fbpx

Principes fondamentaux de la mise en réseau d’Azure

10/01/2022 in Microsoft Azure



Principes fondamentaux de la mise en réseau d’Azure

Principes fondamentaux de la mise en réseau d’Azure

Qu’est-ce qu’un VNet ?

Un réseau virtuel, ou VNet, est un réseau isolé au sein du cloud Microsoft Azure. Un VNet dans Azure offre une gamme de fonctions de mise en réseau comparables à celles du cloud privé virtuel (VPC) d’AWS. Ces fonctions comprennent le DNS, le routage, la personnalisation des blocs DHCP, le contrôle d’accès, la connectivité entre les machines virtuelles (VM) et les réseaux privés virtuels (VPN).
Un VNet Azure est la représentation d’un réseau dans le cloud et constitue une isolation logique du cloud Azure dédiée à un abonnement. En arrière-plan, il s’agit d’une abstraction logicielle d’un réseau qui se superpose à l’infrastructure d’Azure pour assurer l’isolation des ressources extérieures au VNet, ce qui en fait pratiquement un réseau privé. Mais cela ne signifie pas que le VNet ne peut pas être connecté. Il peut être relié à d’autres VNets dans Azure ou à une infrastructure sur site connectée pour créer des systèmes hybrides. Sur le plan opérationnel, un VNet suit les principes communs de routage IP pour connecter les ressources à l’intérieur. Ainsi, il doit être associé à un ou plusieurs espaces d’adressage (CIDR), qui peuvent être segmentés en sous-réseaux, au sein desquels les ressources résideront.
Les VNets peuvent être utilisés pour :

  • Créer un VNet privé dédié, réservé au cloud, pour permettre aux services et aux VM du VNet de communiquer directement et en toute sécurité dans le cloud.
  • Étendre de manière sécurisée un centre de données, en créant des VPN traditionnels de site à site (S2S), afin de faire évoluer la capacité de manière sécurisée.
  • Déployer des clouds hybrides en connectant de manière sécurisée des applications basées sur le cloud à des systèmes sur site.

Les principaux composants d’Azure VNets sont les suivants :

  • Sous-réseaux : Divisez un VNet en sous-réseaux ou configurez des tables de routage et des groupes de sécurité réseau (NSG) pour un sous-réseau.
  • Adresses IP : Attribuez des adresses IP publiques ou privées à un VNet Azure.
    o Utilisez l’adresse IP publique pour les communications avec le public. Une IP dynamique sera attribuée.
    o Utilisez l’adresse IP privée pour la connectivité au sein d’un VNet lorsque vous utilisez une passerelle VPN ou ExpressRoute. Une IP dynamique est attribuée par défaut, mais une IP statique peut également être attribuée.
  • Groupes de sécurité du réseau (NSG) : Permet d’autoriser ou de refuser le trafic, via des règles, vers un sous-réseau ou une interface réseau.
  • Pare-feu : Azure offre un service de pare-feu géré qui permet de définir des politiques de connectivité L3-7 pour un contrôle granulaire de ce qui entre et sort du réseau.
  • Équilibrage de la charge : Les trois solutions d’équilibrage de charge proposées par Azure sont les suivantes :
    o Azure Traffic Manager – comparable à Route53 dans AWS
    o Azure Load Balancer
    o Azure Application Gateway
  • Tables de routage : Comme pour le routage général, chaque fois que le trafic doit quitter un sous-réseau, il a besoin d’une fonction de routage pour transmettre les paquets à d’autres sous-réseaux et réseaux. Un routeur utilise pour cela une table de routage, dont la configuration est exposée dans Azure pour une configuration personnalisée. La table de routage peut contenir des règles qui définissent l’endroit où le trafic doit être envoyé, c’est-à-dire un réseau virtuel, une passerelle de réseau virtuel ou une machine virtuelle. Une route définie par l’utilisateur, ou UDR, peut être utilisée pour transférer le trafic vers un VNet différent. Il s’agit d’un outil puissant pour établir une connexion entre les hubs.

Aperçu d’Azure VNet

Les ressources dans le nuage Azure, telles que les VM, nécessitent toujours une certaine forme de solution réseau pour communiquer avec d’autres ressources. Bien qu’il soit possible de disposer d’un réseau géant par client du cloud, cela limiterait considérablement la flexibilité des cas d’utilisation du cloud. Il est nécessaire de disposer d’une construction logique à laquelle les ressources sont liées. Comme tout passe par un réseau, on utilise généralement un espace réseau virtuel dans le nuage. Pour Azure, il s’agit du réseau virtuel Azure ou VNet. Il permet à de nombreux types de ressources Azure de résider dans un VNet, comme les machines virtuelles Azure (VM). Un VNet peut également être décomposé en un ou plusieurs sous-réseaux. Il peut alors leur permettre de communiquer de manière sécurisée entre eux, avec l’Internet et avec les réseaux locaux. Le champ d’application d’un réseau virtuel est une seule région ; toutefois, plusieurs réseaux virtuels de différentes régions peuvent être reliés entre eux par l’appairage de réseaux virtuels, comme illustré ci-dessous :

Principes fondamentaux

Le réseau virtuel Azure offre les fonctionnalités importantes suivantes :
Isolation et segmentation.
Vous pouvez déployer plusieurs réseaux virtuels au sein de chaque abonnement et de chaque région Azure. Chaque réseau virtuel est isolé des autres réseaux virtuels par défaut.

  • Spécifiez un espace d’adressage IP privé grâce aux adresses publiques et privées (RFC 1918). Azure attribue une adresse IP privée aux ressources d’un réseau virtuel à partir de l’espace d’adressage que vous attribuez.
  • Segmentez le réseau virtuel en un ou plusieurs sous-réseaux et attribuez une partie de l’espace d’adressage du réseau virtuel pour chaque sous-réseau.
  • Utilisez la résolution de nom fournie par Azure ou spécifiez votre propre serveur DNS à utiliser par les ressources connectées à un réseau virtuel.
    Politique de sécurité et de contrôle du trafic
    Vous pouvez filtrer le trafic réseau entre les sous-réseaux en utilisant l’une ou les deux options suivantes :

Politique de sécurité et de contrôle du trafic
Vous pouvez filtrer le trafic réseau entre les sous-réseaux en utilisant l’une ou les deux options suivantes :

  • Groupes de sécurité du réseau (NSG) : Les groupes de sécurité réseau, NSG en abrégé, sont un conteneur du jeu de règles qui contient un ou plusieurs jeux de règles qui dictent quel type de trafic est autorisé à arriver et à quitter les ressources. Chaque règle individuelle peut avoir une source, une destination, un protocole et une action. La source et la destination peuvent être une adresse IP, un VNet ou un groupe de sécurité des applications.
  • Groupe de sécurité des applications (ASG) : Les ASG permettent de définir la source/destination en fonction d’une étiquette, plutôt que de l’adresse IP/réseau. Un ASG en soi n’est pas réellement un groupe de règles, mais plutôt une définition arbitraire qui peut être appliquée aux ressources, comme “AppServer”, “DataBase”, “myApp”, etc. Cette définition peut ensuite être utilisée dans une règle à l’intérieur d’un NSG. Cette définition peut ensuite être utilisée dans une règle au sein d’un NSG. Ceci est utile lorsqu’une règle doit être appliquée à des ressources en fonction de leur objectif, plutôt que de leur IP CIDR, ce qui offre une plus grande flexibilité dans l’application de la politique.
  • Pare-feu géré par Azure : Azure fournit un pare-feu géré qui contrôle le trafic entre le VNet et internet. Ce pare-feu est destiné à protéger les conversations tournées vers Internet. Il est important de noter que ce pare-feu a besoin de son propre sous-réseau et qu’il achemine le trafic vers d’autres ressources en utilisant le routage interne.
  • Appliance de réseau virtuel : En option, pour l’intégration de solutions tierces, une appliance de réseau virtuel peut être insérée dans un VNet. Cette appliance est une machine virtuelle qui exécute une fonction réseau, telle qu’un pare-feu, une optimisation WAN ou toute autre fonction réseau. Pour consulter la liste des applications de réseau virtuel qui peuvent être déployées dans un réseau virtuel, voir Azure Marketplace.

VPN avec VNet

Il est très courant, voire omniprésent, de devoir faire en sorte que les ressources du cloud se connectent à des ressources sur site ou à d’autres ressources du cloud. Pour ce faire, il faut normalement mettre en place un réseau privé virtuel (VPN) entre les deux environnements. Comme mentionné précédemment, Azure VNet prend également en charge la connectivité VPN. Une telle connectivité peut être établie entre différents VNets, ou d’un VNet à On-premises comme le montre l’image ci-dessous.

Azure prend en charge différents modes VPN, tels que Site-Site, Point-Site, Policy-based et Route-based. Cela donne à l’utilisateur du nuage la flexibilité de choisir la meilleure option pour son tunnel en fonction de ses cas d’utilisation et des dispositifs d’extrémité. Quelques composants clés sont impliqués dans la configuration :

  • Virtual Network Gateway : La passerelle de réseau virtuel se trouve à la limite du sous-réseau d’un VNet et permet la connectivité entre ce sous-réseau et d’autres réseaux ou VPN. C’est là que se trouve la majeure partie de la configuration du VPN.
  • Passerelle de réseau local : La passerelle de réseau local est une représentation de la passerelle des clients à l’autre extrémité du tunnel. Elle contient simplement la configuration que le tunnel doit connaître pour construire un tunnel VPN vers l’autre extrémité.
  • Border Gateway Protocol (BGP) : Lors de la mise en place d’un cloud hybride, nous devons nous assurer que les deux extrémités de la connexion connaissent les réseaux qui résident à l’autre extrémité. Bien que le routage statique soit une option, ce n’est normalement pas l’approche la plus appropriée pour un réseau de production. Afin d’apprendre efficacement les routes sur site, il est nécessaire d’utiliser un protocole de routage pour communiquer les routes de manière dynamique. BGP est le choix de facto d’aujourd’hui, et Azure prend en charge BGP sur IPSec avec des options VPN basées sur les routes. Grâce à l’exécution de BGP au-dessus de votre passerelle VPN Azure ou de votre connexion ExpressRoute, vous pouvez propager les routes BGP locales sur vos routeurs en nuage et sur site sans intervention manuelle de l’administrateur. Plus d’informations sur l’utilisation de BGP avec Azure VPN Gateway et ExpressRoute.