Partager via


Topologie de mise en réseau Azure classique

Important

Essayez l’expérience topologie, qui offre une visualisation des ressources Azure pour faciliter la gestion des inventaires et la surveillance des réseaux à grande échelle. Utilisez la fonctionnalité de topologie pour visualiser les ressources et leurs dépendances à travers les abonnements, les régions et les emplacements.

Cet article décrit les principales considérations et recommandations en matière de conception pour les topologies de réseau dans Microsoft Azure. Le diagramme suivant présente une topologie de réseau Azure traditionnelle :

Diagramme illustrant une topologie de réseau Azure traditionnelle.

Considérations sur la conception

  • Diverses topologies de réseau permettent de connecter plusieurs réseaux virtuels de zone d’atterrissage. Les topologies hub-and-spoke, full-mesh et hybrides sont des exemples de topologies de réseau. Vous pouvez également avoir plusieurs réseaux virtuels connectés via plusieurs circuits ou connexions Azure ExpressRoute.

  • Les réseaux virtuels ne peuvent pas franchir les limites des abonnements. Toutefois, vous pouvez utiliser l’appairage de réseaux virtuels, un circuit ExpressRoute ou des passerelles VPN pour réaliser la connectivité entre les réseaux virtuels de différents abonnements.

  • Le peering de réseaux virtuels est la méthode recommandée pour connecter des réseaux virtuels dans Azure. Vous pouvez utiliser le peering de réseaux virtuels pour connecter des réseaux virtuels dans la même région, dans différentes régions Azure et entre différents locataires Microsoft Entra.

  • L’appairage de réseaux virtuels et l’appairage de réseaux virtuels global ne sont pas transitifs. Pour activer un réseau de transit, vous avez besoin de routes définies par l’utilisateur (UDR) et d’appliances virtuelles réseau. Pour plus d’informations, consultez topologie de réseau hub-and-spoke dans Azure.

  • Vous pouvez partager un plan Azure DDoS Protection entre tous les réseaux virtuels d’un même locataire Microsoft Entra pour protéger les ressources qui ont des adresses IP publiques. Pour plus d’informations, consultez Protection DDoS.

  • Vous pouvez utiliser des circuits ExpressRoute pour établir la connectivité entre réseaux virtuels au sein de la même région géopolitique ou utiliser le module complémentaire Premium pour la connectivité dans plusieurs régions géopolitiques. Gardez à l’esprit les points suivants :

    • Le trafic réseau à réseau risque d’avoir une latence plus importante, car il doit effectuer un virage en épingle sur les routeurs MSEE (Microsoft Enterprise Edge).

    • La référence SKU de passerelle ExpressRoute limite la bande passante.

    • Déployez et gérez des UDR si vous avez besoin d’en inspecter ou d’en journaliser pour le trafic entre les réseaux virtuels.

  • Les passerelles VPN avec le protocole BGP (Border Gateway Protocol) sont transitives au sein d’Azure et des réseaux locaux, mais elles ne fournissent pas d’accès transitif aux réseaux connectés par ExpressRoute par défaut. Si vous avez besoin d’un accès transitif aux réseaux connectés via ExpressRoute, utilisez le Serveur de routes Azure.

  • Quand vous connectez plusieurs circuits ExpressRoute au même réseau virtuel, utilisez des pondérations de connexion et des techniques BGP afin d’optimiser le chemin du trafic entre les réseaux locaux et Azure. Pour plus d’informations, voir Optimiser le routage ExpressRoute.

Si vous utilisez les métriques BGP pour influencer le routage ExpressRoute, vous devez modifier la configuration en dehors de la plateforme Azure. Votre organisation ou votre fournisseur de connectivité doivent configurer les routeurs locaux en conséquence.

  • Des circuits ExpressRoute avec des modules complémentaires Premium offrent une connectivité globale.

  • ExpressRoute a certaines limites, notamment un nombre maximum de connexions ExpressRoute pour chaque passerelle ExpressRoute. De plus, le peering privé ExpressRoute a une limite maximale pour le nombre d’itinéraires qu’il peut identifier entre Azure et les sites locaux. Pour plus d’informations, consultez Limites d’ExpressRoute.

  • Le débit agrégé maximal d’une passerelle VPN est de 10 Gbits/s (gigabits par seconde). Une passerelle VPN prend en charge jusqu’à 100 tunnels site à site ou réseau à réseau.

  • Si un NVA fait partie de l’architecture, utilisez le Serveur de routes pour simplifier le routage dynamique entre votre NVA et votre réseau virtuel. Utilisez le Serveur de routes pour échanger des informations de routage directement via BGP entre n’importe quel NVA qui prend en charge BGP et le réseau à définition logicielle Azure (SDN) dans le réseau virtuel Azure. Avec cette approche, vous n’avez pas besoin de configurer ou de gérer manuellement les tables de routage.

Recommandations de conception

  • Envisagez une conception réseau basée sur la topologie de réseau hub-and-spoke traditionnelle pour les scénarios suivants :

    • Une architecture réseau déployée au sein d’une seule région Azure.

    • Une architecture réseau qui s’étend sur plusieurs régions Azure et n’a pas besoin d’une connectivité transitive entre réseaux virtuels pour les zones d’atterrissage dans les régions.

    • Une architecture réseau qui s’étend sur plusieurs régions Azure et le peering global de réseaux virtuels qui peut connecter des réseaux virtuels entre les régions Azure.

    • Aucune connectivité transitive n’est nécessaire entre les connexions VPN et ExpressRoute.

    • La méthode de connectivité hybride principale en place est ExpressRoute, et le nombre de connexions VPN est inférieur à 100 par passerelle VPN.

    • Il existe une dépendance au niveau des appliances réseau virtuelles centralisées et du routage granulaire.

  • Pour les déploiements régionaux, utilisez principalement la topologie hub-and-spoke avec un hub régional pour chaque région Azure spoke. Utilisez des réseaux virtuels de zone d’atterrissage d’applications qui utilisent l’appairage de réseaux virtuels pour se connecter à un réseau virtuel hub central régional pour les scénarios suivants :

    • Connectivité entre sites via ExpressRoute activée dans deux sites de peering différents. Pour plus d’informations, consultez Conception et architecture ExpressRoute pour la résilience.

    • Un VPN pour la connectivité de branche.

    • Connectivité de rayon à rayon par l’intermédiaire des NVA et des UDR.

    • Protection du trafic Internet sortant via le pare-feu Azure ou un autre NVA non Microsoft.

  • Le diagramme suivant montre la topologie de réseau en étoile. Utilisez cette configuration pour assurer un contrôle approprié du trafic et répondre à la plupart des exigences en matière de segmentation et d’inspection.

    Diagramme illustrant une topologie de réseau en étoile.

  • Utilisez la topologie avec plusieurs réseaux virtuels connectés via plusieurs circuits ExpressRoute à différents sites d’appairage si :

    • Vous avez besoin d’un niveau élevé d’isolation. Pour plus d’informations, consultez Conception et architecture ExpressRoute pour la résilience.

    • Vous avez besoin d’une bande passante ExpressRoute dédiée pour des unités commerciales spécifiques.

    • Vous atteignez le nombre maximal de connexions pour chaque passerelle ExpressRoute. Pour déterminer le nombre maximum, consultez Limites d’ExpressRoute.

  • Le diagramme qui suit montre cette topologie :

    Diagramme montrant plusieurs réseaux virtuels connectés avec plusieurs circuits ExpressRoute.

  • Pour le peering à double hébergement dans la même ville, envisagez d'utiliser ExpressRoute Metro.

  • Déployez un Pare-feu Azure ou des appliances virtuelles réseau de partenaires dans le réseau virtuel hub central pour la protection et le filtrage du trafic est-ouest ou sud-nord.

  • Déployez un ensemble de services minimaux partagés, incluant des passerelles ExpressRoute, des passerelles VPN (si nécessaire) et un Pare-feu Azure, ou des appliances virtuelles réseau de partenaires (si nécessaire) dans le réseau virtuel hub central. Si nécessaire, déployez également des contrôleurs de domaine Active Directory et des serveurs DNS.

  • Déployez un plan standard de protection DDoS unique dans l’abonnement de connectivité. Utilisez ce plan pour tous les réseaux virtuels de la zone d’atterrissage et de la plateforme.

  • Utilisez votre réseau existant, un réseau MPLS (Multiprotocol Label Switching) et un réseau SD-WAN pour connecter les emplacements des différents sites au siège social de l’entreprise. Si vous n’utilisez pas le Serveur de routes, alors vous ne disposez pas de la prise en charge du transit dans Azure entre les connexions ExpressRoute et les passerelles VPN.

  • Déployez un Pare-feu Azure ou des appliances virtuelles réseau de partenaires pour la protection et le filtrage du trafic est-ouest ou sud-nord dans le réseau virtuel hub central.

  • Lorsque vous déployez des technologies de mise en réseau de partenaires ou des appliances virtuelles réseau, suivez les instructions du fournisseur partenaire pour vérifier les points suivants :

    • Le fournisseur prend en charge le déploiement.

    • Le guide prend en charge la haute disponibilité et des performances maximales.

    • Il n’existe pas configurations en conflit avec la mise en réseau Azure.

  • Ne déployez pas d’appliances virtuelles réseau entrantes de couche 7 (par exemple, Azure Application Gateway) en tant que service partagé dans le réseau virtuel hub central. Au lieu de cela, déployez-les en même temps que l’application dans leurs zones d’atterrissage respectives.

  • Déployez un plan de protection standard DDoS unique dans l’abonnement de connectivité.

    • Tous les réseaux virtuels de la zone d’atterrissage et de la plateforme doivent utiliser ce plan.
  • Utilisez votre réseau existant, un réseau MPLS (Multiprotocol Label Switching) et un réseau SD-WAN pour connecter les emplacements des différents sites au siège social de l’entreprise. Si vous n’utilisez pas le Serveur de routes, il n’y a pas de prise en charge du transit dans Azure entre ExpressRoute et les passerelles VPN.

  • Si vous avez besoin d’une transitivité entre les passerelles ExpressRoute et VPN dans un scénario hub-and-spoke, utilisez le Serveur de routes. Pour plus d’informations, consultez Prise en charge de Serveur de routes pour ExpressRoute et Azure VPN.

    Diagramme illustrant la transitivité entre les passerelles ExpressRoute et VPN avec le Serveur de routes.

  • Lorsque vous disposez de réseaux hub-and-spoke dans plusieurs régions Azure et que vous devez connecter quelques zones d’atterrissage entre les régions, utilisez l’appairage de réseaux virtuels global. Vous pouvez connecter directement les réseaux virtuels de la zone d’atterrissage qui doivent acheminer le trafic les uns aux autres. En fonction de la référence SKU de l’ordinateur virtuel qui communique, l’appairage global de réseaux virtuels peut fournir un débit réseau élevé. Le trafic qui passe entre des réseaux virtuels de zone d’atterrissage appairés directement contourne les appliances virtuelles réseau au sein des réseaux virtuels hubs. Les limitations du peering de réseaux virtuels global s’appliquent au trafic.

  • Lorsque vous disposez de réseaux hub-and-spoke dans plusieurs régions Azure et que vous devez connecter la plupart des zones d’atterrissage entre les régions, utilisez des NVA de hub pour connecter les réseaux virtuels de hub de chaque région entre eux et pour acheminer le trafic entre les régions. Vous pouvez également utiliser cette approche si vous ne pouvez pas utiliser le peering direct pour contourner les NVA de hub en raison d’une incompatibilité avec vos exigences de sécurité. L’appairage global de réseaux virtuels ou les circuits ExpressRoute peuvent aider à connecter des réseaux virtuels hub comme suit :

    • L’appairage global de réseaux virtuels fournit une connexion à latence faible et à débit élevé, mais génère des frais de trafic.

    • Si vous acheminez le trafic via ExpressRoute, vous risquez d’augmenter la latence en raison de l’aiguillage MSEE. La référence SKU de la passerelle ExpressRoute sélectionnée limite le débit.

Le diagramme suivant présente les options de connectivité de hub à hub :

Diagramme illustrant les options de connectivité de hub à hub.

  • Lorsque vous devez connecter deux régions Azure, utilisez l’appairage de réseaux virtuels global pour connecter les réseaux virtuels hub de chaque région.

  • Utilisez une architecture de réseau de transit global géré qui est basée sur Azure Virtual WAN si votre organisation :

    • A besoin d’architectures de réseau hub-and-spoke dans plus de deux régions Azure.

    • A besoin d’une connectivité de transit globale entre les réseaux virtuels de zones d’atterrissage entre les régions Azure.

    • Veut réduire les frais généraux de gestion du réseau.

  • Lorsque vous devez connecter plus de deux régions Azure, nous recommandons que les réseaux virtuels hub de chaque région se connectent aux mêmes circuits ExpressRoute. L’appairage de réseaux virtuels global vous oblige à gérer un grand nombre de relations d’appairage et un ensemble complexe d’UDR dans plusieurs réseaux virtuels. Le diagramme suivant montre comment connecter des réseaux en étoile dans trois régions :

    Diagramme illustrant ExpressRoute fournissant une connectivité de hub à hub entre plusieurs régions.

  • Lorsque vous utilisez des circuits ExpressRoute pour la connectivité entre régions, les rayons des différentes régions communiquent directement et contournent le pare-feu, car ils apprennent par les routes BGP à rejoindre les rayons du hub distant. Si vous avez besoin que les appliances virtuelles réseau du pare-feu dans les réseaux virtuels hubs inspectent le trafic entre les rayons, vous devez implémenter l’une de ces options :

    • Créez des entrées d’itinéraire plus spécifiques dans les itinéraires définis par l’utilisateur (UDR) des spokes pour le pare-feu dans le réseau virtuel du hub local afin de rediriger le trafic entre les hubs.

    • Pour simplifier la configuration de l’itinéraire, désactivez la propagation BGP sur les tables de routage de spokes.

  • Quand votre organisation nécessite des architectures de réseau en étoile sur plus de deux régions Azure et une connectivité de transit global entre les zones d’atterrissage des réseaux virtuels dans les régions Azure, et que vous souhaitez réduire les efforts de gestion du réseau, nous vous recommandons une architecture du réseau de transit global managée basée sur Virtual WAN.

  • Déployez les ressources réseau hub de chaque région dans des groupes de ressources distincts et classez-les par région déployée.

  • Utilisez Azure Virtual Network Manager pour gérer la connectivité et la configuration de sécurité des réseaux virtuels globalement sur les abonnements.

  • Utilisez Azure Monitor Network Insights pour surveiller l’état de bout en bout de vos réseaux sur Azure.

  • Vous devez tenir compte des deux limites suivantes quand vous connectez des réseaux virtuels rayons au réseau virtuel hub central :

    • Nombre maximal de connexions d’appairage de réseaux virtuels par réseau virtuel.

    • Le nombre maximal de préfixes qu’ExpressRoute avec peering privé publie entre Azure et le réseau local.

    • Vérifiez que le nombre de réseaux virtuels spoke connectés au réseau virtuel hub n’excède pas ces limites.

Étape suivante