Comment fonctionne la passerelle VPN Azure
Vous pouvez déployer une seule passerelle VPN dans chaque réseau virtuel. Même si vous êtes limité à une seule passerelle VPN, vous pouvez la configurer pour qu’elle se connecte à plusieurs emplacements, notamment à d’autres réseaux virtuels Azure ou à des centres de données locaux.
Notes
Une passerelle de réseau virtuel est composée de deux ou plusieurs machines virtuelles spéciales qui sont déployées sur un sous-réseau spécifique appelé sous-réseau de passerelle. Les machines virtuelles de passerelle de réseau virtuel hébergent les tables de routage et exécutent des services de passerelle spécifiques. Ces machines virtuelles qui constituent la passerelle sont créées lorsque vous créez la passerelle de réseau virtuel et sont gérées automatiquement par Azure sans nécessiter aucune intervention de l’administrateur.
Types de passerelle VPN
Quand vous configurez une passerelle de réseau virtuel, vous sélectionnez un paramètre qui spécifie le type de passerelle. Le type de passerelle détermine la manière dont la passerelle de réseau virtuel est utilisée et les actions qu’elle exécute. Le type de passerelle Vpn spécifie que le type de passerelle de réseau virtuel créé est un VPN gateway. Ceci la distingue d’une passerelle ExpressRoute, qui utilise un type de passerelle différent. Un réseau virtuel Azure peut avoir deux passerelles de réseau virtuel : une passerelle VPN et une passerelle ExpressRoute.
Il existe deux types de passerelle VPN Azure :
- Passerelle VPN basée sur des stratégies
- Passerelle VPN basée sur le routage
Passerelles VPN basées sur des stratégies
Les passerelles VPN basées sur des stratégies vous demandent de spécifier un ensemble fixe d’adresses IP de paquets qui doivent être chiffrés via chaque tunnel. Ce type d’appareil évalue chaque paquet de données par rapport à ces ensembles fixes d’adresses IP, puis choisit le tunnel à travers lequel il enverra ce trafic.
Les principales fonctionnalités des passerelles VPN basées sur une stratégie dans Azure sont les suivantes :
- Prise en charge d’IKEv1 uniquement
- Utilisation du routage statique
La source et la destination des réseaux tunnelés sont déclarées dans la stratégie VPN et n’ont pas besoin d’être déclarées dans des tables de routage. Utilisez les VPN basés sur des stratégies uniquement dans des scénarios spécifiques qui en ont besoin, par exemple pour la compatibilité avec les appareils VPN locaux hérités.
Passerelles VPN basées sur des routes
Avec les passerelles VPN Azure basées sur des routes, un tunnel IPsec fonctionne comme une interface réseau ou une interface de tunnel virtuel (VTI, virtual tunnel interface). Le routage IP (routages statiques ou protocoles de routage dynamique) détermine les interfaces de tunnel qui transmettent chaque paquet. Les VPN basés sur le routage sont la méthode de connexion recommandée pour les appareils locaux parce qu’ils sont plus résilients aux changements de topologie, par exemple lors de la création de nouveaux sous-réseaux. Un VPN basé sur des routes convient beaucoup mieux à Adatum, car il permet d’établir des connexions aux ressources Azure IaaS sur des réseaux virtuels si de nouveaux sous-réseaux sont ajoutés sans avoir à reconfigurer la passerelle VPN Azure.
Utilisez une passerelle VPN basée sur une route si vous avez besoin des types de connectivité suivants :
- Connexion entre réseaux virtuels
- Connexions point à site
- Connexions multisites
- Coexistence avec une passerelle Azure ExpressRoute
Voici les principales fonctionnalités des passerelles VPN basées sur un itinéraire dans Azure :
- Prise en charge d’IKEv2
- Utilisation de sélecteurs de trafic universels (génériques)
- Possibilité d’utiliser des protocoles de routage dynamique, où les tables de routage/transfert dirigent le trafic vers différents tunnels IPsec
Quand la configuration est d’utiliser un routage dynamique, les réseaux source et de destination ne sont pas définis de manière statique parce qu’ils se trouvent dans des VPN basés sur des stratégies, ou même parfois dans des VPN basés sur des routes avec routage statique. Les paquets de données sont chiffrés en fonction de tables de routage réseau créées dynamiquement selon des protocoles de routage comme le protocole BGP (Border Gateway Protocol).
Les passerelles VPN Azure prennent uniquement en charge l’utilisation de la méthode d’authentification par clé prépartagée. Les deux types de VPN basés sur des routes et basés sur des stratégies s’appuient également sur le protocole IKE (Internet Key Exchange) version 1 ou version 2, et le protocole IPSec (Internet Protocol Security). IKE permet de configurer une association de sécurité (un accord de chiffrement) entre deux points de terminaison. Cette association est ensuite transmise à la suite IPsec, qui chiffre et déchiffre les paquets de données encapsulés dans le tunnel VPN.
Tailles de la passerelle VPN Azure
Lorsque vous créez une passerelle de réseau virtuel, vous devez spécifier une référence SKU de passerelle. Vous devez sélectionner une référence SKU qui répond à vos besoins en fonction des types de charge de travail, du débit, des fonctionnalités et des contrats SLA.
| Références SKU de passerelle - Génération1 | Nombre maximal de tunnels VPN de site à site | Débit agrégé | Prise en charge de BGP |
|---|---|---|---|
| De base | 10 | 100 Mbits/s | Non pris en charge |
| VpnGw1/Az | 30 | 650 Mbits/s | Pris en charge |
| VpnGw2/Az | 30 | 1 Gbit/s | Pris en charge |
| VpnGw3/Az | 30 | 1,25 Gbits/s | Pris en charge |
Ce tableau montre les références SKU Génération1. Lorsque vous utilisez des références SKU Génération1, vous pouvez migrer entre les références SKU VpnGw1, VpnGw2 et VpnGw3, si nécessaire. Vous ne pouvez pas migrer à partir de la référence SKU De base sans supprimer et redéployer la passerelle VPN. Vous pouvez également créer des passerelles VPN avec les références SKU Génération 2. Pour obtenir les informations les plus récentes sur les références SKU, le débit et les fonctionnalités prises en charge, reportez-vous aux liens dans la section Résumé de ce module.
Configuration requise de la passerelle VPN
Les ressources Azure suivantes doivent être présentes pour pouvoir déployer une passerelle VPN opérationnelle :
- Réseau virtuel : Réseau virtuel Azure avec suffisamment d’espace d’adressage pour le sous-réseau supplémentaire dont vous avez besoin pour la passerelle VPN. L’espace d’adressage de ce réseau virtuel ne doit pas chevaucher le réseau local auquel vous allez être connecté.
- GatewaySubnet : Sous-réseau appelé GatewaySubnet pour la passerelle VPN. Nécessite au moins un masque d’adresse /27. Ce sous-réseau ne peut pas être utilisé pour d’autres services.
- Adresse IP publique : Adresse IP publique dynamique avec la référence SKU De base si vous utilisez une passerelle qui ne prend pas en charge les zones. Cette adresse fournit une adresse IP routable publique comme cible pour votre appareil VPN local. Cette adresse IP est dynamique, mais elle ne change pas, sauf si vous supprimez et recréez la passerelle VPN.
- Passerelle de réseau local : Créez une passerelle de réseau local pour définir la configuration du réseau local : où et à quoi se connecte la passerelle VPN. Cette configuration inclut l’adresse IPv4 publique de l’appareil VPN local et les réseaux routables locaux. Ces informations sont utilisées par la passerelle VPN pour router les paquets qui sont destinés aux réseaux locaux via le tunnel IPsec.
Quand ces composants prérequis sont présents, vous pouvez créer la passerelle de réseau virtuel pour router le trafic entre le réseau virtuel et le centre de données local ou d’autres réseaux virtuels. Une fois la passerelle de réseau virtuel déployée, vous pouvez créer une ressource de connexion pour créer une connexion logique entre la passerelle VPN et la passerelle de réseau local :
- La connexion est établie sur l’adresse IPv4 de l’appareil VPN local, comme défini par la passerelle de réseau local.
- La connexion est établie à partir de la passerelle de réseau virtuel et son adresse IP publique associée.
Vous pouvez configurer plusieurs connexions, jusqu’à la limite définie par la référence SKU, pour chaque passerelle VPN Azure.
Haute disponibilité
Même si vous ne voyez qu’une seule ressource de passerelle VPN dans Azure, les passerelles VPN sont déployées comme deux instances dans une configuration de type actif/de secours. Quand une maintenance planifiée ou une interruption non planifiée affecte l’instance active, l’instance de secours prend automatiquement en charge les connexions sans intervention de l’utilisateur ou de l’administrateur. Les connexions sont interrompues pendant ce basculement, mais sont généralement restaurées au bout de quelques secondes pour la maintenance planifiée et de 90 secondes pour les interruptions non planifiées.
Les passerelles VPN Azure prennent en charge le protocole de routage BGP, qui vous permet également de déployer des passerelles VPN dans une configuration de type actif/actif. Dans cette configuration, vous attribuez une adresse IP publique unique à chaque instance. Ensuite, vous créez des tunnels distincts à partir de l’appareil local pour chaque adresse IP. Vous pouvez étendre la haute disponibilité en déployant un autre appareil VPN local.
Notes
De nombreuses organisations qui ont des connexions ExpressRoute ont également déployé des connexions VPN de site à site pour une couche supplémentaire de redondance.