Linux ».
Les machines virtuelles Azure doivent être associées à une interface réseau minimum. La
bande passante allouée à une machine virtuelle représente l’intégralité du trafic sortant
sur l’ensemble des interfaces réseau associées à une machine virtuelle. En d’autres
termes, la bande passante est allouée machine virtuelle par machine virtuelle, quel que
soit le nombre d’interfaces réseau associées à cette machine. Pour savoir combien
d’interfaces réseau les machines virtuelles Azure de différentes tailles peuvent prendre
en charge, consultez les informations sur les tailles de machines virtuelles Windows et
Linux.
Cette limite de débit s’applique à la machine virtuelle. Le débit n’est pas affecté par les
facteurs suivants :
Mise en réseau accélérée : bien que la fonctionnalité puisse être utile pour
atteindre la limite publiée, elle ne modifie pas cette limite.
Les machines virtuelles avec des appliances virtuelles réseau, telles qu’une
passerelle, un proxy ou un pare-feu, peuvent gérer 250 000 connexions actives
avec 500 000 flux actifs dans chaque direction, en raison du transfert et de la
création de nouveaux flux sur la configuration de la nouvelle connexion jusqu’au
tronçon suivant, comme indiqué dans le diagramme ci-dessus.
Une fois cette limite atteinte, les autres connexions sont supprimées. Le taux
d’établissement et de fin de connexions peut également affecter le niveau de
performance réseau, car l’établissement et la fin des connexions partagent l’UC avec les
routines de traitement de paquets. Nous vous recommandons d’évaluer les charges de
travail pour les modèles de trafic attendus et d’effectuer un scale-out de manière
appropriée en fonction de vos besoins en matière de niveau de performance.
Des métriques permettant de suivre le nombre de flux réseau et le taux de création des
flux sur votre machine virtuelle ou sur des instances de groupe de machines virtuelles
identiques sont disponibles dans Azure Monitor.
Étapes suivantes
Optimiser le débit réseau d’un système d’exploitation de machine virtuelle
Ce tutoriel montre comment déplacer dans une autre région Azure des machines
virtuelles Azure ainsi que les ressources réseau et de stockage associées, en utilisant
Azure Resource Mover.
Azure Resource Mover vous permet de déplacer des ressources Azure d’une région
Azure à l’autre. Vous pouvez migrer vos ressources vers une autre région pour de
multiples raisons. Par exemple, pour tirer parti d’une nouvelle région Azure, pour
déployer des fonctionnalités ou des services disponibles dans des régions spécifiques
uniquement, pour répondre à des exigences de stratégie et de gouvernance internes ou
pour respecter des exigences de planification de la capacité.
" Déplacer des machines virtuelles Azure dans une autre région avec Azure Resource
Mover.
" Déplacer les ressources associées aux machines virtuelles dans une autre région.
7 Notes
Les tutoriels indiquent le moyen le plus rapide de tester un scénario, et ils utilisent
les options par défaut lorsque cela est possible.
Connexion à Azure
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de
commencer et connectez-vous au portail Azure .
Prérequis
Avant de commencer, vérifiez que les conditions suivantes sont remplies :
Condition Description
requise
Condition Description
requise
Prise en Consultez les régions prises en charge et les autres questions courantes.
charge de
Resource
Mover
Autorisations Veillez à disposer d’un accès Propriétaire sur l’abonnement contenant les
d’abonnement ressources que vous souhaitez déplacer.
Pourquoi ai-je besoin d’un accès Propriétaire ? La première fois que vous
ajoutez une ressource pour une paire source et destination spécifique dans un
abonnement Azure, Resource Mover crée une identité managée affectée par le
système (anciennement Managed Service Identity, MSI) qui est approuvée par
l’abonnement. Afin de créer l’identité et lui affecter le rôle demandé
(Contributeur ou Administrateur de l’accès utilisateur dans l’abonnement
source), le compte que vous utilisez pour ajouter des ressources a besoin des
autorisations Propriétaire sur l’abonnement. Explorez en détail les rôles Azure.
Prise en - Assurez-vous que les machines virtuelles que vous souhaitez déplacer sont
charge des prises en charge.
machines - Vérifiez les machines virtuelles Windows prises en charge.
virtuelles - Vérifiez les machines virtuelles Linux et les versions du noyau prises en charge.
Contrôlez les paramètres de calcul, de stockage et de réseau pris en charge.
Abonnement L’abonnement dans la région de destination a besoin d’un quota suffisant pour
de destination créer les ressources que vous déplacez dans la région cible. S’il n’a pas de quota,
demandez des limites supplémentaires.
Frais relatifs à Vérifiez le tarif et les frais associés à la région cible vers laquelle vous déplacez
la région de des machines virtuelles. Utilisez la calculatrice de prix pour vous aider.
destination
1. Après avoir vérifié que les machines virtuelles répondaient aux conditions requises,
vérifiez que les machines virtuelles que vous souhaitez déplacer sont allumées.
Tous les disques de machines virtuelles que vous souhaitez mettre à disposition
dans la région de destination doivent être attachés et initialisés dans la machine
virtuelle.
2. Vérifiez que les machines virtuelles disposent des certificats racines approuvés les
plus récents et d’une liste de révocation de certificats mise à jour. Pour ce faire :
Sur les machines virtuelles Windows, installez les dernières mises à jour
Windows.
Sur les machines virtuelles Linux, suivez les instructions du distributeur afin
que les machines disposent des derniers certificats et des listes de révocation
de certificats les plus récentes.
Si vous utilisez un proxy de pare-feu basé sur des URL pour contrôler la
connectivité sortante, autorisez l’accès à ces URL.
Si vous utilisez des règles de groupe de sécurité réseau (NSG) pour contrôler
la connexion sortante, créez ces règles d’étiquette de service.
Pour sélectionner les ressources que vous souhaitez déplacer, procédez comme suit :
c. Sélectionnez Terminé.
d. Sélectionnez Suivant.
8. Après avoir sélectionné la notification, passez en revue les ressources dans la page
Entre régions.
7 Notes
2. Si des dépendances sont trouvées, cliquez sur Ajouter des dépendances pour les
ajouter.
3. Dans Ajouter des dépendances, conservez l’option par défaut Afficher toutes les
dépendances.
4. Sélectionnez les ressources dépendantes que vous souhaitez ajouter, puis Ajouter
des dépendances. Vous pouvez suivre la progression dans les notifications.
5. Les dépendances sont automatiquement validées en arrière-plan une fois que vous
les avez ajoutées. Si vous voyez un bouton Valider les dépendances, sélectionnez-
le pour déclencher la validation manuelle.
7 Notes
7 Notes
Pour déplacer des ressources qui sont dans l’état Préparation en attente, procédez
comme suit :
1. Dans le volet Entre régions, vérifiez que les ressources présentent maintenant
l’état Préparation en attente sans aucun problème répertorié. Si ce n’est pas le cas,
validez à nouveau et résolvez les problèmes en suspens.
Maintenant que le groupe de ressources source est déplacé, vous pouvez préparer le
déplacement des autres ressources.
4. Sélectionnez Préparer.
7 Notes
Lancer le déplacement
Les ressources préparées, vous pouvez maintenant lancer le déplacement. Pour lancer le
déplacement, procédez comme suit :
1. Dans le volet Entre régions, sélectionnez les ressources avec l’état Lancement du
déplacement en attente.
7 Notes
Pour les machines virtuelles, les machines virtuelles de réplication sont créées
dans la région cible. La machine virtuelle source est arrêtée, et un temps
d’interruption se produit (généralement en minutes).
Resource Mover recrée d’autres ressources à l’aide des modèles ARM
préparés. Il n’y a généralement pas de temps d’arrêt.
Après leur déplacement, les ressources présentent l’état Validation du
lancement en attente.
Abandonner le déplacement
Vous pouvez abandonner le déplacement de la manière suivante :
1. Dans le volet Entre régions, sélectionnez les ressources avec l’état Validation du
déplacement en attente, puis cliquez sur Abandonner le déplacement.
2. Dans le volet Abandonner le déplacement, sélectionnez Abandonner.
3. Suivez la progression du déplacement dans la barre de notification.
7 Notes
Après l’abandon des ressources, les machines virtuelles présentent l’état Lancement
du déplacement en attente.
Valider le déplacement
Si vous voulez terminer la procédure de déplacement, validez le déplacement. Pour
valider le déplacement, procédez comme suit :
1. Dans le volet Entre régions, sélectionnez les ressources avec l’état Validation du
déplacement en attente, puis sélectionnez Valider le déplacement.
7 Notes
Certaines ressources, telles que les coffres de clés et les serveurs SQL Server, ne
peuvent pas être supprimées à partir du portail et doivent être supprimées à partir
de la page de propriétés de la ressource.
1. Dans le volet Entre régions, sélectionnez le nom de la ressource source que vous
souhaitez supprimer.
2. Sélectionnez Supprimer la source.
Supprimer les ressources supplémentaires
créées pour le déplacement
Après le déplacement, vous pouvez supprimer manuellement la collection de
déplacement ainsi que les ressources Site Recovery qui ont été créées.
La collection de déplacement est masquée par défaut. Pour la voir, vous devez
activer les ressources masquées.
Le stockage du cache a un verrou. Avant de supprimer le stockage du cache, vous
devez d’abord supprimer le verrou.
2. Vérifiez que toutes les machines virtuelles et les autres ressources sources de la
région source ont été déplacées ou supprimées. Cette vérification permet de
s’assurer qu’aucune ressource en attente ne les utilise.
Étapes suivantes
En savoir plus sur le déplacement de bases de données Azure SQL et de pools élastiques
vers une autre région.
Déplacer des machines virtuelles Azure
d’une région à une autre
Article • 06/04/2023 • 11 minutes de lecture
Ce tutoriel montre comment déplacer dans une autre région Azure des machines
virtuelles Azure ainsi que les ressources réseau et de stockage associées, en utilisant
Azure Resource Mover.
Azure Resource Mover vous permet de déplacer des ressources Azure d’une région
Azure à l’autre. Vous pouvez migrer vos ressources vers une autre région pour de
multiples raisons. Par exemple, pour tirer parti d’une nouvelle région Azure, pour
déployer des fonctionnalités ou des services disponibles dans des régions spécifiques
uniquement, pour répondre à des exigences de stratégie et de gouvernance internes ou
pour respecter des exigences de planification de la capacité.
" Déplacer des machines virtuelles Azure dans une autre région avec Azure Resource
Mover.
" Déplacer les ressources associées aux machines virtuelles dans une autre région.
7 Notes
Les tutoriels indiquent le moyen le plus rapide de tester un scénario, et ils utilisent
les options par défaut lorsque cela est possible.
Connexion à Azure
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de
commencer et connectez-vous au portail Azure .
Prérequis
Avant de commencer, vérifiez que les conditions suivantes sont remplies :
Condition Description
requise
Condition Description
requise
Prise en Consultez les régions prises en charge et les autres questions courantes.
charge de
Resource
Mover
Autorisations Veillez à disposer d’un accès Propriétaire sur l’abonnement contenant les
d’abonnement ressources que vous souhaitez déplacer.
Pourquoi ai-je besoin d’un accès Propriétaire ? La première fois que vous
ajoutez une ressource pour une paire source et destination spécifique dans un
abonnement Azure, Resource Mover crée une identité managée affectée par le
système (anciennement Managed Service Identity, MSI) qui est approuvée par
l’abonnement. Afin de créer l’identité et lui affecter le rôle demandé
(Contributeur ou Administrateur de l’accès utilisateur dans l’abonnement
source), le compte que vous utilisez pour ajouter des ressources a besoin des
autorisations Propriétaire sur l’abonnement. Explorez en détail les rôles Azure.
Prise en - Assurez-vous que les machines virtuelles que vous souhaitez déplacer sont
charge des prises en charge.
machines - Vérifiez les machines virtuelles Windows prises en charge.
virtuelles - Vérifiez les machines virtuelles Linux et les versions du noyau prises en charge.
Contrôlez les paramètres de calcul, de stockage et de réseau pris en charge.
Abonnement L’abonnement dans la région de destination a besoin d’un quota suffisant pour
de destination créer les ressources que vous déplacez dans la région cible. S’il n’a pas de quota,
demandez des limites supplémentaires.
Frais relatifs à Vérifiez le tarif et les frais associés à la région cible vers laquelle vous déplacez
la région de des machines virtuelles. Utilisez la calculatrice de prix pour vous aider.
destination
1. Après avoir vérifié que les machines virtuelles répondaient aux conditions requises,
vérifiez que les machines virtuelles que vous souhaitez déplacer sont allumées.
Tous les disques de machines virtuelles que vous souhaitez mettre à disposition
dans la région de destination doivent être attachés et initialisés dans la machine
virtuelle.
2. Vérifiez que les machines virtuelles disposent des certificats racines approuvés les
plus récents et d’une liste de révocation de certificats mise à jour. Pour ce faire :
Sur les machines virtuelles Windows, installez les dernières mises à jour
Windows.
Sur les machines virtuelles Linux, suivez les instructions du distributeur afin
que les machines disposent des derniers certificats et des listes de révocation
de certificats les plus récentes.
Si vous utilisez un proxy de pare-feu basé sur des URL pour contrôler la
connectivité sortante, autorisez l’accès à ces URL.
Si vous utilisez des règles de groupe de sécurité réseau (NSG) pour contrôler
la connexion sortante, créez ces règles d’étiquette de service.
Pour sélectionner les ressources que vous souhaitez déplacer, procédez comme suit :
c. Sélectionnez Terminé.
d. Sélectionnez Suivant.
8. Après avoir sélectionné la notification, passez en revue les ressources dans la page
Entre régions.
7 Notes
2. Si des dépendances sont trouvées, cliquez sur Ajouter des dépendances pour les
ajouter.
3. Dans Ajouter des dépendances, conservez l’option par défaut Afficher toutes les
dépendances.
4. Sélectionnez les ressources dépendantes que vous souhaitez ajouter, puis Ajouter
des dépendances. Vous pouvez suivre la progression dans les notifications.
5. Les dépendances sont automatiquement validées en arrière-plan une fois que vous
les avez ajoutées. Si vous voyez un bouton Valider les dépendances, sélectionnez-
le pour déclencher la validation manuelle.
7 Notes
7 Notes
Pour déplacer des ressources qui sont dans l’état Préparation en attente, procédez
comme suit :
1. Dans le volet Entre régions, vérifiez que les ressources présentent maintenant
l’état Préparation en attente sans aucun problème répertorié. Si ce n’est pas le cas,
validez à nouveau et résolvez les problèmes en suspens.
Maintenant que le groupe de ressources source est déplacé, vous pouvez préparer le
déplacement des autres ressources.
4. Sélectionnez Préparer.
7 Notes
Lancer le déplacement
Les ressources préparées, vous pouvez maintenant lancer le déplacement. Pour lancer le
déplacement, procédez comme suit :
1. Dans le volet Entre régions, sélectionnez les ressources avec l’état Lancement du
déplacement en attente.
7 Notes
Pour les machines virtuelles, les machines virtuelles de réplication sont créées
dans la région cible. La machine virtuelle source est arrêtée, et un temps
d’interruption se produit (généralement en minutes).
Resource Mover recrée d’autres ressources à l’aide des modèles ARM
préparés. Il n’y a généralement pas de temps d’arrêt.
Après leur déplacement, les ressources présentent l’état Validation du
lancement en attente.
Abandonner le déplacement
Vous pouvez abandonner le déplacement de la manière suivante :
1. Dans le volet Entre régions, sélectionnez les ressources avec l’état Validation du
déplacement en attente, puis cliquez sur Abandonner le déplacement.
2. Dans le volet Abandonner le déplacement, sélectionnez Abandonner.
3. Suivez la progression du déplacement dans la barre de notification.
7 Notes
Après l’abandon des ressources, les machines virtuelles présentent l’état Lancement
du déplacement en attente.
Valider le déplacement
Si vous voulez terminer la procédure de déplacement, validez le déplacement. Pour
valider le déplacement, procédez comme suit :
1. Dans le volet Entre régions, sélectionnez les ressources avec l’état Validation du
déplacement en attente, puis sélectionnez Valider le déplacement.
7 Notes
Certaines ressources, telles que les coffres de clés et les serveurs SQL Server, ne
peuvent pas être supprimées à partir du portail et doivent être supprimées à partir
de la page de propriétés de la ressource.
1. Dans le volet Entre régions, sélectionnez le nom de la ressource source que vous
souhaitez supprimer.
2. Sélectionnez Supprimer la source.
Supprimer les ressources supplémentaires
créées pour le déplacement
Après le déplacement, vous pouvez supprimer manuellement la collection de
déplacement ainsi que les ressources Site Recovery qui ont été créées.
La collection de déplacement est masquée par défaut. Pour la voir, vous devez
activer les ressources masquées.
Le stockage du cache a un verrou. Avant de supprimer le stockage du cache, vous
devez d’abord supprimer le verrou.
2. Vérifiez que toutes les machines virtuelles et les autres ressources sources de la
région source ont été déplacées ou supprimées. Cette vérification permet de
s’assurer qu’aucune ressource en attente ne les utilise.
Étapes suivantes
En savoir plus sur le déplacement de bases de données Azure SQL et de pools élastiques
vers une autre région.
Déplacer des machines virtuelles Azure
d’une région à une autre
Article • 06/04/2023 • 11 minutes de lecture
Ce tutoriel montre comment déplacer dans une autre région Azure des machines
virtuelles Azure ainsi que les ressources réseau et de stockage associées, en utilisant
Azure Resource Mover.
Azure Resource Mover vous permet de déplacer des ressources Azure d’une région
Azure à l’autre. Vous pouvez migrer vos ressources vers une autre région pour de
multiples raisons. Par exemple, pour tirer parti d’une nouvelle région Azure, pour
déployer des fonctionnalités ou des services disponibles dans des régions spécifiques
uniquement, pour répondre à des exigences de stratégie et de gouvernance internes ou
pour respecter des exigences de planification de la capacité.
" Déplacer des machines virtuelles Azure dans une autre région avec Azure Resource
Mover.
" Déplacer les ressources associées aux machines virtuelles dans une autre région.
7 Notes
Les tutoriels indiquent le moyen le plus rapide de tester un scénario, et ils utilisent
les options par défaut lorsque cela est possible.
Connexion à Azure
Si vous n’avez pas d’abonnement Azure, créez un compte gratuit avant de
commencer et connectez-vous au portail Azure .
Prérequis
Avant de commencer, vérifiez que les conditions suivantes sont remplies :
Condition Description
requise
Condition Description
requise
Prise en Consultez les régions prises en charge et les autres questions courantes.
charge de
Resource
Mover
Autorisations Veillez à disposer d’un accès Propriétaire sur l’abonnement contenant les
d’abonnement ressources que vous souhaitez déplacer.
Pourquoi ai-je besoin d’un accès Propriétaire ? La première fois que vous
ajoutez une ressource pour une paire source et destination spécifique dans un
abonnement Azure, Resource Mover crée une identité managée affectée par le
système (anciennement Managed Service Identity, MSI) qui est approuvée par
l’abonnement. Afin de créer l’identité et lui affecter le rôle demandé
(Contributeur ou Administrateur de l’accès utilisateur dans l’abonnement
source), le compte que vous utilisez pour ajouter des ressources a besoin des
autorisations Propriétaire sur l’abonnement. Explorez en détail les rôles Azure.
Prise en - Assurez-vous que les machines virtuelles que vous souhaitez déplacer sont
charge des prises en charge.
machines - Vérifiez les machines virtuelles Windows prises en charge.
virtuelles - Vérifiez les machines virtuelles Linux et les versions du noyau prises en charge.
Contrôlez les paramètres de calcul, de stockage et de réseau pris en charge.
Abonnement L’abonnement dans la région de destination a besoin d’un quota suffisant pour
de destination créer les ressources que vous déplacez dans la région cible. S’il n’a pas de quota,
demandez des limites supplémentaires.
Frais relatifs à Vérifiez le tarif et les frais associés à la région cible vers laquelle vous déplacez
la région de des machines virtuelles. Utilisez la calculatrice de prix pour vous aider.
destination
1. Après avoir vérifié que les machines virtuelles répondaient aux conditions requises,
vérifiez que les machines virtuelles que vous souhaitez déplacer sont allumées.
Tous les disques de machines virtuelles que vous souhaitez mettre à disposition
dans la région de destination doivent être attachés et initialisés dans la machine
virtuelle.
2. Vérifiez que les machines virtuelles disposent des certificats racines approuvés les
plus récents et d’une liste de révocation de certificats mise à jour. Pour ce faire :
Sur les machines virtuelles Windows, installez les dernières mises à jour
Windows.
Sur les machines virtuelles Linux, suivez les instructions du distributeur afin
que les machines disposent des derniers certificats et des listes de révocation
de certificats les plus récentes.
Si vous utilisez un proxy de pare-feu basé sur des URL pour contrôler la
connectivité sortante, autorisez l’accès à ces URL.
Si vous utilisez des règles de groupe de sécurité réseau (NSG) pour contrôler
la connexion sortante, créez ces règles d’étiquette de service.
Pour sélectionner les ressources que vous souhaitez déplacer, procédez comme suit :
c. Sélectionnez Terminé.
d. Sélectionnez Suivant.
8. Après avoir sélectionné la notification, passez en revue les ressources dans la page
Entre régions.
7 Notes
2. Si des dépendances sont trouvées, cliquez sur Ajouter des dépendances pour les
ajouter.
3. Dans Ajouter des dépendances, conservez l’option par défaut Afficher toutes les
dépendances.
4. Sélectionnez les ressources dépendantes que vous souhaitez ajouter, puis Ajouter
des dépendances. Vous pouvez suivre la progression dans les notifications.
5. Les dépendances sont automatiquement validées en arrière-plan une fois que vous
les avez ajoutées. Si vous voyez un bouton Valider les dépendances, sélectionnez-
le pour déclencher la validation manuelle.
7 Notes
7 Notes
Pour déplacer des ressources qui sont dans l’état Préparation en attente, procédez
comme suit :
1. Dans le volet Entre régions, vérifiez que les ressources présentent maintenant
l’état Préparation en attente sans aucun problème répertorié. Si ce n’est pas le cas,
validez à nouveau et résolvez les problèmes en suspens.
Maintenant que le groupe de ressources source est déplacé, vous pouvez préparer le
déplacement des autres ressources.
4. Sélectionnez Préparer.
7 Notes
Lancer le déplacement
Les ressources préparées, vous pouvez maintenant lancer le déplacement. Pour lancer le
déplacement, procédez comme suit :
1. Dans le volet Entre régions, sélectionnez les ressources avec l’état Lancement du
déplacement en attente.
7 Notes
Pour les machines virtuelles, les machines virtuelles de réplication sont créées
dans la région cible. La machine virtuelle source est arrêtée, et un temps
d’interruption se produit (généralement en minutes).
Resource Mover recrée d’autres ressources à l’aide des modèles ARM
préparés. Il n’y a généralement pas de temps d’arrêt.
Après leur déplacement, les ressources présentent l’état Validation du
lancement en attente.
Abandonner le déplacement
Vous pouvez abandonner le déplacement de la manière suivante :
1. Dans le volet Entre régions, sélectionnez les ressources avec l’état Validation du
déplacement en attente, puis cliquez sur Abandonner le déplacement.
2. Dans le volet Abandonner le déplacement, sélectionnez Abandonner.
3. Suivez la progression du déplacement dans la barre de notification.
7 Notes
Après l’abandon des ressources, les machines virtuelles présentent l’état Lancement
du déplacement en attente.
Valider le déplacement
Si vous voulez terminer la procédure de déplacement, validez le déplacement. Pour
valider le déplacement, procédez comme suit :
1. Dans le volet Entre régions, sélectionnez les ressources avec l’état Validation du
déplacement en attente, puis sélectionnez Valider le déplacement.
7 Notes
Certaines ressources, telles que les coffres de clés et les serveurs SQL Server, ne
peuvent pas être supprimées à partir du portail et doivent être supprimées à partir
de la page de propriétés de la ressource.
1. Dans le volet Entre régions, sélectionnez le nom de la ressource source que vous
souhaitez supprimer.
2. Sélectionnez Supprimer la source.
Supprimer les ressources supplémentaires
créées pour le déplacement
Après le déplacement, vous pouvez supprimer manuellement la collection de
déplacement ainsi que les ressources Site Recovery qui ont été créées.
La collection de déplacement est masquée par défaut. Pour la voir, vous devez
activer les ressources masquées.
Le stockage du cache a un verrou. Avant de supprimer le stockage du cache, vous
devez d’abord supprimer le verrou.
2. Vérifiez que toutes les machines virtuelles et les autres ressources sources de la
région source ont été déplacées ou supprimées. Cette vérification permet de
s’assurer qu’aucune ressource en attente ne les utilise.
Étapes suivantes
En savoir plus sur le déplacement de bases de données Azure SQL et de pools élastiques
vers une autre région.
Déplacer un groupe de sécurité réseau
Azure vers une autre région à l’aide du
Portail Azure
Article • 03/04/2023 • 5 minutes de lecture
Il existe différents scénarios dans lesquels vous pouvez être amené à déplacer vos
groupe de sécurité réseau existants d’une région à une autre. Par exemple, vous pouvez
avoir besoin de créer un groupe de sécurité réseau avec la même configuration et les
mêmes règles de sécurité à des fins de test. Vous pouvez également déplacer un groupe
de sécurité réseau vers une autre région dans le cadre de la planification de la reprise
d’activité après sinistre.
Les groupes de sécurité Azure ne peuvent pas être déplacés d’une région vers une autre.
Toutefois, vous pouvez utiliser un modèle Azure Resource Manager pour exporter la
configuration existante et les règles de sécurité d’un groupe de sécurité réseau. Vous
pouvez ensuite déplacer la ressource dans une autre région en exportant le groupe de
sécurité réseau vers un modèle, en modifiant les paramètres pour qu’ils correspondent à
la région de destination, puis en déployant le modèle dans la nouvelle région. Pour plus
d’informations sur Resource Manager et les modèles, consultez Démarrage rapide :
Créer et déployer des modèles Azure Resource Manager à l’aide du portail Azure.
Prérequis
Vérifiez que le groupe de sécurité réseau Azure se trouve dans la région Azure à
partir de laquelle vous souhaitez effectuer le déplacement.
Les groupes de sécurité réseau Azure ne peuvent pas être déplacés entre les
régions. Vous devez associer le nouveau groupe de sécurité réseau à des
ressources dans la région cible.
Identifiez la topologie du réseau source et toutes les ressources que vous utilisez
actuellement. Cette disposition comprend notamment les équilibreurs de charge,
les adresses IP publiques et les réseaux virtuels.
Vérifiez que votre abonnement Azure vous permet de créer des groupes de
sécurité réseau dans la région cible utilisée. Contactez le support pour activer le
quota requis.
Préparer et déplacer
Les étapes suivantes montrent comment préparer le groupe de sécurité réseau pour le
déplacement de la configuration et de la règle de sécurité à l’aide d’un modèle Resource
Manager et comment déplacer la configuration et les règles de sécurité du groupe de
sécurité réseau vers la région cible à l’aide du portail.
JSON
{
"$schema": "https://schema.management.azure.com/schemas/2015-
01-01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"networkSecurityGroups_myVM1_nsg_name": {
"value": "<target-nsg-name>"
}
}
}
7. Remplacez la valeur du groupe de sécurité réseau source dans l’éditeur par le nom
de votre choix pour le groupe de sécurité réseau cible. Veillez à placer le nom entre
guillemets.
JSON
"resources": [
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2019-06-01",
"name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
"location": "<target-region>",
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
}
}
]
11. Pour obtenir les codes d’emplacement des régions, consultez Emplacements
Azure . Le code d’une région est le nom de la région sans espace, USA Centre =
centralus.
12. Vous pouvez également changer d’autres paramètres dans le modèle ; ces
paramètres sont facultatifs en fonction de vos besoins :
JSON
"resources": [
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2019-06-01",
"name": "
[parameters('networkSecurityGroups_myVM1_nsg_name')]",
"location": "<target-region>",
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
"securityRules": [
{
"name": "RDP",
"etag": "W/\"c630c458-6b52-4202-8fd7-
172b7ab49cf5\"",
"properties": {
"provisioningState": "Succeeded",
"protocol": "TCP",
"sourcePortRange": "*",
"destinationPortRange": "3389",
"sourceAddressPrefix": "*",
"destinationAddressPrefix": "*",
"access": "Allow",
"priority": 300,
"direction": "Inbound",
"sourcePortRanges": [],
"destinationPortRanges": [],
"sourceAddressPrefixes": [],
"destinationAddressPrefixes": []
}
},
]
}
JSON
{
"type":
"Microsoft.Network/networkSecurityGroups/securityRules",
"apiVersion": "2019-06-01",
"name": "
[concat(parameters('networkSecurityGroups_myVM1_nsg_name'),
'/Port_80')]",
"dependsOn": [
"[resourceId('Microsoft.Network/networkSecurityGroups',
parameters('networkSecurityGroups_myVM1_nsg_name'))]"
],
"properties": {
"provisioningState": "Succeeded",
"protocol": "*",
"sourcePortRange": "*",
"destinationPortRange": "80",
"sourceAddressPrefix": "*",
"destinationAddressPrefix": "*",
"access": "Allow",
"priority": 310,
"direction": "Inbound",
"sourcePortRanges": [],
"destinationPortRanges": [],
"sourceAddressPrefixes": [],
"destinationAddressPrefixes": []
}
16. Vérifiez que DE BASE>Emplacement est défini avec l’emplacement cible où vous
souhaitez déployer le groupe de sécurité réseau.
17. Sous PARAMÈTRES, vérifiez que le nom correspond à celui que vous avez entré
dans l’éditeur de paramètres ci-dessus.
19. Cliquez sur le bouton Acheter pour déployer le groupe de sécurité réseau cible.
Abandonner
Si vous souhaitez abandonner le groupe de sécurité réseau cible, supprimez le groupe
de ressources contenant le groupe de sécurité réseau cible. Pour ce faire, sélectionnez le
groupe de ressources à partir de votre tableau de bord dans le portail, puis sélectionnez
Supprimer en haut de la page de vue d’ensemble.
Nettoyer
Pour valider les modifications et terminer le déplacement du groupe de sécurité réseau,
supprimez le groupe de ressources ou le groupe de sécurité réseau source. Pour ce faire,
sélectionnez le groupe de sécurité réseau ou le groupe de ressources à partir de votre
tableau de bord dans le portail, puis sélectionnez Supprimer en haut de chaque page.
Étapes suivantes
Dans ce tutoriel, vous avez déplacé un groupe de sécurité réseau Azure d’une région à
une autre et nettoyé les ressources sources. Pour en savoir plus sur le déplacement de
ressources entre régions et la reprise d’activité après sinistre dans Azure, consultez :
Il existe différents scénarios dans lesquels vous pouvez être amené à déplacer vos
groupe de sécurité réseau existants d’une région à une autre. Par exemple, vous pouvez
avoir besoin de créer un groupe de sécurité réseau avec la même configuration et les
mêmes règles de sécurité à des fins de test. Vous pouvez également déplacer un groupe
de sécurité réseau vers une autre région dans le cadre de la planification de la reprise
d’activité après sinistre.
Les groupes de sécurité Azure ne peuvent pas être déplacés d’une région vers une autre.
Toutefois, vous pouvez utiliser un modèle Azure Resource Manager pour exporter la
configuration existante et les règles de sécurité d’un groupe de sécurité réseau. Vous
pouvez ensuite déplacer la ressource dans une autre région en exportant le groupe de
sécurité réseau vers un modèle, en modifiant les paramètres pour qu’ils correspondent à
la région de destination, puis en déployant le modèle dans la nouvelle région. Pour plus
d’informations sur Resource Manager et les modèles, consultez Exporter des groupes de
ressources vers des modèles.
Prérequis
Vérifiez que le groupe de sécurité réseau Azure se trouve dans la région Azure à
partir de laquelle vous souhaitez effectuer le déplacement.
Les groupes de sécurité réseau Azure ne peuvent pas être déplacés entre les
régions. Vous devez associer le nouveau groupe de sécurité réseau à des
ressources dans la région cible.
Identifiez la topologie du réseau source et toutes les ressources que vous utilisez
actuellement. Cette disposition comprend notamment les équilibreurs de charge,
les adresses IP publiques et les réseaux virtuels.
Vérifiez que votre abonnement Azure vous permet de créer des groupes de
sécurité réseau dans la région cible utilisée. Contactez le support pour activer le
quota requis.
Préparer et déplacer
Les étapes suivantes montrent comment préparer le groupe de sécurité réseau pour le
déplacement de la configuration et de la règle de sécurité à l’aide d’un modèle Resource
Manager et comment déplacer la configuration et les règles de sécurité du groupe de
sécurité réseau vers la région cible à l’aide d’Azure PowerShell.
7 Notes
Azure PowerShell
Connect-AzAccount
Azure PowerShell
3. Exportez le groupe de sécurité réseau source vers un fichier .json dans le répertoire
où vous exécutez la commande Export-AzResourceGroup :
Azure PowerShell
Azure PowerShell
notepad <source-resource-group-name>.json
JSON
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-
01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"networkSecurityGroups_myVM1_nsg_name": {
"defaultValue": "<target-nsg-name>",
"type": "String"
}
}
JSON
"resources": [
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2019-06-01",
"name": "[parameters('networkSecurityGroups_myVM1_nsg_name')]",
"location": "<target-region>",
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "2c846acf-58c8-416d-be97-ccd00a4ccd78",
}
}
7. Pour obtenir les codes d’emplacement des régions, vous pouvez utiliser l’applet de
commande Azure PowerShell Get-AzLocation en exécutant la commande suivante :
Azure PowerShell
Get-AzLocation | format-table
JSON
"resources": [
{
"type": "Microsoft.Network/networkSecurityGroups",
"apiVersion": "2019-06-01",
"name": "
[parameters('networkSecurityGroups_myVM1_nsg_name')]",
"location": "TARGET REGION",
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "2c846acf-58c8-416d-be97-
ccd00a4ccd78",
"securityRules": [
{
"name": "RDP",
"etag": "W/\"c630c458-6b52-4202-8fd7-
172b7ab49cf5\"",
"properties": {
"provisioningState": "Succeeded",
"protocol": "TCP",
"sourcePortRange": "*",
"destinationPortRange": "3389",
"sourceAddressPrefix": "*",
"destinationAddressPrefix": "*",
"access": "Allow",
"priority": 300,
"direction": "Inbound",
"sourcePortRanges": [],
"destinationPortRanges": [],
"sourceAddressPrefixes": [],
"destinationAddressPrefixes": []
}
]
}
JSON
{
"type":
"Microsoft.Network/networkSecurityGroups/securityRules",
"apiVersion": "2019-06-01",
"name": "
[concat(parameters('networkSecurityGroups_myVM1_nsg_name'),
'/Port_80')]",
"dependsOn": [
"[resourceId('Microsoft.Network/networkSecurityGroups',
parameters('networkSecurityGroups_myVM1_nsg_name'))]"
],
"properties": {
"provisioningState": "Succeeded",
"protocol": "*",
"sourcePortRange": "*",
"destinationPortRange": "80",
"sourceAddressPrefix": "*",
"destinationAddressPrefix": "*",
"access": "Allow",
"priority": 310,
"direction": "Inbound",
"sourcePortRanges": [],
"destinationPortRanges": [],
"sourceAddressPrefixes": [],
"destinationAddressPrefixes": []
}
10. Créez un groupe de ressources dans la région cible pour le groupe de sécurité
réseau cible à déployer à l’aide de New-AzResourceGroup :
Azure PowerShell
Azure PowerShell
12. Pour vérifier que les ressources ont été créées dans la région cible, utilisez Get-
AzResourceGroup et Get-AzNetworkSecurityGroup :
Azure PowerShell
Azure PowerShell
Abandonner
Après le déploiement, si vous souhaitez recommencer ou ignorer le groupe de sécurité
réseau dans la cible, supprimez le groupe de ressources qui a été créé dans la cible et le
groupe de sécurité réseau déplacé sera supprimé. Pour supprimer le groupe de
ressources, utilisez Remove-AzResourceGroup :
Azure PowerShell
Nettoyer
Pour valider les modifications et terminer le déplacement du groupe de sécurité réseau,
supprimez le groupe de ressources ou le groupe de sécurité réseau source avec
Remove-AzResourceGroup ou Remove-AzNetworkSecurityGroup :
Azure PowerShell
Azure PowerShell
Étapes suivantes
Dans ce tutoriel, vous avez déplacé un groupe de sécurité réseau Azure d’une région à
une autre et nettoyé les ressources sources. Pour en savoir plus sur le déplacement de
ressources entre régions et la reprise d’activité après sinistre dans Azure, consultez :
Il existe différents scénarios pour déplacer un réseau virtuel Azure existant d’une région
à une autre. Par exemple, vous voulez créer un réseau virtuel avec la même
configuration pour des tests et la même disponibilité que votre réseau virtuel existant.
Vous pourriez aussi déplacer un réseau virtuel de production vers une autre région dans
le cadre de la planification de la reprise d’activité.
Vous pouvez utiliser un modèle Azure Resource Manager pour terminer la migration du
réseau virtuel vers une autre région. Pour ce faire, exportez le réseau virtuel vers un
modèle, modifiez les paramètres pour qu’ils correspondent à la région de destination,
puis déployez le modèle dans la nouvelle région. Pour plus d’informations sur les
modèles Resource Manager, consultez Démarrage rapide : Créer et déployer des
modèles Azure Resource Manager à l’aide du portail Azure.
Prérequis
Vérifiez que votre réseau virtuel Azure se trouve dans la région Azure à partir de
laquelle vous voulez effectuer le déplacement.
Pour exporter un réseau virtuel et déployer un modèle pour créer un réseau virtuel
dans une autre région, vous avez besoin du rôle Contributeur de réseaux ou d’un
rôle supérieur.
Les appairages de réseaux virtuels ne sont pas recréés et échouent s’ils sont
toujours présents dans le modèle. Avant d’exporter le modèle, vous devez
supprimer les pairs du réseau virtuel. Vous pouvez ensuite les rétablir après le
déplacement du réseau virtuel.
Identifiez la topologie du réseau source et toutes les ressources que vous utilisez
actuellement. Cette disposition comprend notamment les équilibreurs de charge,
les groupes de sécurité réseau et les adresses IP publiques.
Vérifiez que votre abonnement Azure vous permet de créer des réseaux virtuels
dans la région cible. Pour activer le quota nécessaire, contactez le support
technique.
Vérifiez que votre abonnement dispose de suffisamment de ressources pour
prendre en charge l’ajout de réseaux virtuels pour ce processus. Pour plus
d’informations, consultez Abonnement Azure et limites, quotas et contraintes de
service.
Préparer le déplacement
Dans cette section, vous préparez le réseau virtuel pour le déplacement en utilisant un
modèle Resource Manager. Vous déplacez ensuite le réseau virtuel vers la région cible
en utilisant le portail Azure.
Pour exporter le réseau virtuel et déployer le réseau virtuel cible en utilisant le portail
Azure, procédez comme suit :
JSON
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-
01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"virtualNetworks_myVNET1_name": {
"value": "<target-virtual-network-name>"
}
}
}
7. Dans l’éditeur, remplacez la valeur du nom du réseau virtuel source par le nom de
votre choix pour le réseau virtuel cible. Veillez à placer le nom entre guillemets.
10. Dans l’éditeur en ligne, pour modifier la région cible où le réseau virtuel sera
déplacé, modifiez la propriété location sous resources :
JSON
"resources": [
{
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2019-06-01",
"name": "[parameters('virtualNetworks_myVNET1_name')]",
"location": "<target-region>",
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "6e2652be-35ac-4e68-8c70-
621b9ec87dcb",
"addressSpace": {
"addressPrefixes": [
"10.0.0.0/16"
]
},
11. Pour obtenir les codes d’emplacement des régions, consultez Emplacements
Azure . Le code d’une région est le nom de la région, sans espace (par exemple
USA Centre (Central US) = centralus).
12. (Facultatif) Vous pouvez aussi changer d’autres paramètres dans le modèle, en
fonction de vos besoins :
JSON
"resources": [
{
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2019-06-01",
"name": "
[parameters('virtualNetworks_myVNET1_name')]",
"location": "<target-region",
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "6e2652be-35ac-4e68-8c70-
621b9ec87dcb",
"addressSpace": {
"addressPrefixes": [
"10.0.0.0/16"
]
},
JSON
"subnets": [
{
"name": "subnet-1",
"etag": "W/\"d9f6e6d6-2c15-4f7c-b01f-bed40f748dea\"",
"properties": {
"provisioningState": "Succeeded",
"addressPrefix": "10.0.0.0/24",
"delegations": [],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
},
{
"name": "GatewaySubnet",
"etag": "W/\"d9f6e6d6-2c15-4f7c-b01f-bed40f748dea\"",
"properties": {
"provisioningState": "Succeeded",
"addressPrefix": "10.0.1.0/29",
"serviceEndpoints": [],
"delegations": [],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
}
JSON
"type": "Microsoft.Network/virtualNetworks/subnets",
"apiVersion": "2019-06-01",
"name": "[concat(parameters('virtualNetworks_myVNET1_name'),
'/GatewaySubnet')]",
"dependsOn": [
"[resourceId('Microsoft.Network/virtualNetworks',
parameters('virtualNetworks_myVNET1_name'))]"
],
"properties": {
"provisioningState": "Succeeded",
"addressPrefix": "10.0.1.0/29",
"serviceEndpoints": [],
"delegations": [],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
},
{
"type": "Microsoft.Network/virtualNetworks/subnets",
"apiVersion": "2019-06-01",
"name": "
[concat(parameters('virtualNetworks_myVNET1_name'), '/subnet-
1')]",
"dependsOn": [
"[resourceId('Microsoft.Network/virtualNetworks',
parameters('virtualNetworks_myVNET1_name'))]"
],
"properties": {
"provisioningState": "Succeeded",
"addressPrefix": "10.0.0.0/24",
"delegations": [],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
}
]
14. Pour choisir l’abonnement où le réseau virtuel cible sera déployé, sélectionnez
Général>Abonnement.
15. Pour choisir le groupe de ressources où le réseau virtuel cible sera déployé,
sélectionnez Général>Groupe de ressources.
17. Sous Paramètres, vérifiez que le nom correspond à celui que vous avez entré
précédemment dans l’éditeur de paramètres.
Nettoyer
Pour valider les modifications et effectuer le déplacement du réseau virtuel, vous
supprimez le réseau virtuel ou le groupe de ressources source. Pour ce faire :
Étapes suivantes
Dans ce tutoriel, vous avez déplacé un réseau virtuel Azure d’une région à une autre en
utilisant le portail Azure, puis vous avez nettoyé les ressources sources non nécessaires.
Pour plus d’informations sur le déplacement de ressources entre régions et la reprise
d’activité dans Azure, consultez :
Il existe différents scénarios pour déplacer un réseau virtuel Azure existant d’une région
à une autre. Par exemple, vous voulez créer un réseau virtuel avec la même
configuration pour des tests et la même disponibilité que votre réseau virtuel existant.
Vous pourriez aussi déplacer un réseau virtuel de production vers une autre région dans
le cadre de la planification de la reprise d’activité.
Vous pouvez utiliser un modèle Azure Resource Manager pour terminer la migration du
réseau virtuel vers une autre région. Pour ce faire, exportez le réseau virtuel vers un
modèle, modifiez les paramètres pour qu’ils correspondent à la région de destination,
puis déployez le modèle dans la nouvelle région. Pour plus d’informations sur les
modèles Resource Manager, consultez Exporter des groupes de ressources vers des
modèles.
Prérequis
Vérifiez que votre réseau virtuel Azure se trouve dans la région Azure à partir de
laquelle vous voulez effectuer le déplacement.
Pour exporter un réseau virtuel et déployer un modèle pour créer un réseau virtuel
dans une autre région, vous avez besoin du rôle Contributeur de réseaux ou d’un
rôle supérieur.
Les appairages de réseaux virtuels ne sont pas recréés et échouent s’ils sont
toujours présents dans le modèle. Avant d’exporter le modèle, vous devez
supprimer les pairs du réseau virtuel. Vous pouvez ensuite les rétablir après le
déplacement du réseau virtuel.
Identifiez la topologie du réseau source et toutes les ressources que vous utilisez
actuellement. Cette disposition comprend notamment les équilibreurs de charge,
les groupes de sécurité réseau et les adresses IP publiques.
Vérifiez que votre abonnement Azure vous permet de créer des réseaux virtuels
dans la région cible. Pour activer le quota nécessaire, contactez le support
technique.
Vérifiez que votre abonnement dispose de suffisamment de ressources pour
prendre en charge l’ajout de réseaux virtuels pour ce processus. Pour plus
d’informations, consultez Abonnement Azure et limites, quotas et contraintes de
service.
Préparer le déplacement
Dans cette section, vous préparez le réseau virtuel pour le déplacement en utilisant un
modèle Resource Manager. Vous déplacez ensuite le réseau virtuel vers la région cible
en utilisant des commandes Azure PowerShell.
7 Notes
Pour exporter le réseau virtuel et déployer le réseau virtuel cible en utilisant PowerShell,
procédez comme suit :
Azure PowerShell
Connect-AzAccount
2. Obtenez l’ID de ressource du réseau virtuel que vous voulez déplacer vers la région
cible, puis placez-le dans une variable en utilisant Get-AzVirtualNetwork :
Azure PowerShell
3. Exportez le réseau virtuel source vers un fichier .json dans le répertoire où vous
exécutez la commande Export-AzResourceGroup :
Azure PowerShell
Export-AzResourceGroup -ResourceGroupName <source-resource-group-name>
-Resource $sourceVNETID -IncludeParameterDefaultValue
Azure PowerShell
notepad <source-resource-group-name>.json
JSON
"$schema": "https://schema.management.azure.com/schemas/2015-01-
01/deploymentmyResourceGroupVNET.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"virtualNetworks_myVNET1_name": {
"defaultValue": "<target-virtual-network-name>",
"type": "String"
}
6. Pour modifier la région cible où le réseau virtuel sera déplacé, changez la propriété
location sous resources :
JSON
"resources": [
{
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2019-06-01",
"name": "[parameters('virtualNetworks_myVNET1_name')]",
"location": "<target-region>",
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "6e2652be-35ac-4e68-8c70-
621b9ec87dcb",
"addressSpace": {
"addressPrefixes": [
"10.0.0.0/16"
]
},
7. Pour obtenir les codes d’emplacement des régions, vous pouvez utiliser l’applet de
commande Azure PowerShell Get-AzLocation en exécutant la commande suivante :
Azure PowerShell
Get-AzLocation | format-table
JSON
"resources": [
{
"type": "Microsoft.Network/virtualNetworks",
"apiVersion": "2019-06-01",
"name": "
[parameters('virtualNetworks_myVNET1_name')]",
"location": "<target-region",
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "6e2652be-35ac-4e68-8c70-
621b9ec87dcb",
"addressSpace": {
"addressPrefixes": [
"10.0.0.0/16"
]
},
JSON
"subnets": [
{
"name": "subnet-1",
"etag": "W/\"d9f6e6d6-2c15-4f7c-b01f-bed40f748dea\"",
"properties": {
"provisioningState": "Succeeded",
"addressPrefix": "10.0.0.0/24",
"delegations": [],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
},
{
"name": "GatewaySubnet",
"etag": "W/\"d9f6e6d6-2c15-4f7c-b01f-bed40f748dea\"",
"properties": {
"provisioningState": "Succeeded",
"addressPrefix": "10.0.1.0/29",
"serviceEndpoints": [],
"delegations": [],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
}
JSON
"type": "Microsoft.Network/virtualNetworks/subnets",
"apiVersion": "2019-06-01",
"name": "[concat(parameters('virtualNetworks_myVNET1_name'),
'/GatewaySubnet')]",
"dependsOn": [
"[resourceId('Microsoft.Network/virtualNetworks',
parameters('virtualNetworks_myVNET1_name'))]"
],
"properties": {
"provisioningState": "Succeeded",
"addressPrefix": "10.0.1.0/29",
"serviceEndpoints": [],
"delegations": [],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
},
{
"type": "Microsoft.Network/virtualNetworks/subnets",
"apiVersion": "2019-06-01",
"name": "
[concat(parameters('virtualNetworks_myVNET1_name'), '/subnet-
1')]",
"dependsOn": [
"[resourceId('Microsoft.Network/virtualNetworks',
parameters('virtualNetworks_myVNET1_name'))]"
],
"properties": {
"provisioningState": "Succeeded",
"addressPrefix": "10.0.0.0/24",
"delegations": [],
"privateEndpointNetworkPolicies": "Enabled",
"privateLinkServiceNetworkPolicies": "Enabled"
}
}
]
10. Créez un groupe de ressources dans la région cible pour le réseau virtuel cible à
déployer en utilisant New-AzResourceGroup :
Azure PowerShell
Azure PowerShell
12. Pour vérifier que les ressources ont été créées dans la région cible, utilisez Get-
AzResourceGroup et Get-AzVirtualNetwork :
Azure PowerShell
Azure PowerShell
Azure PowerShell
Nettoyer
Pour valider vos changements et effectuer le déplacement du réseau virtuel, effectuez
une des actions suivantes :
Azure PowerShell
Azure PowerShell
Étapes suivantes
Dans ce tutoriel, vous avez déplacé un réseau virtuel d’une région à une autre en
utilisant PowerShell, puis vous avez nettoyé les ressources sources non nécessaires. Pour
plus d’informations sur le déplacement de ressources entre régions et la reprise
d’activité dans Azure, consultez :
Il existe différents scénarios dans lesquels vous pouvez être amené à déplacer les
configurations de vos adresses IP publiques Azure existantes d’une région à une autre.
Par exemple, vous pouvez avoir besoin de créer une adresse IP publique avec la même
configuration et la même référence SKU à des fins de test. Vous pouvez également
déplacer une configuration d’adresses IP publiques vers une autre région dans le cadre
de la planification de la récupération d’urgence.
Les adresses IP publiques Azure sont spécifiques à une région et ne peuvent pas être
déplacées d’une région vers une autre. Toutefois, vous pouvez utiliser un modèle Azure
Resource Manager pour exporter la configuration existante d’une adresse IP publique.
Vous pouvez ensuite déplacer la ressource dans une autre région en exportant l’adresse
IP publique vers un modèle, en modifiant les paramètres pour qu’ils correspondent à la
région de destination, puis en déployant le modèle dans la nouvelle région. Pour plus
d’informations sur Resource Manager et les modèles, consultez Démarrage rapide :
Créer et déployer des modèles Azure Resource Manager à l’aide du portail Azure.
Prérequis
Vérifiez que l’adresse IP publique Azure se trouve dans la région Azure à partir de
laquelle vous souhaitez effectuer le déplacement.
Vous ne pouvez pas déplacer les adresses IP publiques Azure entre les régions.
Vous devez associer la nouvelle adresse IP publique à des ressources dans la
région cible.
Identifiez la topologie du réseau source et toutes les ressources que vous utilisez
actuellement. Cette disposition comprend notamment les équilibreurs de charge,
les groupes de sécurité réseau et les réseaux virtuels.
Vérifiez que votre abonnement Azure vous permet de créer des adresses IP
publiques dans la région cible utilisée. Contactez le support pour activer le quota
requis.
Préparer et déplacer
Les étapes suivantes montrent comment préparer l’adresse IP publique pour le
déplacement à l’aide d’un modèle Resource Manager et comment déplacer la
configuration de l’adresse IP publique vers la région cible à l’aide du Portail Azure.
JSON
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-
01/deploymentParameters.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"publicIPAddresses_myVM1pubIP_name": {
"value": "<target-publicip-name>"
}
}
}
JSON
"resources": [
{
"type": "Microsoft.Network/publicIPAddresses",
"apiVersion": "2019-06-01",
"name": "[parameters('publicIPAddresses_myPubIP_name')]",
"location": "<target-region>",
"sku": {
"name": "Basic",
"tier": "Regional"
},
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "7549a8f1-80c2-481a-a073-018f5b0b69be",
"ipAddress": "52.177.6.204",
"publicIPAddressVersion": "IPv4",
"publicIPAllocationMethod": "Dynamic",
"idleTimeoutInMinutes": 4,
"ipTags": []
}
}
]
10. Pour obtenir les codes d’emplacement des régions, consultez Emplacements
Azure . Le code d’une région est le nom de la région sans espace, USA Centre =
centralus.
11. Vous pouvez également changer d’autres paramètres dans le modèle ; ces
paramètres sont facultatifs en fonction de vos besoins :
JSON
"resources": [
{
"type": "Microsoft.Network/publicIPAddresses",
"apiVersion": "2019-06-01",
"name": "[parameters('publicIPAddresses_myPubIP_name')]",
"location": "<target-region>",
"sku": {
"name": "Basic",
"tier": "Regional"
},
Pour plus d’informations sur les différences entre les adresses IP publiques
des références SKU basic et standard, consultez Créer, modifier ou supprimer
une adresse IP publique :
JSON
"resources": [
{
"type": "Microsoft.Network/publicIPAddresses",
"apiVersion": "2019-06-01",
"name": "[parameters('publicIPAddresses_myPubIP_name')]",
"location": "<target-region>",
"sku": {
"name": "Basic",
"tier": "Regional"
},
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "7549a8f1-80c2-481a-a073-018f5b0b69be",
"ipAddress": "52.177.6.204",
"publicIPAddressVersion": "IPv4",
"publicIPAllocationMethod": "Dynamic",
"idleTimeoutInMinutes": 4,
"ipTags": []
Pour plus d’informations sur les méthodes d’allocation et les valeurs de délai
d’inactivité, consultez Créer, modifier ou supprimer une adresse IP publique.
15. Vérifiez que DE BASE>Emplacement est défini avec l’emplacement cible où vous
souhaitez déployer l’adresse IP publique.
16. Sous PARAMÈTRES, vérifiez que le nom correspond à celui que vous avez entré
dans l’éditeur de paramètres ci-dessus.
18. Cliquez sur le bouton Acheter pour déployer l’adresse IP publique cible.
Abandonner
Si vous souhaitez abandonner l’adresse IP publique cible, supprimez le groupe de
ressources contenant l’adresse IP publique cible. Pour ce faire, sélectionnez le groupe de
ressources à partir de votre tableau de bord dans le portail, puis sélectionnez Supprimer
en haut de la page de vue d’ensemble.
Nettoyer
Pour valider les modifications et terminer le déplacement de l’adresse IP publique cible,
supprimez le groupe de ressources ou l’adresse IP publique source. Pour ce faire,
sélectionnez l’adresse IP publique ou le groupe de ressources à partir de votre tableau
de bord dans le portail, puis sélectionnez Supprimer en haut de chaque page.
Étapes suivantes
Dans ce tutoriel, vous avez déplacé une adresse IP publique Azure d’une région à une
autre et nettoyé les ressources sources. Pour en savoir plus sur le déplacement de
ressources entre régions et la reprise d’activité après sinistre dans Azure, consultez :
Il existe différents scénarios dans lesquels vous pouvez être amené à déplacer les
configurations de vos adresses IP publiques Azure existantes d’une région à une autre.
Par exemple, vous pouvez avoir besoin de créer une adresse IP publique avec la même
configuration et la même référence SKU à des fins de test. Vous pouvez également
déplacer une configuration d’adresses IP publiques vers une autre région dans le cadre
de la planification de la récupération d’urgence.
Les adresses IP publiques Azure sont spécifiques à une région et ne peuvent pas être
déplacées d’une région vers une autre. Toutefois, vous pouvez utiliser un modèle Azure
Resource Manager pour exporter la configuration existante d’une adresse IP publique.
Vous pouvez ensuite déplacer la ressource dans une autre région en exportant l’adresse
IP publique vers un modèle, en modifiant les paramètres pour qu’ils correspondent à la
région de destination, puis en déployant le modèle dans la nouvelle région. Pour plus
d’informations sur Resource Manager et les modèles, consultez Exporter des groupes de
ressources vers des modèles
Prérequis
Vérifiez que l’adresse IP publique Azure se trouve dans la région Azure à partir de
laquelle vous souhaitez effectuer le déplacement.
Vous ne pouvez pas déplacer les adresses IP publiques Azure entre les régions.
Vous devez associer la nouvelle adresse IP publique à des ressources dans la
région cible.
Identifiez la topologie du réseau source et toutes les ressources que vous utilisez
actuellement. Cette disposition comprend notamment les équilibreurs de charge,
les groupes de sécurité réseau et les réseaux virtuels.
Vérifiez que votre abonnement Azure vous permet de créer des adresses IP
publiques dans la région cible utilisée. Contactez le support pour activer le quota
requis.
Préparer et déplacer
Les étapes suivantes montrent comment préparer l’adresse IP publique pour le
déplacement à l’aide d’un modèle Resource Manager et comment déplacer la
configuration de l’adresse IP publique vers la région cible à l’aide d’Azure PowerShell.
7 Notes
Azure PowerShell
Connect-AzAccount
Azure PowerShell
3. Exportez le réseau virtuel source vers un fichier .json dans le répertoire où vous
exécutez la commande Export-AzResourceGroup :
Azure PowerShell
Export-AzResourceGroup -ResourceGroupName <source-resource-group-name>
-Resource $sourceVNETID -IncludeParameterDefaultValue
Azure PowerShell
notepad <source-resource-group-name>.json
JSON
{
"$schema": "https://schema.management.azure.com/schemas/2015-01-
01/deploymentTemplate.json#",
"contentVersion": "1.0.0.0",
"parameters": {
"publicIPAddresses_myVM1pubIP_name": {
"defaultValue": "<target-publicip-name>",
"type": "String"
}
}
JSON
"resources": [
{
"type": "Microsoft.Network/publicIPAddresses",
"apiVersion": "2019-06-01",
"name": "[parameters('publicIPAddresses_myPubIP_name')]",
"location": "<target-region>",
"sku": {
"name": "Basic",
"tier": "Regional"
},
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "7549a8f1-80c2-481a-a073-018f5b0b69be",
"ipAddress": "52.177.6.204",
"publicIPAddressVersion": "IPv4",
"publicIPAllocationMethod": "Dynamic",
"idleTimeoutInMinutes": 4,
"ipTags": []
}
}
]
7. Pour obtenir les codes d’emplacement des régions, vous pouvez utiliser l’applet de
commande Azure PowerShell Get-AzLocation en exécutant la commande suivante :
Azure PowerShell
Get-AzLocation | format-table
JSON
"resources": [
{
"type": "Microsoft.Network/publicIPAddresses",
"apiVersion": "2019-06-01",
"name": "
[parameters('publicIPAddresses_myPubIP_name')]",
"location": "<target-region>",
"sku": {
"name": "Basic",
"tier": "Regional"
},
Pour plus d’informations sur les différences entre les adresses IP publiques
des références SKU basic et standard, consultez Créer, modifier ou supprimer
une adresse IP publique.
"resources": [
{
"type": "Microsoft.Network/publicIPAddresses",
"apiVersion": "2019-06-01",
"name": "[parameters('publicIPAddresses_myPubIP_name')]",
"location": "<target-region>",
"sku": {
"name": "Basic",
"tier": "Regional"
},
"properties": {
"provisioningState": "Succeeded",
"resourceGuid": "7549a8f1-80c2-481a-a073-018f5b0b69be",
"ipAddress": "52.177.6.204",
"publicIPAddressVersion": "IPv4",
"publicIPAllocationMethod": "Dynamic",
"idleTimeoutInMinutes": 4,
"ipTags": []
}
}
Pour plus d’informations sur les méthodes d’allocation et les valeurs de délai
d’inactivité, consultez Créer, modifier ou supprimer une adresse IP publique.
10. Créez un groupe de ressources dans la région cible pour l'adresse IP publique cible
à déployer à l’aide de New-AzResourceGroup.
Azure PowerShell
Azure PowerShell
12. Pour vérifier que les ressources ont été créées dans la région cible, utilisez Get-
AzResourceGroup et Get-AzPublicIPAddress :
Azure PowerShell
Azure PowerShell
Abandonner
Après le déploiement, si vous souhaitez recommencer ou ignorer l’adresse IP publique
dans la cible, supprimez le groupe de ressources qui a été créé dans la cible et l’adresse
IP publique déplacée sera supprimée. Pour supprimer le groupe de ressources, utilisez
Remove-AzResourceGroup :
Azure PowerShell
Nettoyer
Pour valider les modifications et terminer le déplacement du réseau virtuel, supprimez le
réseau virtuel ou le groupe de ressources source avec Remove-AzResourceGroup ou
Remove-AzPublicIPAddress :
Azure PowerShell
Azure PowerShell
Étapes suivantes
Dans ce tutoriel, vous avez déplacé une adresse IP publique Azure d’une région à une
autre et nettoyé les ressources sources. Pour en savoir plus sur le déplacement de
ressources entre régions et la reprise d’activité après sinistre dans Azure, consultez :
Déplacer des ressources vers un nouveau groupe de ressource ou un nouvel
abonnement
Déplacer des machines virtuelles Azure vers une autre région
Résoudre les problèmes d’appairage de
réseaux virtuels
Article • 01/06/2023
Si les réseaux virtuels se trouvent dans la même région, consultez Créer un peering.
Si les réseaux virtuels se trouvent dans des régions distinctes, consultez Peering de
réseau virtuel.
7 Notes
Pour plus d’informations, voir la configuration requise et les contraintes d’un appairage
mondial.
7 Notes
7 Notes
Si vous avez besoin d’aide pour configurer un appliance virtuelle réseau, contactez
le fournisseur de l’appliance virtuelle réseau .
Pour en savoir plus sur les conditions et les contraintes d’un peering mondial, consultez
Peering de réseaux virtuels.
d. Si des paquets arrivent de la source, cela signifie qu’il n’y a aucun problème de
réseau. Examinez le pare-feu de la machine virtuelle et l’application écoutant sur
ce port pour localiser le problème de configuration.
7 Notes
Vous ne pouvez pas vous connecter aux types de ressources suivants via un
appairage de réseaux virtuels globaux (réseaux virtuels se trouvant dans des
régions différentes) :
Pour plus d’informations, voir la configuration requise et les contraintes d’un appairage
mondial.
Si le réseau virtuel spoke dispose déjà d’une passerelle VPN, l’option Utiliser des
passerelles distantes n’est pas prise en charge sur le réseau virtuel spoke. Cela est dû à
une limitation du peering de réseaux virtuels.
Sur le réseau virtuel doté d’une passerelle, vérifiez que la case Autoriser le trafic
transféré est cochée.
Sur le réseau virtuel non doté d’une passerelle, vérifiez que la case Utiliser des
passerelles distantes est cochée.
Demandez à votre administrateur réseau de vérifier vos appareils locaux pour
s’assurer que l’espace d’adressage du réseau virtuel distant a bien été ajouté à
tous.
Sur le réseau virtuel doté d’une passerelle, vérifiez que la case Autoriser le trafic
transféré est cochée.
Sur le réseau virtuel non doté d’une passerelle, vérifiez que la case Utiliser des
passerelles distantes est cochée.
Téléchargez et réinstallez le package client point à site. Les routes de réseau virtuel
qui viennent d’être appairées n’ajoutent pas automatiquement des routes aux
clients point à site.
Pour plus d’informations, voir Chaînage de services et discutez de ces exigences avec le
fournisseur de l’appliance virtuelle réseau de votre choix.
Pour plus d’informations, consultez les exigences et contraintes d’un peering mondial et
les différentes topologies VPN.
Non connecté
Pour résoudre ce problème, supprimez le peering des deux réseaux virtuels, puis
recréez-le.
Supprimez les Peerings et activez l’option Use Remote Gateways lorsque vous créez
un nouveau Peering.
Utilisez PowerShell ou l’interface CLI au lieu du Portail Azure pour activer Use
Remote Gateways .
Étapes suivantes
Résolution des problèmes de connectivité entre machines virtuelles Azure
Configurer et valider des connexions de
réseaux virtuels ou de VPN
Article • 01/06/2023
Ce guide pas à pas fournit des instructions pour configurer et valider différents
déploiements de VPN et de réseaux virtuels Azure. Les scénarios incluent les itinéraires
de transit, les connexions réseau à réseau, le protocole BGP (Border Gateway Protocol),
les connexions multisites et les connexions point à site.
Les passerelles VPN Azure offrent une certaine flexibilité quant à l'agencement de
pratiquement tout type de topologie de réseau virtuel connecté dans Azure. Par
exemple, vous pouvez connecter des réseaux virtuels :
Si vos réseaux virtuels se trouvent dans la même région, vous pouvez envisager de les
connecter à l'aide de l'appairage de réseaux virtuels. L'appairage de réseaux virtuels
n'utilise pas de passerelle VPN. Il augmente le débit et diminue la latence. Pour
configurer une connexion d'appairage de réseaux virtuels, sélectionnez Configurer et
valider l'appairage de réseaux virtuels.
Si vos réseaux virtuels ont été créés à l'aide du modèle de déploiement Azure Resource
Manager, sélectionnez Configurer et valider un réseau virtuel Resource Manager sur
une connexion de réseau virtuel Resource Manager pour configurer une connexion
VPN.
Si l'un des réseaux virtuels a été créé à l'aide du modèle de déploiement Azure Classic et
l'autre via Resource Manager, sélectionnez Configurer et valider un réseau virtuel
classique sur une connexion de réseau virtuel Resource Manager pour configurer une
connexion VPN.
Les réseaux virtuels homologués doivent se trouver dans la même région Azure.
Les réseaux virtuels appairés doivent disposer d'espaces d'adressage IP qui ne se
chevauchent pas.
Le peering se fait entre deux réseaux virtuels. Il n’y a aucune relation transitive
dérivée entre les appairages. Par exemple, si VNetA est appairé à VNetB et que
VNetB est appairé à VNetC, VNetA n'est pas appairé à VNetC.
Si vous remplissez les conditions requises, vous pouvez suivre le Didacticiel : Connecter
des réseaux virtuels à l'aide de l'appairage de réseaux virtuels à partir du portail Azure
pour créer et configurer l'appairage.
s/providers/Microsoft.Network/virtualNetworks/VNET10-02"
}
AllowVirtualNetworkAccess : True
AllowForwardedTraffic : False
AllowGatewayTransit : False
UseRemoteGateways : False
RemoteGateways : null
RemoteVirtualNetworkAddressSpace : null
Pour configurer une connexion entre deux réseaux virtuels Resource Manager à l'aide
d'IPSec, suivez les étapes 1 à 5 de la section Créer une connexion site à site dans le
portail Azure pour chaque réseau virtuel.
7 Notes
7 Notes
Les chiffres qui suivent les composants de réseau virtuel correspondent à ceux du
diagramme précédent.
1. Assurez-vous que les espaces d'adressage ne se chevauchent pas dans les réseaux
virtuels connectés.
2. Vérifiez que la plage d'adresses du réseau virtuel Azure Resource Manager (1) est
correctement définie dans l'instance Objet de connexion (4).
3. Vérifiez que la plage d'adresses du réseau virtuel Azure Resource Manager (6) est
correctement définie dans l'instance Objet de connexion (3).
4. Vérifiez que les clés prépartagées correspondent aux objets de connexion.
5. Vérifiez que l'adresse IP virtuelle de la passerelle de réseau virtuel Azure Resource
Manager (2) est correctement définie dans l'instance Objet de connexion (4).
6. Vérifiez que l'adresse IP virtuelle de la passerelle de réseau virtuel Azure Resource
Manager (5) est correctement définie dans l'instance Objet de connexion (3).
Pour configurer une connexion entre un réseau virtuel classique et un réseau virtuel
Resource Manager, consultez Connecter des réseaux virtuels à partir de différents
modèles de déploiement à l'aide du portail Azure.
Pour vérifier la configuration lors de la connexion d'un réseau virtuel classique à un
réseau virtuel Azure Resource Manager, suivez les instructions ci-dessous.
7 Notes
Les chiffres qui suivent les composants de réseau virtuel correspondent à ceux du
diagramme précédent.
1. Assurez-vous que les espaces d'adressage ne se chevauchent pas dans les réseaux
virtuels connectés.
2. Vérifiez que la plage d'adresses du réseau virtuel Azure Resource Manager (6) est
correctement définie dans la définition du réseau local classique (3).
3. Vérifiez que la plage d'adresses du réseau virtuel classique (1) est correctement
définie dans l'instance Objet de connexion d'Azure Resource Manager (4).
4. Vérifiez que l'adresse IP virtuelle de la passerelle de réseau virtuel classique (2) est
correctement définie dans l'instance Objet de connexion d'Azure Resource
Manager (4).
5. Vérifiez que la passerelle de réseau virtuel Azure Resource Manager (5) est
correctement définie dans l'instance Définition du réseau local classique (3).
6. Vérifiez que les clés prépartagées correspondent sur les deux réseaux virtuels
connectés :
La connexion VPN point à site est initiée à partir de l'ordinateur client à l'aide du client
VPN Windows natif. Les clients qui se connectent utilisent des certificats pour
l’authentification.
Les connexions point à site ne nécessitent aucun périphérique VPN. Elles établissent la
connexion VPN via le protocole SSTP (Secure Socket Tunneling Protocol). Vous pouvez
établir une connexion point à site à un réseau virtuel à l'aide de divers outils et modèles
de déploiement :
Configurer une connexion point à site à un réseau virtuel à l'aide du portail Azure
Configurer une connexion point à site à un réseau virtuel à l'aide du portail Azure
(classique)
Configurer une connexion point à site à un réseau virtuel à l'aide de PowerShell
Ajouter une connexion site à site à un réseau virtuel avec une connexion de
passerelle VPN existante
Ajouter une connexion site à site à un réseau virtuel avec une connexion de
passerelle VPN existante (classique)
7 Notes
Les étapes décrites dans ces articles ne s'appliquent pas aux configurations avec
coexistence de connexions site à site et Azure ExpressRoute. Pour plus
d'informations, consultez Configurer la coexistence de connexions site à site et
ExpressRoute.
Ce scénario est pris en charge lorsque le protocole BGP est activé sur le VPN site à site
entre les réseaux virtuels VNetA et VNetB. Pour plus d'informations, consultez À propos
du routage VPN point à site.
7 Notes
Si vous avez activé ExpressRoute pour connecter vos réseaux locaux à un réseau virtuel
Azure, vous pouvez activer un appairage des réseaux virtuels pour lesquels vous
souhaitez disposer d'un itinéraire de transit. Pour permettre à vos réseaux locaux de se
connecter au réseau virtuel distant, vous devez configurer un appairage de réseaux
virtuels.
7 Notes
L'appairage de réseaux virtuels est uniquement disponible pour les réseaux virtuels
d'une même région.
Pour savoir si vous avez configuré un itinéraire de transit pour l'appairage de réseaux
virtuels, suivez les instructions ci-dessous :
Le transit de la passerelle n’est pas pris en charge dans la relation d’appairage entre
des réseaux virtuels créés via des modèles de déploiement différents. Les deux
réseaux virtuels de la relation d'appairage doivent avoir été créés via Resource
Manager pour que le transit par passerelle fonctionne.
Pour savoir si vous avez configuré un itinéraire de transit pour l'appairage de réseaux
virtuels, suivez les instructions ci-dessous :
Le trafic de transit par le biais de passerelles VPN Azure est possible à l'aide du modèle
de déploiement classique, mais il s'appuie sur des espaces d'adressage définis de
manière statique dans le fichier de configuration réseau. Le protocole BGP n'est pas
encore pris en charge par les réseaux virtuels et passerelles VPN Azure via le modèle de
déploiement classique. Sans le protocole BGP, la définition manuelle d'espaces
d'adressage de transit peut entraîner des erreurs et n'est donc pas recommandée.
7 Notes
Vous devez configurer les connexions réseau à réseau classiques à l'aide du portail
Azure Classic ou d'un fichier de configuration réseau sur le portail Classic. Vous ne
pouvez pas créer ou modifier un réseau virtuel classique via le modèle de
déploiement Azure Resource Manager ou le portail Azure. Pour plus d'informations
sur l'itinéraire de transit relatif aux réseaux virtuels classiques, consultez le blog des
développeurs Microsoft.
Le trafic de transit par le biais de passerelles VPN Azure est possible à l'aide du modèle
de déploiement classique, mais il s'appuie sur des espaces d'adressage définis de
manière statique dans le fichier de configuration réseau. Le protocole BGP n'est pas
encore pris en charge par les réseaux virtuels et passerelles VPN Azure via le modèle de
déploiement classique. Sans le protocole BGP, la définition manuelle d'espaces
d'adressage de transit peut entraîner des erreurs et n'est donc pas recommandée.
7 Notes
Vous devez configurer les connexions site à site classiques à l'aide du portail Azure
Classic ou d'un fichier de configuration réseau sur le portail Classic. Vous ne pouvez
pas créer ou modifier un réseau virtuel classique via le modèle de déploiement
Azure Resource Manager ou le portail Azure. Pour plus d'informations sur
l'itinéraire de transit relatif aux réseaux virtuels classiques, consultez le blog des
développeurs Microsoft.
Le protocole BGP doit être activé sur l'objet de connexion. Vous pouvez définir la valeur
-EnableBGP sur $True via la cmdlet New-AzureRmVirtualNetworkGatewayConnection ou
Set-AzureRmVirtualNetworkGatewayConnection.
"Asn": AsnNumber,
"PeerWeight": 0
Pour obtenir une haute disponibilité des connexions intersites et réseau à réseau, vous
devez déployer plusieurs passerelles VPN, et établir différentes connexions parallèles
entre vos réseaux et Azure. Pour une vue d'ensemble des options de connectivité et de
topologie, consultez Configuration haute disponibilité pour la connectivité intersites et
réseau à réseau.
Pour créer des connexions intersites et réseau à réseau en mode actif/actif, suivez les
instructions de la section Configurer des connexions VPN S2S en mode actif/actif avec
des passerelles VPN Azure afin de configurer une passerelle VPN Azure en mode
actif/actif.
7 Notes
3. Suivez les étapes de la section Créer la passerelle VPN pour créer la nouvelle
passerelle du type souhaité et terminer l'installation du VPN.
7 Notes
Étapes suivantes
Résolution des problèmes de connectivité entre machines virtuelles Azure
Diagnostiquer un problème de filtre de
trafic réseau sur une machine virtuelle
Article • 09/03/2023 • 14 minutes de lecture
Dans cet article, vous allez apprendre à diagnostiquer un problème de filtre de trafic
réseau en consultant les règles de sécurité du groupe de sécurité réseau (NSG) qui
entrent en vigueur pour une machine virtuelle.
Les groupes de sécurité réseau vous permettent de contrôler les types de trafic
transitant sur une machine virtuelle. Vous pouvez associer un groupe de sécurité réseau
à un sous-réseau dans un réseau virtuel Azure, une interface réseau attachée à une
machine virtuelle, ou les deux. Les règles de sécurité effectives appliquées à une
interface réseau sont une agrégation des règles qui existent dans un NSG associé à
l’interface réseau, et le sous-réseau sur lequel celle-ci se trouve. Les règles dans
différents groupe de sécurité réseau sont parfois en conflit entre elles et peuvent avoir
une incidence sur la connectivité réseau d’une machine virtuelle. Vous pouvez afficher
toutes les règles de sécurité effectives de vos groupes de sécurité réseau, telles
qu’appliquées aux interfaces réseau de votre machine virtuelle. Si vous n’êtes pas
familiarisé avec les concepts de groupe de sécurité réseau, d’interface réseau ou de
réseau virtuel, consultez Vue d’ensemble du réseau virtuel, Interface réseau, et Vue
d’ensemble des groupes de sécurité réseau.
Scénario
Vous essayez de vous connecter à une machine virtuelle via le port 80 à partir d’internet,
mais la connexion échoue. Pour déterminer la raison pour laquelle le port 80 n’est pas
accessible à partir d’internet, vous pouvez afficher les règles de sécurité effectives pour
une interface réseau à l’aide du portail Azure, de PowerShell, ou de Azure CLI.
Les étapes qui suivent supposent que vous avez une machine virtuelle existante dont les
règles de sécurité efficace peuvent être affichées. Si vous ne possédez pas une telle
machine, commencez par déployer une machine virtuelle Linux ou Windows pour
pouvoir accomplir les tâches de cet article. Les exemples contenus dans cet article sont
prévus pour une machine virtuelle nommée myVM, et une interface réseau appelée
myVMVMNic. La machine virtuelle et l’interface réseau se trouvent dans un groupe de
ressources nommé myResourceGroup, et se situent dans la région USA Est. Modifiez les
valeurs dans les étapes, selon le cas, pour la machine virtuelle dont vous analysez le
problème.
Diagnostiquer à l’aide du portail Azure
1. Connectez-vous au portail Azure avec un compte Azure disposant des
autorisations nécessaires.
Les règles répertoriées dans l’image précédente concernent une interface réseau
nommée myVMVMNic. Vous voyez qu’il existe des RÈGLES DE PORT ENTRANT
pour l’interface réseau en provenance de deux groupes de sécurité réseau
différents :
Au bas de l’image, vous voyez également les RÈGLES DE PORT SORTANT. Les
règles de port sortant pour l’interface réseau se trouvent en-dessous. Bien que
l’image montre uniquement quatre règles de trafic entrant pour chaque groupe de
sécurité réseau, vos groupes de sécurité réseau peuvent avoir beaucoup plus de
quatre règles. Dans l’image, vous voyez VirtualNetwork sous SOURCE et
DESTINATION et AzureLoadBalancer sous SOURCE. VirtualNetwork et
AzureLoadBalancer sont des balises de service. Les balises de service représentent
un groupe de préfixes d’adresses IP qui permet de simplifier la création de règles
de sécurité.
Les règles répertoriées sont identiques à celles de l’étape 3, bien qu’il existe
différents onglets pour le groupe de sécurité réseau associé à l’interface réseau et
au sous-réseau. Comme vous pouvez le voir dans l’image, seules les 50 premières
règles sont affichées. Pour télécharger un fichier CSV contenant toutes les règles,
sélectionnez Télécharger.
Pour voir les préfixes représentés par chaque balise de service, sélectionnez une
règle, telle que la règle nommée AllowAzureLoadBalancerInbound. L’illustration
suivante montre les préfixes pour la balise de service AzureLoadBalancer :
5. Les étapes précédentes ont montré les règles de sécurité pour une interface réseau
nommée myVMVMNic, mais vous avez également vu une interface réseau
nommée myVMVMNic2 dans certaines des images précédentes. La machine
virtuelle dans cet exemple a deux interfaces réseau attachées. Les règles de
sécurité effectives peuvent être différentes pour chaque interface réseau.
Pour voir les règles pour l’interface réseau myVMVMNic2, sélectionnez-le. Comme
indiqué dans l’illustration qui suit, l’interface réseau a les mêmes règles associées à
son sous-réseau que l’interface réseau myVMVMNic, car les deux interfaces réseau
sont dans le même sous-réseau. Lorsque vous associez un groupe de sécurité
réseau à un sous-réseau, ses règles sont appliquées à toutes les interfaces réseau
dans le sous-réseau.
Contrairement à l’interface réseau myVMVMNic, l’interface réseau myVMVMNic2
ne dispose pas d’un groupe de sécurité réseau associé. Chaque interface réseau et
sous-réseau peuvent avoir aucun ou un groupe de sécurité réseau associé. Le
groupe de sécurité réseau associé à chaque interface réseau ou sous-réseau peut
être le même ou ils peuvent être différents. Vous pouvez associer le même groupe
de sécurité réseau à toutes les interfaces réseau individuelles et à tous les sous-
réseaux que vous souhaitez.
Bien que les règles de sécurité effectives aient été affichées au moyen de la machine
virtuelle, vous pouvez aussi les consulter avec les éléments individuels suivants :
7 Notes
Vous pouvez exécuter les commandes qui suivent dans Azure Cloud Shell , ou en
exécutant PowerShell à partir de votre ordinateur. Azure Cloud Shell est un interpréteur
de commandes interactif gratuit. Il contient des outils Azure courants préinstallés et
configurés pour être utilisés avec votre compte. Si vous exécutez PowerShell sur votre
ordinateur, vous devez utiliser le module Azure PowerShell version 1.0.0 ou ultérieure.
Exécutez Get-Module -ListAvailable Az sur votre ordinateur pour trouver la version
installée. Si vous devez effectuer une mise à niveau, consultez Installer le module
Azure PowerShell. Si vous exécutez PowerShell localement, vous devez aussi exécuter
Connect-AzAccount pour vous connecter à Azure avec un compte disposant des
autorisations nécessaires.
Obtenez les règles de sécurité effectives pour une interface réseau avec Get-
AzEffectiveNetworkSecurityGroup. L’exemple suivant obtient les règles de sécurité
effectifs d’une interface réseau nommée myVMVMNic, qui se trouve dans un groupe de
ressources appelé myResourceGroup :
Azure PowerShell
Get-AzEffectiveNetworkSecurityGroup `
-NetworkInterfaceName myVMVMNic `
-ResourceGroupName myResourceGroup
La sortie est retournée au format json. Pour comprendre la sortie, consultez Interpréter
la sortie de commande. La sortie est renvoyée uniquement si un groupe de sécurité
réseau est associé à l’interface réseau, le sous-réseau auquel l’interface réseau
appartient, ou les deux. La machine virtuelle doit être en cours d’exécution. Une
machine virtuelle peut avoir plusieurs interfaces réseau à laquelle différents groupes de
sécurité réseau sont appliqués. Lors de la résolution du problème, exécutez la
commande pour chaque interface réseau.
Si vous ignorez le nom d’une interface réseau, mais que vous connaissez le nom de la
machine virtuelle à laquelle l’interface réseau est attachée, les commandes suivantes
retournent les ID de toutes les interfaces réseau attachées à une machine virtuelle :
Azure PowerShell
$VM = Get-AzVM -Name myVM -ResourceGroupName myResourceGroup
$VM.NetworkProfile
Sortie
NetworkInterfaces
-----------------
{/subscriptions/<ID>/resourceGroups/myResourceGroup/providers/Microsoft.Netw
ork/networkInterfaces/myVMVMNic
Obtenez les règles de sécurité effectives d’une interface réseau avec az network nic list-
effective-nsg. L’exemple suivant obtient les règles de sécurité effectives d’une interface
réseau nommée myVMVMNic, qui se trouve dans un groupe de ressources appelé
myResourceGroup :
Azure CLI
La sortie est retournée au format json. Pour comprendre la sortie, consultez Interpréter
la sortie de commande. La sortie est renvoyée uniquement si un groupe de sécurité
réseau est associé à l’interface réseau, le sous-réseau auquel l’interface réseau
appartient, ou les deux. La machine virtuelle doit être en cours d’exécution. Une
machine virtuelle peut avoir plusieurs interfaces réseau à laquelle différents groupes de
sécurité réseau sont appliqués. Lors de la résolution du problème, exécutez la
commande pour chaque interface réseau.
Si vous rencontrez toujours un problème de connectivité, consultez Diagnostic
supplémentaire et Considérations.
Si vous ignorez le nom d’une interface réseau, mais que vous connaissez le nom de la
machine virtuelle à laquelle l’interface réseau est attachée, les commandes suivantes
retournent les ID de toutes les interfaces réseau attachées à une machine virtuelle :
Azure CLI
az vm show \
--name myVM \
--resource-group myResourceGroup
Dans les résultats retournés, vous obtenez des informations similaires à l’exemple
suivant :
Sortie
"networkProfile": {
"additionalProperties": {},
"networkInterfaces": [
{
"additionalProperties": {},
"id":
"/subscriptions/<ID>/resourceGroups/myResourceGroup/providers/Microsoft.Netw
ork/networkInterfaces/myVMVMNic",
"primary": true,
"resourceGroup": "myResourceGroup"
},
Si vous voyez des règles en double répertoriées dans la sortie, cela est dû au fait qu’un
groupe de sécurité réseau est associé à la fois à l’interface réseau et au sous-réseau. Les
deux groupes de sécurité réseau ont les mêmes règles par défaut et peuvent avoir des
règles supplémentaires en double, si vous avez créé vos propres règles identiques pour
les deux groupes de sécurité réseau.
Résoudre un problème
Si vous utilisez le portail Azure, PowerShell, ou Azure CLI pour diagnostiquer le
problème présenté dans le scénario de cet article, la solution consiste à créer une règle
de sécurité réseau avec les propriétés suivantes :
Propriété Valeur
Source Quelconque
Plages de ports de 80
destination
Protocol TCP
Propriété Valeur
Action Allow
Priority 100
Name Allow-HTTP-All
Après avoir créé la règle, le port 80 autorise le trafic entrant à partir d’internet, étant
donné que la priorité de la règle est supérieure à la règle de sécurité par défaut
nommée DenyAllInBound, qui interdit le trafic. Apprenez à créer une règle de sécurité. Si
différents groupes de sécurité réseau sont associés à l’interface réseau et au sous-
réseau, vous devez créer la même règle dans chaque groupe de sécurité réseau.
Lorsque Azure traite le trafic entrant, il traite les règles dans le groupe de sécurité réseau
associé au sous-réseau (s’il existe un groupe de sécurité réseau associé) et il traite
ensuite les règles dans le groupe de sécurité réseau associé à l’interface réseau. S’il
existe un groupe de sécurité réseau associé à l’interface réseau et au sous-réseau, le
port doit être ouvert dans chaque groupe de sécurité réseau, pour que le trafic atteigne
la machine virtuelle. Pour faciliter les problèmes d’administration et de communication,
nous vous recommandons d’associer un groupe de sécurité réseau à un sous-réseau,
plutôt que des interfaces réseau individuelles. Si des machines virtuelles au sein d’un
sous-réseau ont besoin de règles de sécurité différentes, vous pouvez rendre les
interfaces réseau membres d’un groupe de sécurité d’application (ASG) et spécifier un
ASG comme source et destination d’une règle de sécurité. Pour en savoir plus sur les
groupes de sécurité d’application.
Considérations
Lors de la résolution de problèmes de connectivité, considérez les points suivants :
Des règles de sécurité par défaut bloquent l’accès entrant à partir d’internet et
n’autorisent que le trafic entrant à partir du réseau virtuel. Pour autoriser le trafic
entrant à partir d’internet, ajoutez des règles de sécurité avec une priorité plus
élevée que les règles par défaut. En savoir plus sur les règles de sécurité par
défaut, ou comment ajouter une règle de sécurité.
Si vous avez des réseaux virtuels homologues, par défaut, la balise de service
VIRTUAL_NETWORK s’étend automatiquement pour inclure les préfixes des
réseaux virtuels homologues. Pour résoudre des problèmes liés au peering de
réseau virtuel, vous pouvez consulter les préfixes dans la liste
ExpandedAddressPrefix. En savoir plus sur le peering de réseaux virtuels et les
balises de service.
Les règles de sécurité effectives sont uniquement affichées pour une interface
réseau s’il existe un groupe de sécurité réseau associé à l’interface réseau de la
machine virtuelle et/ ou au sous-réseau, et si la machine virtuelle est en cours
d’exécution.
Si aucun groupe de sécurité réseau n’est associé à la carte réseau ou au sous-
réseau, et si une adresse IP publique est affectée à une machine virtuelle, tous les
ports sont ouverts pour les accès entrants et sortants pour toutes les destinations.
Si la machine virtuelle possède une adresse IP publique, nous vous recommandons
d’appliquer un groupe de sécurité réseau au sous-réseau de l’interface réseau.
Diagnostic supplémentaire
Pour exécuter un test rapide pour déterminer si le trafic est autorisé vers ou à
partir d’une machine virtuelle, utilisez la capacité IP flow verify de Azure Network
Watcher. IP Flow Verify vous indique si le trafic est autorisé ou refusé. S’il est
refusé, IP Flow Verify vous indique la règle de sécurité refusant le trafic.
Si aucune règle de sécurité n’est à l’origine d’un échec de connectivité réseau
d’une machine virtuelle, les causes du problème peuvent être les suivantes :
Logiciel de pare-feu s’exécutant à l’intérieur du système d’exploitation de la
machine virtuelle
Itinéraires configurés pour des appliances virtuelles ou un trafic local. Le trafic
Internet peut être redirigé localement vers votre réseau local au moyen d’un
tunneling forcé. Si vous forcez le trafic internet de tunnel vers une appliance
virtuelle ou sur site, vous n’êtes peut-être pas en mesure de vous connecter à la
machine virtuelle à partir d’internet. Pour savoir comment diagnostiquer les
problèmes de routage pouvant entraver le flux du trafic sortant de la machine
virtuelle, consultez Diagnostiquer un problème de routage de trafic réseau de la
machine virtuelle.
Étapes suivantes
En savoir plus sur toutes les tâches, les propriétés et les paramètres pour un
groupe de sécurité réseau et les règles de sécurité.
En savoir plus sur mes règles de sécurité par défaut, les balises de service, et
comment Azure traite les règles de sécurité pour le trafic entrant et sortant pour
une machine virtuelle.
Diagnostiquer un problème de routage
sur une machine virtuelle
Article • 09/03/2023 • 10 minutes de lecture
Scénario
Vous essayez de vous connecter à une machine virtuelle, mais la connexion échoue. Afin
de déterminer la raison pour laquelle vous ne pouvez pas vous connecter à la machine
virtuelle, consultez les itinéraires effectifs d’une interface réseau au moyen du portail
Azure, de PowerShell, ou d’Azure CLI.
Les étapes qui suivent supposent que vous disposez d’une machine virtuelle existante
qui permet d’afficher les itinéraires effectifs. Si vous ne possédez pas une telle machine,
commencez par déployer une machine virtuelle Linux ou Windows pour pouvoir
accomplir les tâches de cet article. Les exemples contenus dans cet article sont prévus
pour une machine virtuelle nommée myVM, et une interface réseau appelée myVMNic1.
La machine virtuelle et l’interface réseau se trouvent dans un groupe de ressources
nommé myResourceGroup, et se situent dans la région USA Est. Modifiez les valeurs dans
les étapes, selon le cas, pour la machine virtuelle dont vous analysez le problème.
S’il existe plusieurs interfaces réseau attachées à la machine virtuelle, vous pouvez
voir les itinéraires effectifs de chaque interface réseau en sélectionnant les
interfaces une à une. Chaque interface réseau pouvant se trouver dans un sous-
réseau différent, ces interfaces peuvent chacune disposer de plusieurs itinéraires
effectifs.
Dans l’exemple de l’image précédente, les itinéraires répertoriés sont les itinéraires
par défaut qu’Azure crée pour chaque sous-réseau. Votre liste contient au moins
ces itinéraires, mais elle peut s’enrichir d’itinéraires supplémentaires, selon les
fonctionnalités que vous avez peut-être activées pour votre réseau virtuel, par
exemple son appairage à un autre réseau virtuel ou sa connexion à votre réseau
local par le biais d’une passerelle VPN Azure. Pour en savoir plus sur chacun de ces
itinéraires, et sur les autres itinéraires pouvant s’afficher pour votre interface
réseau, consultez Routage de trafic de réseaux virtuels. Si votre liste comporte un
grand nombre d’itinéraires, il peut être plus facile de sélectionner Télécharger pour
récupérer un fichier .csv contenant la liste des itinéraires.
Même si dans les étapes précédentes, les itinéraires effectifs ont été affichés à l’aide de
la machine virtuelle, vous pouvez également les voir avec une :
7 Notes
Vous pouvez exécuter les commandes qui suivent dans Azure Cloud Shell , ou en
exécutant PowerShell à partir de votre ordinateur. Azure Cloud Shell est un interpréteur
de commandes interactif gratuit. Il contient des outils Azure courants préinstallés et
configurés pour être utilisés avec votre compte. Si vous exécutez PowerShell sur votre
ordinateur, vous devez utiliser le module Azure PowerShell version 1.0.0 ou ultérieure.
Exécutez Get-Module -ListAvailable Az sur votre ordinateur pour trouver la version
installée. Si vous devez effectuer une mise à niveau, consultez Installer le module
Azure PowerShell. Si vous exécutez PowerShell localement, vous devez aussi exécuter
Connect-AzAccount pour vous connecter à Azure avec un compte disposant des
autorisations nécessaires.
Azure PowerShell
Get-AzEffectiveRouteTable `
-NetworkInterfaceName myVMNic1 `
-ResourceGroupName myResourceGroup `
| Format-Table
Pour comprendre les informations retournées dans le résultat, consultez Vue d’ensemble
du routage. Le résultat n’est retourné que si la machine virtuelle est en cours
d’exécution. S’il existe plusieurs interfaces réseau attachées à la machine virtuelle, vous
pouvez examiner les itinéraires effectifs de chaque interface réseau. Chaque interface
réseau pouvant se trouver dans un sous-réseau différent, ces interfaces peuvent
chacune disposer de plusieurs itinéraires effectifs. Si des problèmes de communication
subsistent, consultez Diagnostic supplémentaire et Considérations.
Si vous ignorez le nom d’une interface réseau, mais que vous connaissez le nom de la
machine virtuelle à laquelle l’interface réseau est attachée, les commandes suivantes
retournent les ID de toutes les interfaces réseau attachées à une machine virtuelle :
Azure PowerShell
PowerShell
NetworkInterfaces
-----------------
{/subscriptions/<ID>/resourceGroups/myResourceGroup/providers/Microsoft.Netw
ork/networkInterfaces/myVMNic1
Obtenez les itinéraires effectifs d’une interface réseau avec az network nic show-
effective-route-table. L’exemple suivant récupère les itinéraires effectifs d’une interface
réseau nommée myVMNic1, qui se trouve dans un groupe de ressources appelé
myResourceGroup :
Azure CLI
Pour comprendre les informations retournées dans le résultat, consultez Vue d’ensemble
du routage. Le résultat n’est retourné que si la machine virtuelle est en cours
d’exécution. S’il existe plusieurs interfaces réseau attachées à la machine virtuelle, vous
pouvez examiner les itinéraires effectifs de chaque interface réseau. Chaque interface
réseau pouvant se trouver dans un sous-réseau différent, ces interfaces peuvent
chacune disposer de plusieurs itinéraires effectifs. Si des problèmes de communication
subsistent, consultez Diagnostic supplémentaire et Considérations.
Si vous ignorez le nom d’une interface réseau, mais que vous connaissez le nom de la
machine virtuelle à laquelle l’interface réseau est attachée, les commandes suivantes
retournent les ID de toutes les interfaces réseau attachées à une machine virtuelle :
Azure CLI
az vm show \
--name myVM \
--resource-group myResourceGroup
Résoudre un problème
En règle générale, la résolution des problèmes de routage englobe les solutions
suivantes :
Ajout d’un itinéraire personnalisé pour remplacer un des itinéraires par défaut
d’Azure. Découvrez comment ajouter un itinéraire personnalisé.
Modification ou suppression d’un itinéraire personnalisé pouvant provoquer le
routage vers un emplacement non souhaité. Découvrez comment modifier ou
supprimer un itinéraire personnalisé.
Vérification de l’association de la table de routage qui contient les itinéraires
personnalisés définis, au sous-réseau dans lequel se trouve l’interface réseau.
Découvrez comment associer une table de routage à un sous-réseau.
Vérification du bon fonctionnement des dispositifs, tels qu’une passerelle VPN
Azure ou des appliances virtuelles de réseau déployées. Utilisez la fonctionnalité
Diagnostics VPN de Network Watcher pour déterminer les problèmes rencontrés
avec une passerelle VPN Azure.
Considérations
Lors de la résolution de problèmes de communication, considérez les points suivants :
Le routage est basé sur le plus long préfixe correspondant parmi les itinéraires que
vous avez définis, le BGP (Border Gateway Protocol) et les itinéraires système. S’il
existe plusieurs itinéraires avec la même correspondance de préfixe le plus long, un
itinéraire est sélectionné en fonction de son origine, selon l’ordre répertorié dans
Vue d’ensemble du routage. Avec les itinéraires effectifs, vous ne pouvez voir que
les itinéraires effectifs présentant une correspondance de préfixe le plus long, par
rapport à tous les itinéraires disponibles. En comprenant comment sont évalués les
itinéraires d’une interface réseau, il est beaucoup plus facile ensuite de résoudre
les problèmes d’itinéraires spécifiques qui peuvent avoir une incidence sur la
communication depuis votre machine virtuelle.
Si vous avez défini des itinéraires personnalisés vers une appliance virtuelle de
réseau, en utilisant Appliance virtuelle comme type de tronçon suivant, assurez-
vous que le transfert IP est activé sur l’appliance virtuelle de réseau recevant le
trafic, sinon les paquets sont ignorés. En savoir plus sur l’activation du transfert IP
pour une interface réseau. Le système d’exploitation, ou l’application dans
l’appliance virtuelle de réseau, doit être également en mesure de transférer le trafic
réseau et être configuré pour cela.
Si vous avez créé un itinéraire vers 0.0.0.0/0, l’intégralité du trafic internet sortant
est acheminé vers le tronçon suivant que vous avez spécifié, par exemple vers une
appliance virtuelle de réseau ou une passerelle VPN. La création d’un itinéraire de
ce type est généralement appelé « tunneling forcé ». Les connexions à distance,
utilisant les protocoles RDP ou SSH depuis internet vers votre machine virtuelle,
peuvent ne pas fonctionner avec cet itinéraire, selon la façon dont le tronçon
suivant gère le trafic. Le tunneling forcé peut être activé :
Lors de l’utilisation du VPN de site à site, en créant un itinéraire avec comme
type de tronçon suivant une passerelle VPN. En savoir plus sur la configuration
du tunneling forcé.
Si un 0.0.0.0/0 (itinéraire par défaut) est publié sur BGP via une passerelle de
réseau virtuel lors de l’utilisation d’un VPN de site à site, ou du circuit
ExpressRoute. En savoir plus sur l’utilisation de BGP avec un VPN de site à site
ou ExpressRoute.
Pour que le trafic d’homologation de réseau virtuel fonctionne correctement, un
itinéraire système, avec comme type de tronçon suivant VNet Peering, doit exister
pour la plage de préfixes du réseau virtuel homologué. S’il n’existe aucune route
de ce type, et si le lien de peering de réseau virtuel est Connecté :
Attendez quelques secondes et réessayez. S’il s’agit d’un lien de peering
récemment établi, il faut parfois plus de temps pour propager les itinéraires à
toutes les interfaces réseau d’un sous-réseau. Pour en savoir plus sur le peering
de réseau virtuel, consultez la Vue d’ensemble du peering de réseau virtuel et la
gestion du peering de réseau virtuel.
Les règles du groupe de sécurité réseau peuvent avoir une incidence sur la
communication. Pour plus d’informations, consultez Diagnostiquer un problème
de filtre de trafic réseau sur une machine virtuelle.
Même si Azure affecte des itinéraires par défaut à chaque interface réseau Azure, si
vous disposez de plusieurs interfaces réseau attachées à la machine virtuelle, seule
l’interface réseau principale se voit attribuer un itinéraire par défaut (0.0.0.0/0), ou
une passerelle, au sein du système d’exploitation de la machine virtuelle.
Découvrez comment créer un itinéraire par défaut pour les interfaces réseau
secondaires attachées à une machine virtuelle Windows ou Linux. Apprenez-en
davantage sur les interfaces réseau principale et secondaire.
Diagnostic supplémentaire
Pour exécuter un test rapide en vue de déterminer le type de tronçon suivant pour
le trafic destiné à un emplacement, utilisez la fonctionnalité Tronçon suivant
d’Azure Network Watcher. Cette fonctionnalité vous renseigne sur le type de
tronçon suivant du trafic destiné à un emplacement spécifié.
Si aucun itinéraire n’est à l’origine de l’échec de la communication réseau d’une
machine virtuelle, le problème peut provenir d’un logiciel de pare-feu s’exécutant
dans le système d’exploitation de la machine virtuelle.
Si vous établissez un trafic de tunneling forcé vers un appareil local par
l’intermédiaire d’une passerelle VPN, ou d’une appliance virtuelle de réseau, il est
possible que vous ne puissiez pas vous connecter à une machine virtuelle depuis
internet, selon la façon dont vous avez configuré le routage pour ces dispositifs.
Vérifiez que le routage configuré pour le dispositif achemine le trafic jusqu’à une
adresse IP publique ou privée pour la machine virtuelle.
Utilisez la fonctionnalité Résolution des problèmes de connexion de Network
Watcher pour déterminer les causes de routage, de filtrage ou les causes internes
au système d’exploitation pouvant être à l’origine des problèmes de
communication sortante.
Étapes suivantes
En savoir plus sur les tâches, les propriétés et les paramètres d’une table de
routage et des itinéraires.
En savoir plus sur tous les types de tronçon suivant, les itinéraires système et sur la
façon dont Azure choisit un itinéraire.
Ressources supplémentaires
Documentation
Configurer une capture de paquets pour les connexions VPN S2S à l’aide du Portail
Azure - Azure Virtual WAN
Découvrir comment configurer la capture de paquets de site à site pour le réseau étendu virtuel
Azure à l’aide du portail
Configurer la capture de paquets pour une passerelle VPN - Azure VPN Gateway
Découvrez la fonctionnalité de capture de paquets que vous pouvez utiliser sur les passerelles VPN
pour cerner plus précisément la cause d’un problème.
Configurer une capture de paquets pour les connexions de site à site Virtual WAN -
Azure Virtual WAN
Découvrez comment effectuer une capture de paquets sur la passerelle VPN site à site Virtual WAN
au moyen de PowerShell.
Configurer le protocole BGP pour une passerelle VPN : Portail - Azure VPN Gateway
Découvrez comment configurer le protocole BGP pour la passerelle VPN Azure à l’aide du Portail
Azure.
Afficher 5 de plus
Entrainement
Module
Introduction au Serveur de routes Azure - Training
Déterminez si le service Serveur de routes Microsoft Azure convient pour résoudre les retards et les
pannes dans la communication réseau.
Certification
Microsoft Certified: Azure Network Engineer Associate - Certifications
Les candidats à cette certification doivent avoir une expertise en matière de planification,
d’implémentation et de gestion des solutions réseau Azure, y compris l’infrastructure réseau
principale, la connectivité hybride, les services de distribution d’applications, l’accès privé aux servic…
Tester un débit réseau de machine
virtuelle à l’aide de NTTTCP
Article • 30/03/2023 • 4 minutes de lecture
Cet article explique comment utiliser l’outil NTTTCP gratuit de Microsoft pour tester une
bande passante réseau et des performances de débit sur des machines virtuelles Azure
Windows ou Linux. Un outil comme NTTTCP cible le réseau à des fins de test et réduit
l’utilisation d’autres ressources susceptibles d’affecter les performances.
Prérequis
Pour tester un débit, vous avez besoin de deux machines virtuelles de même taille pour
qu’elles fonctionnent comme expéditeur et récepteur. Les deux machines virtuelles
doivent se trouver dans le même groupe de placement de proximité ou groupe à haute
disponibilité. Vous pouvez donc utiliser leurs adresses IP internes et exclure des
équilibreurs de charge du test.
7 Notes
Le test à l’aide d’une adresse IP virtuelle (VIP) est possible, mais il dépasse le cadre
de cet article.
Windows
3. Pour confirmer votre configuration, testez un seul flux TCP (Transfer Control
Protocol) pendant 10 secondes en exécutant les commandes suivantes :
7 Notes
Conseil
L’exemple suivant montre une commande pour une machine virtuelle avec
quatre cœurs et une adresse IP de 10.0.0.4 .
Windows
XML
<Endpoints>
<InternalEndpoint name="Endpoint3" protocol="any" />
</Endpoints>
Étapes suivantes
Optimisez le débit du réseau des machines virtuelles Azure.
Bande passante réseau de machine virtuelle.
Tester la latence du réseau des machines virtuelles
FAQ sur les réseaux virtuels Azure
Tester la latence du réseau entre des
machines virtuelles Azure
Article • 28/03/2023 • 6 minutes de lecture
Cet article décrit comment tester la latence du réseau entre des machines virtuelles (VM)
Azure à l’aide des outils disponibles publiquement Latte pour Windows ou SockPerf
pour Linux.
Pour obtenir les résultats les plus précis, vous devez mesurer la latence du réseau des
machines virtuelles (VM) avec un outil conçu pour la tâche et qui exclut d’autres types
de latence, tels que la latence de l’application. Latte et SockPerf fournissent les résultats
de latence du réseau les plus pertinents en se concentrant sur le trafic des protocoles
TCP (Transmission Control Protocol) et UDP (User Datagram Protocol). La plupart des
applications utilisent ces protocoles, et ce trafic a l’effet le plus important sur le niveau
de performance de l’application.
De nombreux autres outils courants de test de latence du réseau, tels que Ping, ne
mesurent pas le trafic TCP ou UDP. Des outils tels que Ping utilisent le protocole ICMP
(Internet Control Message Protocol), que les applications n’utilisent pas. Le trafic ICMP
peut être traité différemment du trafic d’application et n’affecte pas directement le
niveau de performances de l’application. Les résultats des tests ICMP ne s’appliquent
pas directement aux charges de travail qui utilisent TCP et UDP.
Latte et SockPerf mesurent uniquement les délais de livraison de la charge utile TCP ou
UDP. Ces outils utilisent l’approche suivante pour mesurer la latence du réseau entre
deux ordinateurs physiques ou virtuels :
Utilisez les meilleures pratiques suivantes pour tester et analyser la latence du réseau :
2. Testez les effets sur la latence du réseau de la modification de l’un des composants
suivants :
4. Répétez les tests chaque fois que vous observez ou déployez des modifications.
Windows
L’exemple suivant montre la commande pour une machine virtuelle ayant une
adresse IP 10.0.0.4 :
3. Attendez les résultats. Selon l’éloignement des machines virtuelles, le test peut
prendre quelques minutes. Vous pouvez commencer par un nombre inférieur
d'itérations pour vérifier que cela fonctionne avant d'exécuter de plus long
tests.
Étapes suivantes
Réduire la latence avec un groupe de placement de proximité Azure.
Optimiser le débit du réseau des machines virtuelles Azure.
Allouer la bande passante du réseau des machines virtuelles.
Testez la bande passante et le débit.
Pour plus d'informations sur le réseau virtuel Azure, consultez le FAQ du réseau
virtuel Azure.
Résolution des problèmes : Échec de la
suppression d’un réseau virtuel dans
Azure
Article • 25/03/2023 • 3 minutes de lecture
Vous rencontrez peut-être des erreurs lors de vos tentatives de suppression de réseau
virtuel dans Microsoft Azure. Cet article fournit les étapes requises pour vous aider à
résoudre ce problème.
Si le problème que vous rencontrez avec Azure n’est pas traité dans cet article,
parcourez les forums Azure sur Microsoft Q&A et Stack Overflow . Vous pouvez publier
votre problème sur ces forums ou @AzureSupport sur Twitter . Vous pouvez
également envoyer une demande de support Azure. Pour envoyer une demande de
support sur la page Prise en charge Azure , sélectionnez Obtenir de l’aide.
Étapes de dépannage
Pour les réseaux virtuels, accédez à la page Vue d’ensemble du réseau virtuel.
Recherchez la passerelle de réseau virtuel dans les Appareils connectés.
4. Sélectionnez Supprimer.
Si ces étapes ne résolvent pas le problème, utilisez ces commandes Azure CLI pour
nettoyer les ressources.
Vérifier si Azure Active Directory Domain Services est
activé dans le réseau virtuel
Si Active Directory Domain Services est activé et connecté au réseau virtuel, vous ne
pouvez pas supprimer ce dernier.
Pour désactiver le service, consultez la page Désactiver Azure Active Directory Domain
Services à l’aide du Portail Azure.
1. Connexions de passerelle
2. Passerelles
3. Adresses IP
4. Peerings de réseaux virtuels
5. App Service Environment (ASE)
Azure PowerShell
Étapes suivantes
Réseau virtuel Azure
FAQ sur les réseaux virtuels Azure
Résolution des problèmes de
connectivité entre machines virtuelles
Azure
Article • 01/06/2023
Vous pouvez rencontrer des problèmes de connectivité entre machines virtuelles. Cet
article fournit les étapes requises pour vous aider à résoudre ce problème.
Si le problème que vous rencontrez avec Azure n’est pas traité dans cet article,
parcourez les forums Azure sur Microsoft Q&A et Stack Overflow . Vous pouvez publier
votre problème sur ces forums ou @AzureSupport sur Twitter . Vous pouvez
également envoyer une demande de support Azure. Pour envoyer une demande de
support sur la page Prise en charge Azure , sélectionnez Obtenir de l’aide.
Symptôme
Une machine virtuelle Azure ne peut pas se connecter à une autre machine virtuelle
Azure.
Étapes de dépannage
Suivez ces étapes pour résoudre le problème. Après chaque étape, vérifiez si le
problème est résolu.
Étape 1 : Vérifier si la carte réseau est mal configurée
Suivez les étapes de Comment réinitialiser l’interface réseau pour une machine virtuelle
Windows Azure.
Pour plus d’informations, consultez Ajouter ou supprimer des cartes réseau de machines
virtuelles.
Console
netstat –ano
Console
netstat -l
Cet article décrit comment utiliser une zone de recherche inversée dans Azure DNS et
créer un enregistrement DNS inversé (PTR) pour une vérification de bannière SMTP.
Symptôme
Si vous hébergez un serveur SMTP dans Microsoft Azure, vous pouvez recevoir le
message d’erreur suivant quand vous envoyez ou recevez un message à partir de
serveurs de messagerie distants :
Solution
Pour une adresse IP virtuelle dans Azure, les enregistrements inversés sont créés dans
des zones de domaine de Microsoft, pas dans des zones de domaine personnalisées.
Pour configurer les enregistrements PTR dans des zones de domaine de Microsoft,
utilisez la propriété -ReverseFqdn sur la ressource PublicIpAddress. Pour plus
d’informations, consultez Configurer des DNS inversés dans les services hébergés par
Azure.
Sortie
Si vous modifiez manuellement votre bannière SMTP pour qu’elle corresponde à notre
nom de domaine complet inversé par défaut, le serveur de messagerie distant peut
toujours échouer, car il peut s’attendre à ce que l’hôte de la bannière SMPT corresponde
à l’enregistrement MX du domaine.
Problèmes d’appliance virtuelle réseau
dans Azure
Article • 11/05/2023
7 Notes
Un support technique pour appliances virtuelles réseau tierces et leur intégration avec la
plateforme Azure est fourni par le fournisseur de l’appliance virtuelle réseau.
7 Notes
Si le problème que vous rencontrez avec Azure n’est pas traité dans cet article,
parcourez les forums Azure sur Microsoft Q&A et Stack Overflow . Vous pouvez publier
votre problème sur ces forums ou @AzureSupport sur Twitter . Vous pouvez
également envoyer une demande de support Azure. Pour envoyer une demande de
support sur la page Prise en charge Azure , sélectionnez Obtenir de l’aide.
Utiliser PowerShell
2. Exécutez la commande suivante (en remplaçant les valeurs entre crochets par vos
informations) :
PowerShell
4. Si le transfert IP n’est pas activé, exécutez les commandes suivantes pour l’activer :
PowerShell
Vérifiez l’existence d’un groupe de sécurité réseau quand vous utilisez des adresses IP
publiques et une référence SKU Standard Quand vous utilisez une référence SKU
Standard et des adresses IP publiques, il doit y avoir un groupe de sécurité réseau créé
et une règle explicite pour autoriser le trafic vers l’appliance virtuelle réseau.
Pour Windows :
Console
netstat -an
Pour Linux :
Console
2. Si vous ne voyez pas le port TCP utilisé par le logiciel de l’appliance virtuelle réseau
répertorié dans les résultats, vous devez configurer l’application sur l’appliance
virtuelle réseau et la machine virtuelle pour écouter le trafic qui atteint ces ports et
y répondre. Contactez le fournisseur de l’appliance virtuelle réseau au besoin .
Pour Windows
Pour Linux
Si vous voyez les paquets entrants, mais pas de réponse, vous devrez peut-être résoudre
un problème lié au pare-feu ou à l’application de la machine virtuelle. Pour chacun de
ces problèmes, contactez au besoin le fournisseur de l’appliance virtuelle réseau .
Résoudre les problèmes de connectivité
SMTP sortante dans Azure
Article • 15/03/2023 • 2 minutes de lecture
Les e-mails sortants envoyés directement à des domaines externes (comme outlook.com
et gmail.com) à partir d’une machine virtuelle ne sont accessibles qu’à certains types
d’abonnements dans Microsoft Azure.
) Important
L’utilisation de ces services de remise d’e-mails n’est pas limitée dans Azure, quel que
soit le type d’abonnement.
Contrat Entreprise
Pour les machines virtuelles qui sont déployées dans des abonnements Contrat
Entreprise classiques, les connexions SMTP sortantes sur le port TCP 25 ne sont pas
bloquées. Toutefois, il n’y a aucune garantie que les domaines externes accepteront les
e-mails entrants provenant des machines virtuelles. Si vos e-mails sont rejetés ou filtrés
par les domaines externes, vous devez contacter les fournisseurs de services de
messagerie des domaines externes pour résoudre les problèmes. Ces problèmes ne sont
pas couverts par le support Azure.
Pour les abonnements Enterprise Dev/Test, le port 25 est bloqué par défaut. Il est
possible de supprimer ce blocage. Pour demander la suppression du blocage, accédez à
la section Impossible d’envoyer un e-mail (SMTP/Port 25) du panneau Diagnostiquer
et résoudre pour une ressource Réseau virtuel Azure dans le portail Azure et effectuez le
diagnostic. Cela permet d’exempter automatiquement les abonnements qualifiés
Enterprise Dev/Test.
Une fois que l’abonnement est exempté de ce blocage et que les machines virtuelles
sont arrêtées et redémarrées, toutes les machines virtuelles de cet abonnement sont
exemptées. L’exemption s’applique uniquement à l’abonnement demandé et au trafic de
machine virtuelle acheminé directement vers Internet.
Ressources supplémentaires
Documentation
Configurer des zones de recherche inversée pour une vérification de bannière SMTP
Décrit comment configurer des zones de recherche inversée pour une vérification de bannière SMTP
dans Azure
Erreurs courantes et problèmes connus lors de la migration vers Azure Cloud Services
(support étendu)
Vue d’ensemble des erreurs courantes lors de la migration de Cloud Services (classique) vers Cloud
Services (support étendu)
Gérer des jeux d’enregistrements DNS et des enregistrements avec Azure DNS
Azure DNS permet de gérer les jeux d’enregistrements DNS et les enregistrements lors de
l’hébergement de votre domaine.
Afficher 5 de plus
Quelle est l’adresse IP 168.63.129.16 ?
Article • 06/04/2023 • 4 minutes de lecture
L’adresse IP 168.63.129.16 est une adresse IP publique virtuelle qui est utilisée pour
établir un canal de communication vers les ressources de la plateforme Azure. Les clients
peuvent définir n’importe quel espace d'adressage pour leur réseau virtuel privé dans
Azure. Par conséquent, les ressources de la plateforme Azure doivent être présentées en
tant qu’adresse IP publique unique. Cette adresse IP publique virtuelle facilite les
opérations suivantes :
Permet la communication avec le serveur virtuel DNS pour fournir une résolution
de nom filtré aux ressources (machine virtuelle, par exemple) qui ne possèdent pas
de serveur DNS personnalisé. Ce filtrage permet de s’assurer que les clients
peuvent résoudre uniquement les noms d’hôte de leurs ressources.
Donne les moyens aux sondes d’intégrité d’Azure Load Balancer de déterminer
l’état d’intégrité des machines virtuelles.
7 Notes
Dans un scénario de réseau non virtuel (classique), une adresse IP privée est utilisée
à la place de 168.63.129.16. Cette adresse IP privée est détectée dynamiquement
par le biais du protocole DHCP. Les règles de pare-feu spécifiques à 168.63.129.16
doivent être ajustées en conséquence.
7 Notes
Lors de l’exécution des tests suivants, l’action doit être exécutée en tant
qu’Administrateur (Windows) et Racine (Linux) pour garantir des résultats précis.
PowerShell
PowerShell
PowerShell
PowerShell
PowerShell
telnet 168.63.129.16 80 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test-
port80.txt
telnet 168.63.129.16 32526 >> C:\<<EDIT-DIRECTORY>>\168-63-129-16_test--
port32526.txt
PowerShell
Bash
Bash
traceroute -T -p 80 168.63.129.16
traceroute to 168.63.129.16 (168.63.129.16), 30 hops max, 60 byte packets
1 168.63.129.16 (168.63.129.16) 0.974 ms 1.085 ms 1.078 ms
curl http://168.63.129.16/?comp=versions
<?xml version="1.0" encoding="utf-8"?>
<Versions>
<Preferred>
<Version>2015-04-05</Version>
</Preferred>
<Supported>
<Version>2015-04-05</Version>
<Version>2012-11-30</Version>
<Version>2012-09-15</Version>
<Version>2012-05-15</Version>
<Version>2011-12-31</Version>
<Version>2011-10-15</Version>
<Version>2011-08-31</Version>
<Version>2011-04-07</Version>
<Version>2010-12-15</Version>
<Version>2010-28-10</Version>
</Supported>
Étapes suivantes
Groupes de sécurité
Problèmes
Une machine virtuelle Azure déployée à l’aide de Resource Manager ne peut pas
se connecter à une autre machine virtuelle Azure dans le même réseau virtuel.
Une machine virtuelle Azure ne peut pas se connecter à la deuxième carte réseau
d’une machine virtuelle Azure dans le même réseau virtuel.
Une machine virtuelle Azure ne peut pas se connecter à Internet.
Résolution
Conseil
7 Notes
Les règles qui ont un nombre inférieur sont mises en correspondance d’abord. Par
exemple, si vous avez des règles qui ont les priorités 1000 et 6500, la règle qui a la
priorité 1000 sera mise en correspondance en premier.
Pour plus d’informations, consultez Connexion à une machine virtuelle Azure exécutant
Windows.
Linux :
Pour plus d’informations, consultez Connexion à une machine virtuelle Linux dans Azure.
Linux : Vérifier la connectivité avec Azure Network Watcher à l’aide d’Azure CLI 2.0
ConnectionStatus : Unreachable
AvgLatencyInMs :
MinLatencyInMs :
MaxLatencyInMs :
ProbesSent : 100
ProbesFailed : 100
Hops : [
{
"Type": "Source",
"Id": "c5222ea0-3213-4f85-a642-cee63217c2f3",
"Address": "10.1.1.4",
"ResourceId": "/subscriptions/00000000-0000-0000-
0000-000000000000/resourceGrou
ps/ContosoRG/providers/Microsoft.Network/networkInterfaces/appNic0/ipConfigu
rat
ions/ipconfig1",
"NextHopIds": [
"9283a9f0-cc5e-4239-8f5e-ae0f3c19fbaa"
],
"Issues": []
},
{
"Type": "VirtualAppliance",
"Id": "9283a9f0-cc5e-4239-8f5e-ae0f3c19fbaa",
"Address": "10.1.2.4",
"ResourceId": "/subscriptions/00000000-0000-0000-
0000-000000000000/resourceGrou
ps/ContosoRG/providers/Microsoft.Network/networkInterfaces/fwNic/ipConfigura
tio
ns/ipconfig1",
"NextHopIds": [
"0f1500cd-c512-4d43-b431-7267e4e67017"
],
"Issues": []
},
Erreur de socket Non Le port spécifié est déjà utilisé par une autre
applicable application. Essayez d’utiliser un autre port.
Par défaut, les cartes réseau secondaires (également appelées cartes d’interface réseau
ou cartes réseau) ne sont pas configurées pour avoir une passerelle par défaut. Par
conséquent, le flux de trafic sur la carte secondaire sera limité au même sous-réseau.
Si les utilisateurs souhaitent autoriser les cartes réseau secondaires à communiquer en
dehors de leur propre sous-réseau, ils doivent ajouter une entrée à la table de routage
pour configurer la passerelle. Pour cela, procédez comme suit :
1. Sur la machine virtuelle sur laquelle la deuxième carte réseau est configurée,
ouvrez une fenêtre d’invite de commandes en tant qu’administrateur.
3. Exécutez Route Print. Si l’entrée est correctement ajoutée, une entrée semblable à
la suivante s’affiche :
À présent, essayez de vous connecter à la carte réseau secondaire. Si la connexion
échoue, passez à l’étape suivante.
Linux : Vérifier la connectivité avec Azure Network Watcher à l’aide d’Azure CLI 2.0.
ConnectionStatus : Unreachable
AvgLatencyInMs :
MinLatencyInMs :
MaxLatencyInMs :
ProbesSent : 100
ProbesFailed : 100
Hops : [
{
"Type": "Source",
"Id": "c5222ea0-3213-4f85-a642-cee63217c2f3",
"Address": "10.1.1.4",
"ResourceId": "/subscriptions/00000000-0000-0000-
0000-000000000000/resourceGrou
ps/ContosoRG/providers/Microsoft.Network/networkInterfaces/appNic0/ipConfigu
rat
ions/ipconfig1",
"NextHopIds": [
"9283a9f0-cc5e-4239-8f5e-ae0f3c19fbaa"
],
"Issues": []
},
{
"Type": "VirtualAppliance",
"Id": "9283a9f0-cc5e-4239-8f5e-ae0f3c19fbaa",
"Address": "10.1.2.4",
"ResourceId": "/subscriptions/00000000-0000-0000-
0000-000000000000/resourceGrou
ps/ContosoRG/providers/Microsoft.Network/networkInterfaces/fwNic/ipConfigura
tio
ns/ipconfig1",
"NextHopIds": [
"0f1500cd-c512-4d43-b431-7267e4e67017"
],
"Issues": []
},
Une fois que vous avez sélectionné l’option Modifier, l’option « Get » devient
une option Put.
7 Notes
10. Actualisez votre portail. La carte réseau doit être dans un état de réussite.
Étapes suivantes
Résolution des problèmes de connectivité entre machines virtuelles Azure
Superviser le réseau virtuel Azure
Article • 01/06/2023
Lorsque vous avez des applications critiques et des processus métier basés sur des
ressources Azure, vous voulez superviser ces ressources pour connaître leur
disponibilité, leurs performances et leur fonctionnement.
Cet article décrit les données de supervision générées Réseau virtuel Azure. Le réseau
virtuel Azure utilise Azure Monitor. Si vous n’êtes pas familiarisé avec les fonctionnalités
d’Azure Monitor communes à tous les services Azure qui l’utilisent, consultez
Supervision de ressources Azure avec Azure Monitor.
Données de surveillance
Réseau virtuel Azure collecte les mêmes types de données de supervision que d’autres
ressources Azure, lesquelles sont décrites dans Données de supervision de ressources
Azure.
Pour obtenir des informations détaillées sur les métriques et les journaux de métriques
créés par Réseau virtuel Azure, consultez Informations de référence sur les données de
supervision de Réseau virtuel Azure.
Collecte et routage
Les métriques de plateforme et le journal d’activité sont collectés et stockés
automatiquement, mais ils peuvent être acheminés vers d’autres emplacements à l’aide
d’un paramètre de diagnostic.
Les journaux de ressources ne sont pas collectés ni stockés tant que vous n’avez pas
créé un paramètre de diagnostic et que vous ne les acheminez pas vers un ou plusieurs
emplacements.
Pour plus d’informations sur la création d’un paramètre de diagnostic à l’aide du portail
Azure, de l’interface CLI ou de PowerShell, consultez Créer un paramètre de diagnostic
pour collecter des journaux et métriques de plateforme dans Azure. Lorsque vous créez
un paramètre de diagnostic, vous spécifiez les catégories de journaux à collecter. Les
catégories pour Réseau virtuel Azure sont listées dans Informations de référence sur les
données de supervision de Réseau virtuel Azure.
) Important
L’activation de ces paramètres nécessite des services Azure supplémentaires
(compte de stockage, hub d’événements ou Log Analytics), ce qui peut augmenter
vos coûts. Pour calculer un coût estimé, consultez la rubrique Calculatrice de prix
Azure .
Les métriques et les journaux que vous pouvez collecter sont décrits dans les sections
suivantes.
Pour obtenir la liste des métriques de plateforme collectées pour Réseau virtuel Azure,
consultez Analyse des métriques de référence de données de Réseau virtuel Azure.
Pour référence, vous pouvez voir une liste de toutes les métriques de ressources prises
en charge dans Azure Monitor.
Pour obtenir la liste des types de journaux de ressources collectés pour les ressources
d’un réseau virtuel, consultez Informations de référence sur la surveillance des données
du réseau virtuel
Le journal d’activité est un type de journal de plateforme dans Azure qui fournit des
insights de tous les événements de niveau abonnement. Vous pouvez l’afficher
indépendamment ou le router vers Azure Monitor Logs, où vous pouvez effectuer des
requêtes bien plus complexes à l’aide de Log Analytics.
Alertes
Azure Monitor vous avertit de façon proactive lorsque des conditions significatives sont
détectées dans vos données de surveillance. Elles permettent d’identifier et de résoudre
les problèmes affectant votre système avant que vos clients ne les remarquent. Vous
pouvez définir des alertes sur des métriques, sur des journaux et sur le journal d’activité.
Les différents types d’alertes présentent des avantages et des inconvénients.
Étapes suivantes
Pour plus d’informations sur les métriques, les journaux et d’autres valeurs
importantes créées par Réseau virtuel Azure, consultez Surveillance des
informations de référence sur les données de surveillance du réseau virtuel.
Pour plus d’informations sur le monitoring des ressources Azure, voir Monitoring
des ressources Azure avec Azure Monitor.
Migrer un réseau virtuel Azure depuis le
modèle classique vers le modèle
Resource Manager en utilisant Azure
PowerShell
Article • 11/05/2023
Dans cet article, vous allez découvrir comment effectuer une migration depuis le modèle
de déploiement classique vers le nouveau modèle de déploiement Resource Manager.
Une fois la migration terminée, toutes les opérations de gestion doivent être effectuées
avec le modèle Resource Manager. Les opérations de gestion ne sont accessibles que
via le modèle de déploiement Resource Manager. Les changements de ressources de
sous-réseau ou de réseau virtuel ne sont plus disponibles via l’ancien modèle de
déploiement.
Quand vous migrez le réseau virtuel depuis le modèle classique vers le modèle Resource
Manager, les ressources prise en charge au sein du réseau virtuel sont automatiquement
migrées vers le nouveau modèle.
Prérequis
Compte Azure avec un abonnement actif. Créez-en un gratuitement .
Les étapes et les exemples de cet article utilisent le module Azure PowerShell Az.
Pour installer les modules Az en local sur un ordinateur, voir Installer Azure
PowerShell. Pour plus d’informations sur le module Az, voir Présentation du
nouveau module Azure PowerShell Az. Les cmdlets PowerShell sont fréquemment
mises à jour. Si vous n’exécutez pas leur dernière version, les valeurs spécifiées
dans les instructions peuvent échouer. Pour rechercher les versions installées de
PowerShell sur votre système, utilisez l’applet de commande Get-Module -
ListAvailable Az.
Pour migrer un réseau virtuel à l’aide d’une passerelle d’application, supprimez la
passerelle avant d’exécuter une opération de préparation pour déplacer le réseau.
Après avoir effectué la migration, reconnectez la passerelle dans Azure Resource
Manager.
Vérifiez que vous avez installé les modules Azure PowerShell classique et Az
localement sur votre ordinateur. Pour plus d’informations, consultez Installer et
configurer Azure PowerShell.
Les passerelles Azure ExpressRoute se connectant à des circuits ExpressRoute dans
un autre abonnement ne peuvent pas être migrées automatiquement. Dans ces
cas, supprimez la passerelle ExpressRoute, migrez le réseau virtuel et recréez la
passerelle.
Réseaux virtuels classiques avec un groupe à haute disponibilité par service cloud
au maximum.
Réseaux virtuels classiques avec une seule passerelle VPN ou un seul circuit Express
Route.
Azure PowerShell
Connect-AzAccount
Azure PowerShell
Register-AzResourceProvider -ProviderNamespace
Microsoft.ClassicInfrastructureMigrate
Azure PowerShell
Get-AzResourceProvider -ProviderNamespace
Microsoft.ClassicInfrastructureMigrate
7 Notes
L’inscription constitue une étape unique, mais vous devez la faire une fois
avant de tenter la migration. Sans vous inscrire, vous verrez le message
suivant :
Azure PowerShell
Add-AzureAccount
Azure PowerShell
1. Placez le nom du réseau virtuel que vous avez noté dans la section précédente
dans une variable que les commandes peuvent utiliser. Remplacez myVNet par le
nom du réseau virtuel récupéré dans la section précédente :
Azure PowerShell
$vnetname = "myVNet"
2. Validez la possibilité de migrer le réseau virtuel en exécutant la commande
suivante :
Azure PowerShell
7 Notes
Azure PowerShell
Si vous n’êtes pas prêt pour la migration et que vous souhaitez revenir à l’ancien
état, utilisez la commande suivante :
Azure PowerShell
Valider la migration
Si tout semble bon dans la configuration préparée, vous pouvez valider la migration en
exécutant la commande suivante :
Azure PowerShell
Consultez Surveillance du réseau virtuel Azure pour plus d’informations sur la collecte et
l’analyse des données de surveillance des réseaux virtuels Azure.
Mesures
Cette section répertorie toutes les métriques de plateforme collectées automatiquement
pour le réseau virtuel Azure.
Pour plus d’informations, consultez la liste de toutes les métriques de plateforme prises
en charge dans Azure Monitor.
Dimensions de métrique
Pour plus d’informations sur les dimensions de métrique, consultez Métriques
multidimensionnelles.
Direction (Sortie - Direction du flux de trafic. Les valeurs prises en charge sont Entrée et
Entrée) Sortie.
Nom de la dimension Description
Protocole Type de protocole de transport. Les valeurs prises en charge sont TCP
et UDP.
Tables de diagnostic
Réseau virtuel
Journal d’activité
Le tableau suivant répertorie les opérations relatives au réseau virtuel Azure qui peuvent
être créées dans le journal d’activité.
Opération Description
Toutes les opérations Toutes les opérations administratives, dont la création, la mise à jour et
administratives la suppression d’un réseau virtuel Azure.
Pour plus d’informations sur le schéma des entrées du journal d’activité, consultez
Schéma du journal d’activité.
Voir aussi
Pour obtenir une description de la surveillance du réseau virtuel Azure, consultez
Surveillance du réseau virtuel Azure.
Pour plus d’informations sur le monitoring des ressources Azure, voir Monitoring
des ressources Azure avec Azure Monitor.
Commandes de référence Azure CLI
pour Réseau Azure
Article • 08/03/2023 • 4 minutes de lecture
Les commandes Azure CLI pour Réseau Azure se divisent en deux parties : le noyau et
les extensions. Les commandes du noyau d’Azure CLI sont fournies dans le cadre de
l’interface de ligne de commande et sont entièrement prises en charge. Une extension
vous donne accès aux commandes expérimentales et en préversion. Elle est
automatiquement installée la première fois que vous exécutez une référence
d’extension. Pour plus d’informations sur les références d’extension, consultez Utiliser
des extensions avec Azure CLI.
Pour obtenir la liste par ordre alphabétique des références sur les commandes du noyau
et des extensions d’Azure CLI disponibles pour le service Réseau Azure, consultez az
network. Pour obtenir les références de chaque sous-groupe, consultez les tableaux
dans les sections suivantes :
Réseau virtuel
Connectivité WAN et locale
Équilibrage de charge et adresses IP
Sécurité
Monitoring
Liste
7 Notes
Vous êtes invité à installer une référence d’extension lors de la première utilisation.
Vous pouvez également utiliser la commande az extension add pour installer
manuellement une extension.
Carte az network nic Gérer les configurations de point d’accès terminal de Oui
d’interface vtap-config réseau virtuel.
réseau
VPN az network p2s- Gérer les passerelles VPN point à site. Oui
vpn-gateway
Front Door az network front- Gérer les ressources Front Door de mise en Oui
door réseau.
Sous- Informations de Utilisation Est une
groupe référence extension
Références de sécurité
Sous-groupe Informations de Utilisation Est une
référence extension
Service az network Lister les alias de service disponibles dans la région qui
list-service- peuvent être utilisés pour les stratégies de point de
aliases terminaison de service.
Voir aussi
Gérer des machines virtuelles Linux ou Windows avec az vm.
Découvrez les commandes de référence supplémentaires et les extensions
disponibles dans la documentation d’Azure CLI.
Apprendre à utiliser Bash avec Azure CLI
Az.Network
Référence
Cette rubrique affiche des rubriques d’aide pour les applets de commande réseau Azure.
Application Gateway
Add-AzApplicationGatewayAuthenticationCertificate Adds an authentication certificate to an
application gateway.
Get-AzApplicationGatewayAvailableSslOption Gets all available ssl options for ssl policy for
Application Gateway.
New-AzPrivateDnsZoneConfig Creates DNS zone configuration of the private dns zone group.
New-AzPrivateDnsZoneGroup Creates a private DNS zone group in the specified private endpoint.
ExpressRoute
Add-AzExpressRouteCircuitAuthorization Adds an ExpressRoute circuit authorization.
Load Balancer
Add-AzLoadBalancerBackendAddressPoolConfig Adds a backend address pool configuration to a load
balancer.
Get- Get-
AzLoadBalancerBackendAddressInboundNatRulePortMapping AzLoadBalancerBackendAddressInboundNatRulePortMapping
retrieves inbound nat rule port mapping list for one backend
address.
Network Watcher
Get-AzNetworkWatcher Gets the properties of a Network Watcher
Mise en réseau
Add-AzDelegation Adds a delegation to a subnet.
New-AzFirewallPublicIpAddress This is the placeholder for the Ip Address that can be used
for multi pip on azure firewall.
Set-AzVirtualHub Modifies a Virtual Hub to add a Virtual HUb Route Table to it.
Routage
Add-AzRouteConfig Adds a route to a route table.
Get-AzVirtualHubRouteTable Gets a Virtual Hub Route Table in a virtual hub or lists all route tables in a
virtual hub. The cmdlet Get-AzVHubRouteTable is replacing this cmdlet.
New-AzRouteMapRuleActionParameter Create a route map rule action parameter for the rule action.
New-AzVHubRoute Creates a VHubRoute object which can be passed as parameter to the New-
AzVHubRouteTable command.
Remove-AzVirtualHubRouteTable Delete a virtual hub route table resource associated with a virtual hub.
VPN
Add-AzVpnClientRevokedCertificate Adds a VPN client-revocation certificate.
Disconnect-AzP2SVpnGatewayVpnConnection Disconnect given connected vpn client connections with a given p2s vpn
gateway
Get-AzP2sVpnGatewayConnectionHealth Gets the current aggregared point to site connections health information
from P2SVpnGateway.
Get- Gets the detailed information of current point to site connections from
AzP2sVpnGatewayDetailedConnectionHealth P2SVpnGateway.
Get-AzP2sVpnGatewayVpnProfile Generates and returns a SAS url for customer to download Vpn profile for
point to site client setup to have point to site connectivity to
P2SVpnGateway.
Get-AzVirtualWanVpnConfiguration Gets the Vpn configuration for a subset of VpnSites connected to this WAN
via VpnConnections. Uploads the generated Vpn configuration to a
storage blob specified by the customer.
Get-AzVirtualWanVpnServerConfiguration Gets the list of all VpnServerConfigurations that are associated with this
VirtualWan.
Get-AzVpnClientConfiguration Allows users to easily download the Vpn Profile package that was
generated using the New-AzVpnClientConfiguration commandlet.
Get-AzVpnClientIpsecParameter Gets the vpn Ipsec parameters set on Virtual Network Gateway for Point to
site connections.
Get-AzVpnConnection Gets a vpn connection by name or lists all vpn connections connected to a
VpnGateway.
7 Notes
New-AzVpnClientConfiguration This command allows the users to create the Vpn profile package based on
pre-configured vpn settings on the VPN gateway, in addition to some
additional settings that users may need to configure, for e.g. some root
certificates.
New-AzVpnClientIpsecParameter This command allows the users to create the Vpn ipsec parameters object
specifying one or all values such as
IpsecEncryption,IpsecIntegrity,IkeEncryption,IkeIntegrity,DhGroup,PfsGroup
to set on the existing VPN gateway.
New-AzVpnClientIpsecPolicy This command allows the users to create the Vpn ipsec policy object
specifying one or all values such as
IpsecEncryption,IpsecIntegrity,IkeEncryption,IkeIntegrity,DhGroup,PfsGroup
to set on the VPN gateway. This command let output object is used to set
vpn ipsec policy for both new / existing gateway.
Remove-AzVpnClientIpsecParameter Removes Vpn custom ipsec policy set on Virtual Network Gateway
resource.
Set-AzVpnClientIpsecParameter Sets the vpn ipsec parameters for existing virtual network gateway.
b BIEN DÉMARRER
Qu’est-ce qu’Azure ?
Bases d’Azure
Installer Node.js
g DIDACTICIEL
g DIDACTICIEL
Application web statique : Analyser une image avec Vision par ordinateur
Web + Données
f DÉMARRAGE RAPIDE
IA/ML
f DÉMARRAGE RAPIDE
Détection de la langue
Reconnaissance vocale
Synthèse vocale
Analyse d’image
Utiliser des bibliothèques clientes Azure (SDK)
b BIEN DÉMARRER
Exemples de navigateur
Guides du développeur
b BIEN DÉMARRER
Outils de développeur
b BIEN DÉMARRER
Terminal Windows
Un réseau virtuel Azure (VNet) est une représentation de votre propre réseau dans le
cloud. Il s’agit d’un isolement logique du cloud Azure dédié à votre abonnement. Vous
pouvez contrôler complètement les blocs d’adresses IP, les paramètres DNS, les
stratégies de sécurité et les tables de routage de ce réseau. Pour obtenir une vue
d’ensemble plus détaillée, consultez la page produit Azure Réseau virtuel .
DDoS Protection Plans Fournit des opérations pour la gestion des plans de
protection DDos.
Cartes d’interface réseau Fournit des opérations pour la gestion des cartes d’interface
réseau.
Groupes de sécurité réseau Fournit des opérations pour la gestion des groupes de
sécurité réseau.
Règles de sécurité réseau Fournit des opérations pour la gestion des règles de sécurité
réseau.
Réseaux virtuels Fournit des opérations pour la gestion des réseaux virtuels.
Tables de routage Fournit des opérations pour la gestion des tables de routage.
Réseau virtuel Peerings Fournit des opérations pour la gestion des peerings Réseau
virtuel.
Vérifier la disponibilité du nom Fournit une opération pour vérifier la disponibilité du nom
DNS DNS.
Cet article répertorie les versions disponibles pour chaque type de ressource.
Pour obtenir la liste des modifications apportées à chaque version de l’API, consultez
journal des modifications
applicationGatewayAvailableSslOptions 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
applicationGatewayAvailableSslOptions/predefinedPolicies 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
applicationGateways 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
applicationGateways/privateEndpointConnections 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
ApplicationGatewayWebApplicationFirewallPolicies 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
applicationSecurityGroups 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
azureFirewalls 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
bastionHosts 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
cloudServiceSlots 2022-07-01
2022-05-01
Types Versions
connections 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
customIpPrefixes 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
ddosCustomPolicies 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
ddosProtectionPlans 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
dscpConfigurations 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
expressRouteCircuits 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
expressRouteCircuits/authorizations 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
expressRouteCircuits/peerings 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
expressRouteCircuits/peerings/connections 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
expressRouteCircuits/peerings/peerConnections 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
expressRouteCrossConnections 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
expressRouteCrossConnections/peerings 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
expressRouteGateways 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
expressRouteGateways/expressRouteConnections 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
ExpressRoutePorts 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
expressRoutePorts/authorizations 2022-07-01
2022-05-01
2022-01-01
2021-08-01
ExpressRoutePorts/liens 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
ExpressRoutePortsLocations 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
expressRouteProviderPorts 2022-07-01
2022-05-01
2022-01-01
firewallPolicies 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
firewallPolicies/ruleCollectionGroups 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
firewallPolicies/signatureOverrides 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
IpAllocations 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
ipGroups 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
loadBalancers 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
loadBalancers/backendAddressPools 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
loadBalancers/frontendIPConfigurations 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
loadBalancers/inboundNatRules 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
loadBalancers/loadBalancingRules 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
loadBalancers/outboundRules 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
loadBalancers/probes 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
localNetworkGateways 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
managementGroups/networkManagerConnections 2021-05-01-preview
natGateways 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
networkInterfaces 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
networkInterfaces/ipConfigurations 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
networkInterfaces/tapConfigurations 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
networkManagerConnections 2022-07-01
2022-05-01
2022-04-01-preview
2022-02-01-preview
2022-01-01
2021-05-01-preview
networkManagers 2022-07-01
2022-05-01
2022-04-01-preview
2022-02-01-preview
2022-01-01
2021-05-01-preview
2021-02-01-preview
networkManagers/connectivityConfigurations 2022-07-01
2022-05-01
2022-04-01-preview
2022-02-01-preview
2022-01-01
2021-05-01-preview
2021-02-01-preview
networkManagers/networkGroups 2022-07-01
2022-05-01
2022-04-01-preview
2022-02-01-preview
2022-01-01
2021-05-01-preview
2021-02-01-preview
networkManagers/networkGroups/staticMembers 2022-07-01
2022-05-01
2022-04-01-preview
2022-02-01-preview
2022-01-01
2021-05-01-preview
networkManagers/scopeConnections 2022-07-01
2022-05-01
2022-04-01-preview
2022-02-01-preview
2022-01-01
2021-05-01-preview
Types Versions
networkManagers/securityAdminConfigurations 2022-07-01
2022-05-01
2022-04-01-preview
2022-02-01-preview
2022-01-01
2021-05-01-preview
2021-02-01-preview
networkManagers/securityAdminConfigurations/ruleCollections 2022-07-01
2022-05-01
2022-04-01-preview
2022-02-01-preview
2022-01-01
2021-05-01-preview
2021-02-01-preview
networkManagers/securityAdminConfigurations/ruleCollections/rules 2022-07-01
2022-05-01
2022-04-01-preview
2022-02-01-preview
2022-01-01
2021-05-01-preview
2021-02-01-preview
networkManagers/securityUserConfigurations 2022-04-01-preview
2022-02-01-preview
2021-05-01-preview
2021-02-01-preview
networkManagers/securityUserConfigurations/ruleCollections 2022-04-01-preview
2022-02-01-preview
2021-05-01-preview
2021-02-01-preview
networkManagers/securityUserConfigurations/ruleCollections/rules 2022-04-01-preview
2022-02-01-preview
2021-05-01-preview
2021-02-01-preview
networkProfiles 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
networkSecurityGroups 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
networkSecurityGroups/defaultSecurityRules 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
networkSecurityGroups/securityRules 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
networkSecurityPerimeters 2021-03-01-preview
2021-02-01-preview
networkSecurityPerimeters/linkReferences 2021-02-01-preview
networkSecurityPerimeters/links 2021-02-01-preview
networkSecurityPerimeters/profiles 2021-02-01-preview
networkSecurityPerimeters/profiles/accessRules 2021-02-01-preview
networkSecurityPerimeters/resourceAssociations 2021-02-01-preview
networkVirtualAppliances 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
networkVirtualAppliances/inboundSecurityRules 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
networkVirtualAppliances/virtualApplianceSites 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
networkVirtualApplianceSkus 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
networkWatchers 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
networkWatchers/connectionMonitors 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
networkWatchers/flowLogs 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
networkWatchers/packetCaptures 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
p2svpnGateways 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
privateEndpoints 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
privateEndpoints/privateDnsZoneGroups 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
privateLinkServices 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
privateLinkServices/privateEndpointConnections 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
publicIPAddresses 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
publicIPPrefixes 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
routeFilters 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
routeFilters/routeFilterRules 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
routeTables 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
routeTables/routes 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
securityPartnerProviders 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
serviceEndpointPolicies 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
serviceEndpointPolicies/serviceEndpointPolicyDefinitions 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
virtualHubs 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
virtualHubs/bgpConnections 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
virtualHubs/hubRouteTables 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
virtualHubs/hubVirtualNetworkConnections 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
virtualHubs/ipConfigurations 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
virtualHubs/routeMaps 2022-07-01
2022-05-01
virtualHubs/routeTables 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
virtualHubs/routingIntent 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
virtualNetworkGateways 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
virtualNetworkGateways/natRules 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
Types Versions
virtualNetworks 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
virtualNetworks/subnets 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
virtualNetworks/virtualNetworkPeerings 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
virtualNetworkTaps 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
virtualRouters 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
virtualRouters/peerings 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
virtualWans 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
vpnGateways 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
vpnGateways/natRules 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
vpnGateways/vpnConnections 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Types Versions
vpnGateways/vpnConnections/vpnLinkConnections 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
vpnServerConfigurations 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
vpnServerConfigurations/configurationPolicyGroups 2022-07-01
2022-05-01
2022-01-01
2021-08-01
vpnSites 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
vpnSites/vpnSiteLinks 2022-07-01
2022-05-01
2022-01-01
2021-08-01
2021-05-01
2021-03-01
2021-02-01
2020-11-01
Définitions intégrées d’Azure Policy
pour Réseau virtuel Azure
Article • 09/06/2023
Cette page est un index des définitions de stratégie intégrées d’Azure Policy pour Azure
Virtual Network. Pour obtenir des éléments intégrés supplémentaires d’Azure Policy
pour d’autres services, consultez Définitions intégrées d’Azure Policy.
[Préversion] : Cette stratégie audite Container Registry s’il Audit, Désactivé 1.0.0-
[Préversion] : n’est pas configuré pour utiliser un point de preview
Container terminaison de service de réseau virtuel.
Registry doit
utiliser un point
de terminaison de
service de réseau
virtuel
Nom Description Effet(s) Version
(Portail Azure) (GitHub)
Une stratégie Cette stratégie garantit que toutes les Audit, Désactivé 1.0.0
IPsec/IKE connexions de passerelle de réseau virtuel
personnalisée Azure utilisent une stratégie IPsec (Internet
doit être Protocol Security)/IKE (Internet Key
appliquée à Exchange). Algorithmes et forces de clé pris
toutes les en charge - https://aka.ms/AA62kb0
connexions de
passerelle de
réseau virtuel
Azure
Toutes les Auditez les ressources du journal de flux Audit, Désactivé 1.0.1
ressources du pour vérifier si l’état du journal de flux est
journal de flux activé. L’activation des journaux de flux
doivent être en permet de consigner des informations sur
état activé le trafic IP circulant. Il peut être utilisé pour
optimiser les flux réseau, surveiller le débit,
vérifier la conformité, détecter les
intrusions, etc.
Les passerelles Cette stratégie garantit que les passerelles Audit, Désactivé 1.0.0
VPN Azure ne VPN n’utilisent pas de référence SKU « de
doivent pas base ».
utiliser la
référence SKU
« de base »
Azure Web Déployez Azure Web Application Firewall Audit, Refuser, 1.0.2
Application (WAF) devant les applications web Désactivé
Firewall doit être publiques pour bénéficier d’un contrôle
activé pour les supplémentaire du trafic entrant. Web
points d’entrée Application Firewall (WAF) offre une
Azure Front protection centralisée de vos applications
Door web contre les codes malveillants
exploitant une faille de sécurité et les
vulnérabilités telles que les injections de
code SQL, le scripting inter-site, les
exécutions de fichiers locales et à distance.
Vous pouvez également restreindre l’accès
à vos applications web par pays, plages
d’adresses IP et autres paramètres http(s)
par le biais de règles personnalisées.
Nom Description Effet(s) Version
(Portail Azure) (GitHub)
Configurer les Vous pouvez activer Traffic Analytics pour DeployIfNotExists, 1.2.0
groupes de tous les groupes de sécurité réseau Désactivé
sécurité réseau hébergés dans une région particulière avec
pour activer les paramètres fournis durant la création de
Traffic Analytics la stratégie. Si Traffic Analytics est déjà
activé, la stratégie ne remplace pas ses
paramètres. Les journaux de flux sont
également activés pour les groupes de
sécurité réseau qui n’en disposent pas.
Traffic Analytics est une solution cloud qui
offre une visibilité de l’activité des
utilisateurs et des applications dans vos
réseaux cloud.
Nom Description Effet(s) Version
(Portail Azure) (GitHub)
Cosmos DB doit Cette stratégie audite Cosmos DB s’il n’est Audit, Désactivé 1.0.0
utiliser un point pas configuré pour utiliser un point de
de terminaison de terminaison de service de réseau virtuel.
service de réseau
virtuel
Nom Description Effet(s) Version
(Portail Azure) (GitHub)
Event Hub doit Cette stratégie audite Event Hub s’il n’est AuditIfNotExists, 1.0.0
utiliser un point pas configuré pour utiliser un point de Désactivé
de terminaison de terminaison de service de réseau virtuel.
service de réseau
virtuel
Nom Description Effet(s) Version
(Portail Azure) (GitHub)
Les journaux de Auditez les groupes de sécurité réseau pour Audit, Désactivé 1.1.0
flux doivent être vérifier si les journaux de flux sont
configurés pour configurés. Activer les journaux de flux
chaque groupe permet de consigner des informations sur
de sécurité le trafic IP circulant dans un groupe de
réseau sécurité réseau. Il peut être utilisé pour
optimiser les flux réseau, surveiller le débit,
vérifier la conformité, détecter les
intrusions, etc.
Les journaux de Auditez les réseaux virtuels pour vérifier si Audit, Désactivé 1.0.0
flux doivent être les journaux de flux sont configurés.
configurés pour L’activation des journaux de flux permet de
chaque réseau consigner des informations sur le trafic IP
virtuel circulant dans un réseau virtuel. Il peut être
utilisé pour optimiser les flux réseau,
surveiller le débit, vérifier la conformité,
détecter les intrusions, etc.
Key Vault doit Cette stratégie audite Key Vault s’il n’est Audit, Désactivé 1.0.0
utiliser un point pas configuré pour utiliser un point de
de terminaison de terminaison de service de réseau virtuel.
service de réseau
virtuel
Migrer WAF de la Si vous disposez d’une configuration WAF Audit, Refuser, 1.0.0
configuration plutôt que d’une stratégie WAF, vous Désactivé
WAF vers la pouvez éventuellement passer à la nouvelle
stratégie WAF sur stratégie WAF. À l’avenir, la stratégie de
Application pare-feu prendra en charge les paramètres
Gateway de stratégie WAF, les ensembles de règles
managés, les exclusions et les groupes de
règles désactivés.
Les interfaces Cette stratégie refuse les interfaces réseau deny 1.0.0
réseau doivent qui permettaient le transfert IP. Le
désactiver le paramètre de transfert IP désactive la
transfert IP vérification par Azure de la source et de la
destination d’une interface réseau. Il doit
être examiné par l’équipe de sécurité
réseau.
Les interfaces Cette stratégie refuse les interfaces réseau deny 1.0.0
réseau ne doivent configurées avec une adresse IP publique.
pas avoir Les adresses IP publiques permettent aux
d’adresses IP ressources Internet de communiquer avec
publiques les ressources Azure et aux ressources
Azure de communiquer avec Internet. Il
doit être examiné par l’équipe de sécurité
réseau.
Traffic Analytics L’analyse de trafic examine les journaux de Audit, Désactivé 1.0.1
doit être activé flux pour fournir des informations sur le flux
pour les journaux de trafic de votre cloud Azure. Il peut être
de flux Network utilisé pour visualiser l’activité réseau de
Watcher vos abonnements Azure ainsi que pour
identifier les points d’accès, identifier les
menaces de sécurité, comprendre les
modèles de flux de trafic, identifier les
problèmes de configuration réseau, etc.
Nom Description Effet(s) Version
(Portail Azure) (GitHub)
SQL Server doit Cette stratégie audite tout serveur SQL AuditIfNotExists, 1.0.0
utiliser un point Server non configuré pour utiliser un point Désactivé
de terminaison de de terminaison de service de réseau virtuel.
service de réseau
virtuel
Les comptes de Cette stratégie audite les comptes de Audit, Désactivé 1.0.0
stockage doivent stockage non configurés pour utiliser un
utiliser un point point de terminaison de service de réseau
de terminaison de virtuel.
service de réseau
virtuel
Les machines Cette stratégie audite les machines Audit, Refuser, 1.0.0
virtuelles doivent virtuelles connectées à un réseau virtuel Désactivé
être connectées à non approuvé.
un réseau virtuel
approuvé
Nom Description Effet(s) Version
(Portail Azure) (GitHub)
Les réseaux Protégez vos réseaux virtuels contre les Modifier, Audit, 1.0.0
virtuels doivent attaques volumétriques et de protocole Désactivé
être protégés par avec Azure DDoS Protection Standard. Pour
Azure DDoS plus d’informations, consultez
Protection https://aka.ms/ddosprotectiondocs .
Standard
Les réseaux Cette stratégie audite les réseaux virtuels si AuditIfNotExists, 1.0.0
virtuels doivent la route par défaut ne pointe pas vers la Désactivé
utiliser la passerelle de réseau virtuel spécifiée.
passerelle de
réseau virtuel
spécifiée
Web Application L’activation de toutes les règles de Web Audit, Refuser, 1.0.1
Firewall (WAF) Application Firewall (WAF) renforce la Désactivé
doit activer toutes sécurité de votre application et protège vos
les règles de applications web contre les vulnérabilités
pare-feu pour courantes. Pour en savoir plus sur Web
Application Application Firewall (WAF) avec Application
Gateway Gateway, visitez https://aka.ms/waf-ag
Balises
Nom Description Effet(s) Version
(Portail Azure) (GitHub)
Ajouter une Ajoute l’étiquette indiquée avec sa valeur du groupe de append 1.0.0
étiquette et sa ressources lors de la création ou de la mise à jour d’une
valeur à partir ressource à laquelle cette étiquette manque. Ne modifie
du groupe de pas les étiquettes des ressources créées avant
ressources l’application de cette stratégie, tant que ces ressources
ne sont pas modifiées. De nouvelles stratégies d’effet de
« modification » sont disponibles pour prendre en
charge la remédiation des étiquettes sur les ressources
existantes (voir https://aka.ms/modifydoc ).
Hériter d’une Ajoute l’étiquette indiquée avec sa valeur du groupe de modify 1.0.0
étiquette du ressources parent lors de la création ou de la mise à jour
groupe de d’une ressource à laquelle cette étiquette manque. Il est
ressources en possible de corriger des ressources existantes en
cas d’absence déclenchant une tâche de correction. Si l’étiquette existe
avec une valeur différente, elle n’est pas modifiée.
Exiger une Applique une étiquette obligatoire avec sa valeur aux deny 1.0.0
étiquette et sa groupes de ressources.
valeur sur les
groupes de
ressources
Exiger une Applique une balise requise et sa valeur. Ne s’applique deny 1.0.1
étiquette et sa pas aux groupes de ressources.
valeur sur les
ressources
Nom Description Effet(s) Version
(Portail Azure) (GitHub)
Exiger une Applique l’existence d’une étiquette sur des groupes de deny 1.0.0
étiquette sur les ressources.
groupes de
ressources
Exiger une Applique l’existence d’une étiquette. Ne s’applique pas deny 1.0.1
étiquette sur les aux groupes de ressources.
ressources
Nécessite que Refuse la création d’une ressource qui contient la balise Audit, 1.0.0
les ressources donnée. Ne s’applique pas aux groupes de ressources. Refuser,
n’ont pas de Désactivé
balise
spécifique.
Général
Nom Description Effet(s) Version
(Portail Azure) (GitHub)
Types de Cette stratégie vous permet de spécifier les types de deny 1.0.0
ressources ressources que votre organisation peut déployer. Seuls
autorisés les types de ressources prenant en charge « tags » et
« location » sont affectés par cette stratégie. Pour
restreindre toutes les ressources, dupliquez cette
stratégie et affectez à « mode » la valeur « All ».
Nom Description Effet(s) Version
(Portail Azure) (GitHub)
Auditer Auditer des rôles intégrés tels que « Propriétaire, Audit, 1.0.1
l'utilisation des contributeur, lecteur » au lieu des rôles RBAC Désactivé
rôles RBAC personnalisés, qui sont susceptibles d’engendrer des
personnalisés erreurs. L’utilisation de rôles personnalisés est traitée
comme une exception et nécessite un contrôle
rigoureux et la modélisation des menaces
Types de Limitez les types de ressources qui peuvent être Audit, 2.0.0
ressources non déployés dans votre environnement. La limitation des Refuser,
autorisés types de ressources peut réduire la complexité et la Désactivé
surface d’attaque de votre environnement, tout en
aidant à gérer les coûts. Les résultats de conformité
s’affichent uniquement pour les ressources non
conformes.
Étapes suivantes
Consultez les définitions intégrées dans le dépôt Azure Policy de GitHub .
Consultez la Structure de définition Azure Policy.
Consultez la page Compréhension des effets de Policy.
FAQ sur les réseaux virtuels Azure
Article • 25/03/2023 • 41 minutes de lecture
Créez un réseau virtuel dédié uniquement au cloud privé. Vous n’avez pas toujours
besoin d’une configuration intersite pour votre solution. Lorsque vous créez un
réseau virtuel, vos services et les machines virtuelles au sein de votre réseau virtuel
peuvent communiquer directement et en toute sécurité dans le cloud. Vous
pouvez encore configurer des connexions au point de terminaison pour les
machines virtuelles et les services qui requièrent une communication Internet dans
le cadre de votre solution.
Étendez votre centre de données en toute sécurité. Avec les réseaux virtuels, vous
pouvez créer des VPN site à site (S2S) traditionnels pour faire évoluer en toute
sécurité la capacité de votre centre de données. Les VPN S2S utilisent le protocole
IPSEC pour fournir une connexion sécurisée entre votre passerelle VPN d’entreprise
et Azure.
Activez les scénarios de cloud hybride. Les réseaux virtuels vous donnent la
possibilité de prendre en charge une variété de scénarios de nuage hybride. Vous
pouvez connecter en toute sécurité des applications informatiques à n’importe
quel type de système local, comme les ordinateurs centraux et les systèmes Unix.
Comment faire pour démarrer ?
Consultez la Documentation Réseau virtuel pour commencer. Ce document fournit des
informations de présentation et de déploiement pour toutes les fonctionnalités du
réseau virtuel.
Configuration
Portail Azure
PowerShell
Azure CLI
Fichier de configuration réseau (netcfg - pour les réseaux virtuels classiques
uniquement). Consultez l’article Configurer un réseau virtuel à l’aide d’un fichier de
configuration réseau.
D’autres espaces d’adressage, y compris tous les autres espaces d’adressage privés et
non routables reconnus par IETF, peuvent fonctionner, mais ils peuvent avoir des effets
secondaires indésirables.
224.0.0.0/4 (multidiffusion)
255.255.255.255/32 (diffusion)
127.0.0.0/8 (bouclage)
169.254.0.0/16 (lien-local)
168.63.129.16/32 (DNS interne)
Il existe une limitation aux 100 premiers services cloud du réseau virtuel pour la
résolution de nom inter-clients à l’aide du serveur DNS fourni par Azure. Si vous utilisez
votre propre serveur DNS, cette restriction ne s’applique pas.
Sécurité
Powershell
$Allvnet = Get-AzVirtualNetwork
$time = 4 #The value should be between 4 and 30 minutes (inclusive) to
enable tracking, or null to disable tracking. $null to disable.
ForEach ($vnet in $Allvnet)
{
$vnet.FlowTimeoutInMinutes = $time
$vnet | Set-AzVirtualNetwork
}
Le portail Azure pour déployer des réseaux virtuels via les modèles de déploiement
Azure Resource Manager et classique.
PowerShell pour gérer les réseaux virtuels déployés via les modèles de
déploiement Resource Manager et classique.
Azure CLI ou Azure Classic CLI pour déployer et gérer les réseaux virtuels déployés
via les modèles de déploiement Resource Manager et classique.
Vous pouvez vous connecter à ces ressources via ExpressRoute ou une connexion entre
deux réseaux virtuels, par l’intermédiaire de passerelles de réseau virtuel.
La première étape est une opération qui s’effectue côté réseau et la deuxième côté
ressources de service. Ces deux étapes peuvent être effectuées par le même
administrateur ou par des administrateurs différents en fonction des autorisations Azure
RBAC accordées au rôle d’administrateur. Nous vous recommandons d’activer les points
de terminaison de service pour votre réseau virtuel avant de configurer les ACL du
réseau virtuel côté service Azure. Ces étapes doivent donc être effectuées dans l’ordre
indiqué ci-dessus pour configurer les points de terminaison de service de réseau virtuel.
7 Notes
Vous ne pouvez pas limiter l’accès au service Azure au réseau virtuel et sous-réseau
autorisés avant d’avoir effectué les deux opérations ci-dessus. La simple activation
des points de terminaison du service Azure côté réseau ne vous permet pas de
définir un accès limité. En outre, vous devez également configurer les ACL du
réseau virtuel côté service Azure.
Certains services (comme Azure SQL et Azure Cosmos DB) autorisent des exceptions à la
séquence ci-dessus avec l’indicateur IgnoreMissingVnetServiceEndpoint . Une fois
l’indicateur défini sur True , les ACL du réseau virtuel peuvent être définies côté service
Azure avant la configuration des points de terminaison de service côté réseau. Les
services Azure fournissent cet indicateur pour aider les clients lorsque des pare-feu IP
spécifiques sont configurés sur les services Azure et que l’activation des points de
terminaison de service côté réseau peut entraîner une baisse de connectivité, car
l’adresse IP source passe d’une adresse IPv4 publique à une adresse privée. La
configuration des ACL du réseau virtuel sur le service Azure avant la définition des
points de terminaison de service côté réseau peut éviter une baisse de connectivité.
Azure Cosmos DB 64
7 Notes
Connectivité site à site avec une passerelle VPN connectée à un emplacement local
Connectivité multisite