->
Une passerelle VPN est un type spécifique de passerelle de réseau virtuel utilisé pour envoyer du trafic chiffré entre un réseau virtuel Azure et un emplacement local sur Internet public. Vous pouvez également utiliser la passerelle VPN pour envoyer du trafic chiffré entre les réseaux virtuels Azure sur le réseau Microsoft. Chaque réseau virtuel ne peut avoir qu’une seule passerelle VPN. Cependant, vous pouvez créer plusieurs connexions avec la même passerelle VPN. Lorsque vous créez plusieurs connexions à la même passerelle VPN, tous les tunnels VPN partagent la bande passante disponible.
Qu’est-ce qu’une passerelle virtuelle?
Une passerelle virtuelle se compose de deux machines virtuelles ou plus qui sont déployées dans un sous-réseau spécifique que vous créez appelé passerelle de sous-réseau. Les machines virtuelles de passerelle de réseau virtuel contiennent des tables de routage et exécutent des services de passerelle spécifiques. Ces machines virtuelles sont créées lorsque vous créez une passerelle de réseau virtuel. Vous ne pouvez pas configurer directement des machines virtuelles qui font partie d’une passerelle virtuelle.
Un paramètre que vous configurez pour une passerelle virtuelle est le type de passerelle. Le type de passerelle détermine comment la passerelle de réseau virtuel sera utilisée et les actions que la passerelle entreprend. Le type de passerelle « Vpn » spécifie que le type de passerelle de réseau virtuel créé est une « passerelle VPN » et non une passerelle ExpressRoute. Un réseau virtuel peut avoir deux passerelles de réseau virtuel; une passerelle VPN et une passerelle ExpressRoute – comme c’est le cas avec les configurations de connexion coexistantes. Pour plus d’informations, voir Types de passages.
Les passerelles VPN peuvent être déployées dans les zones de disponibilité Azure. Cela apporte résilience, évolutivité et une plus grande disponibilité à la passerelle de réseau virtuel. Le déploiement de passerelles dans les zones de disponibilité Azure sépare physiquement et logiquement les passerelles de la région, tout en protégeant la connexion réseau locale à Azure contre les défaillances au niveau de la zone. consultez À propos des zones de passerelle virtuelle dans les zones de disponibilité Azure
La création d’une passerelle peut prendre jusqu’à 45 minutes. Lorsque vous créez une passerelle de réseau virtuel, les machines virtuelles de passerelle sont déployées sur le sous-réseau de passerelle et configurées avec les paramètres que vous spécifiez. Après avoir créé une passerelle VPN, vous pouvez créer une connexion de tunnel VPN IPsec / IKE entre cette passerelle VPN et une autre passerelle VPN (VNet-to-VNet) ou créer une connexion VPN IPsec / IKE interespace entre la passerelle VPN et le VPN local local appareil (site). Vous pouvez également créer une connexion VPN point à point (VPN sur OpenVPN, IKEv2 ou SSTP) qui vous permet de vous connecter à un réseau virtuel à partir d’un emplacement distant, comme une conférence ou un domicile.
Configuration d’une passerelle VPN
Une connexion de passerelle VPN repose sur plusieurs ressources configurées avec des paramètres spécifiques. La plupart des ressources peuvent être configurées séparément, bien que certaines ressources doivent être configurées dans un ordre spécifique.
Réglages
Les paramètres que vous choisissez pour chaque ressource sont essentiels pour créer une connexion réussie. Pour plus d’informations sur les ressources individuelles et les paramètres de passerelle VPN, voir À propos des paramètres de protocole VPN. Cet article fournit des informations pour vous aider à comprendre les types de passerelle, les références de passerelle, les types VPN, les types de connexion, les sous-réseaux de passerelle, les passerelles de réseau local et divers autres paramètres de ressources que vous pouvez envisager. .
Outils de planification
Vous pouvez commencer par créer et configurer des ressources à l’aide d’un seul outil de configuration, tel que le portail Azure. Vous pouvez ultérieurement choisir de basculer vers un autre outil, tel que PowerShell, pour configurer des ressources supplémentaires ou pour modifier les ressources existantes, le cas échéant. Vous ne pouvez pas actuellement configurer tous les paramètres et ressources sur le portail Azure. Les instructions dans les articles pour chaque topologie de connexion déterminent quand un outil de configuration spécifique est requis.
Modèle de déploiement
Il existe actuellement deux modèles d’implémentation pour Azure. Lorsque vous configurez une passerelle VPN, les étapes à suivre dépendent du modèle de déploiement que vous avez utilisé pour créer le réseau virtuel. Par exemple, si vous avez créé votre réseau virtuel à l’aide d’un modèle de déploiement classique, utilisez les instructions et les instructions du modèle de déploiement classique pour créer et configurer les paramètres de passerelle VPN. Pour plus d’informations sur les modèles de déploiement, voir Présentation des gestionnaires de ressources et des modèles de déploiement classiques.
Table de planification
Le tableau suivant peut vous aider à choisir la meilleure option de connexion pour votre solution.
| Pointez vers l’emplacement | Site à site | ExpressRoute | |
|---|---|---|---|
| Services pris en charge Azure | Services cloud et machines virtuelles | Services cloud et machines virtuelles | Liste des services |
| Largeurs de bande typiques | Basé sur le SKU pour le passage | Généralement <1 Gbit / s agrégé | 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps |
| Protocoles pris en charge | Protocole de tunneling sécurisé pour Secure Sockets (SSTP), OpenVPN et IPsec | IPsec | Connexion directe via VLAN, technologies VPN NSP (MPLS, VPLS, …) |
| Acheminement | RouteBase (dynamique) | Nous prenons en charge PolicyBased (routage statique) et RouteBased (routage VPN dynamique) | BGP |
| Résistance à la connexion | actif Passif | actif-passif ou actif-actif | actif-actif |
| Un cas d’utilisation typique | Scénarios de prototypage, développement / test / laboratoire pour services cloud et machines virtuelles | Scénarios de développement / test / laboratoire et faibles charges de travail pour la production de services cloud et de machines virtuelles | Accès à tous les services Azure (liste vérifiée), aux classes d’entreprise et aux charges de travail critiques, à la sauvegarde, au Big Data et au site Web Azure as DR |
| SLA | SLA | SLA | SLA |
| Des prix | Des prix | Des prix | Des prix |
| Documentation technique | Documentation de la passerelle VPN | Documentation de la passerelle VPN | Documentation ExpressRoute |
| FAQ | Foire aux questions sur la passerelle VPN | Foire aux questions sur la passerelle VPN | FAQ ExpressRoute |
Code produit
Lors de la création d’une passerelle de réseau virtuel, spécifiez la passerelle SKU que vous souhaitez utiliser. Choisissez une référence qui répond à vos besoins en fonction du type de charge, du débit, des capacités et des SLA.
Les SKU passent à travers le tunnel, la connexion et le passage
| VPN passerelle Génération |
SKU | S2S / VNet à VNet Tunnels |
P2S Connexions SSTP |
P2S Connexions IKEv2 / OpenVPN |
Agrégat Benchmark de la bande passante |
BGP | Zone redondante |
|---|---|---|---|---|---|---|---|
| Génération1 | De base | Max. dix | Max. 128 | Non supporté | 100 Mbps | Non supporté | Non. |
| Génération1 | VpnGw1 | Max. 30 * | Max. 128 | Max. 250 | 650 Mbps | Prise en charge | Non. |
| Génération1 | VpnGw2 | Max. 30 * | Max. 128 | Max. 500 | 1 Gbit / s | Prise en charge | Non. |
| Génération1 | VpnGw3 | Max. 30 * | Max. 128 | Max. 1000 | 1,25 Gbit / s | Prise en charge | Non. |
| Génération1 | VpnGw1AZ | Max. 30 * | Max. 128 | Max. 250 | 650 Mbps | Prise en charge | Oui |
| Génération1 | VpnGw2AZ | Max. 30 * | Max. 128 | Max. 500 | 1 Gbit / s | Prise en charge | Oui |
| Génération1 | VpnGw3AZ | Max. 30 * | Max. 128 | Max. 1000 | 1,25 Gbit / s | Prise en charge | Oui |
| Génération2 | VpnGw2 | Max. 30 * | Max. 128 | Max. 500 | 1,25 Gbit / s | Prise en charge | Non. |
| Génération2 | VpnGw3 | Max. 30 * | Max. 128 | Max. 1000 | 2,5 Gbit / s | Prise en charge | Non. |
| Génération2 | VpnGw4 | Max. 30 * | Max. 128 | Max. 5000 | 5 Gbit / s | Prise en charge | Non. |
| Génération2 | VpnGw5 | Max. 30 * | Max. 128 | Max. 10000 | 10 Gbit / s | Prise en charge | Non. |
| Génération2 | VpnGw2AZ | Max. 30 * | Max. 128 | Max. 500 | 1,25 Gbit / s | Prise en charge | Oui |
| Génération2 | VpnGw3AZ | Max. 30 * | Max. 128 | Max. 1000 | 2,5 Gbit / s | Prise en charge | Oui |
| Génération2 | VpnGw4AZ | Max. 30 * | Max. 128 | Max. 5000 | 5 Gbit / s | Prise en charge | Oui |
| Génération2 | VpnGw5AZ | Max. 30 * | Max. 128 | Max. 10000 | 10 Gbit / s | Prise en charge | Oui |
(*) Utilisez Virtual WAN si vous avez besoin de plus de 30 tunnels VPN S2S.
-
Le redimensionnement de la référence VpnGw est autorisé au sein de la même génération, sauf le redimensionnement de la référence. Le SKU de base est un SKU hérité et a des limitations de fonction. Pour passer de Basic à une autre SKU VpnGw, vous devez supprimer la SKU de passerelle SKU de base et créer une nouvelle passerelle avec la combinaison souhaitée de génération et de taille de SKU.
-
Ces restrictions de connexion sont distinctes. Par exemple, vous pouvez avoir 128 connexions SSTP et 250 connexions IKEv2 sur une référence VpnGw1.
-
Vous trouverez des informations sur les prix sur la page Prix.
-
Vous trouverez des informations sur le contrat de niveau de service (SLA) sur la page SLA.
-
Un débit maximal de 1 Gbit / s peut être atteint dans un tunnel. La valeur de mesure de perméabilité comparative dans le tableau ci-dessus est basée sur des mesures de plusieurs tunnels reliés par une seule entrée. La référence pour la bande passante totale de la passerelle VPN est un S2S + P2S combiné. Si vous avez beaucoup de connexions P2S, cela peut affecter négativement la connexion S2S en raison de la limitation de la bande passante. Les mesures de bande passante globale ne sont pas une bande passante garantie en raison des conditions de trafic Internet et du comportement de votre application.
Pour aider nos clients à comprendre les performances relatives des SKU à l’aide d’une variété d’algorithmes, nous avons utilisé les outils de mesure des performances iPerf et CTSTraffic disponibles au public. Le tableau ci-dessous répertorie les résultats des tests de performances pour la génération 1, VpnGw SKU. Comme vous pouvez le voir, les meilleures performances sont obtenues lorsque nous avons utilisé l’algorithme GCMAES256 pour le chiffrement et l’intégrité IPsec. Nous avons obtenu des performances moyennes en utilisant AES256 pour le chiffrement IPsec et SHA256 pour l’intégrité. Lorsque nous avons utilisé DES3 pour le chiffrement IPsec et SHA256 pour l’intégrité, nous avions les performances les plus faibles.
| Génération | SKU | Des algorithmes les usages |
Bande passante observé |
Paquets par seconde observé |
|---|---|---|---|---|
| Génération1 | VpnGw1 | GCMAES256 AES256 et SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 120 Mbps |
58 000 50 000 50 000 |
| Génération1 | VpnGw2 | GCMAES256 AES256 et SHA256 DES3 & SHA256 |
1 Gbit / s 500 Mbps 120 Mbps |
90 000 80 000 55 000 |
| Génération1 | VpnGw3 | GCMAES256 AES256 et SHA256 DES3 & SHA256 |
1,25 Gbit / s 550 Mbps 120 Mbps |
105 000 90 000 60 000 |
| Génération1 | VpnGw1AZ | GCMAES256 AES256 et SHA256 DES3 & SHA256 |
650 Mbps 500 Mbps 120 Mbps |
58 000 50 000 50 000 |
| Génération1 | VpnGw2AZ | GCMAES256 AES256 et SHA256 DES3 & SHA256 |
1 Gbit / s 500 Mbps 120 Mbps |
90 000 80 000 55 000 |
| Génération1 | VpnGw3AZ | GCMAES256 AES256 et SHA256 DES3 & SHA256 |
1,25 Gbit / s 550 Mbps 120 Mbps |
105 000 90 000 60 000 |
Diagrammes de topologie de connexion
Il est important de savoir que différentes configurations sont disponibles pour la connexion VPN. Vous devez déterminer quelle configuration convient le mieux à vos besoins. Dans les sections ci-dessous, vous pouvez afficher des informations et des diagrammes de topologie sur les connexions VPN suivantes:
Les sections suivantes contiennent des tableaux avec une liste:
- Modèle d’implémentation disponible
- Outils de configuration disponibles
- Liens qui vous mènent directement à l’article, s’ils sont disponibles
Utilisez des diagrammes et des descriptions pour choisir la topologie de connexion qui répondra à vos besoins. Les diagrammes présentent les principales topologies des lignes de base, mais il est possible de créer des configurations plus complexes en utilisant des diagrammes comme guide.
Site à site et multisite (tunnel VPN IPsec / IKE)
Site à site
Connexion VPN entre lieu et lieu (S2S) Une connexion VPN est une connexion via un tunnel VPN IPN / IKE (IKEv1 ou IKEv2). Les connexions S2S peuvent être utilisées pour des configurations inter-spatiales et hybrides. Une connexion S2S nécessite un périphérique VPN situé dans une zone locale à laquelle une adresse IP publique a été attribuée. Pour plus d’informations sur la sélection d’un périphérique VPN, consultez la section FAQ sur la passerelle VPN.
Emplacement multiple
Ce type de connexion est une variation de la connexion entre le lieu et le lieu. Créez plusieurs connexions VPN à partir d’une passerelle de réseau virtuel, généralement en vous connectant à plusieurs sites locaux. Lorsque vous travaillez avec plusieurs connexions, vous devez utiliser le type VPN RouteBased (connu sous le nom de passerelle dynamique lorsque vous travaillez avec des réseaux virtuels classiques). Étant donné que chaque réseau virtuel ne peut avoir qu’une seule passerelle VPN, toutes les connexions de passerelle partagent la bande passante disponible. Ce type de connexion est souvent appelé connexion « multiple ».
Modèles et méthodes d’application pour le site et plusieurs sites
(**) indique que cette méthode contient des étapes qui nécessitent PowerShell.
(+) indique que cet article a été écrit pour des liens vers plusieurs sites.
VPN d’un endroit à l’autre
La connexion VPN d’une passerelle VPN à un emplacement (P2S) vous permet de créer une connexion sécurisée à un réseau virtuel à partir des ordinateurs de clients individuels. Une connexion P2S est établie en démarrant à partir de l’ordinateur client. Cette solution est utile pour les travailleurs des télécommunications qui souhaitent se connecter aux réseaux virtuels Azure à partir d’un emplacement distant, tel qu’un domicile ou une conférence. Le VPN P2S est également une solution utile à utiliser à la place du VPN S2S lorsque vous n’avez que quelques clients qui doivent se connecter au réseau virtuel.
Contrairement aux connexions S2S, les connexions P2S ne nécessitent pas d’adresse IP publique avec un public ouvert ou un périphérique VPN. Les connexions P2S peuvent être utilisées avec des connexions S2S via la même passerelle VPN, tant que toutes les exigences de configuration pour les deux connexions sont compatibles. Pour plus d’informations sur les connexions point à page, consultez À propos des VPN point à page.
Modèles et méthodes de mise en œuvre pour P2S
Authentification du certificat Azure d’origine
Authentification RADIUS
| Modèle / méthode d’application | Portail Azure | PowerShell |
|---|---|---|
| Gestionnaire de ressources | Prise en charge | Didacticiel |
| Classique | Non supporté | Non supporté |
Connexion VNet à VNet (tunnel VPN IPsec / IKE)
La connexion d’un réseau virtuel à un autre réseau virtuel (VNet-to-VNet) est similaire à la connexion de VNet à un emplacement de site local. Les deux types de connexions utilisent une passerelle VPN pour fournir un tunnel sécurisé utilisant IPsec / IKE. Vous pouvez même combiner une communication de réseau virtuel à réseau virtuel avec des configurations multisites. Cela vous permet d’établir des topologies de réseau qui combinent une connexion interconnectée avec une connexion réseau inter-virtuelle.
Les réseaux virtuels que vous connectez peuvent être:
- dans la même région ou dans des régions différentes
- dans les mêmes abonnements ou des abonnements différents
- dans des modèles de déploiement identiques ou différents
Relation entre les modèles de mise en œuvre
Azure a actuellement deux modèles d’implémentation: Classic et Resource Manager. Si vous utilisez Azure depuis un certain temps, vous avez probablement des machines virtuelles Azure et des rôles d’instance exécutés dans un réseau virtuel classique. Vos machines virtuelles et instances de rôle plus récentes peuvent s’exécuter dans un réseau virtuel créé dans Resource Manager. Vous pouvez créer une connexion entre un réseau virtuel pour permettre aux ressources d’un réseau virtuel de communiquer directement avec les ressources d’un autre.
Peering VNet
Vous pouvez utiliser l’appairage de réseau virtuel pour créer une connexion, tant que votre réseau virtuel répond à certaines exigences. L’homologation VNet n’utilise pas de passerelle de réseau virtuel. Voir Peering VNet pour plus d’informations.
Modèles et méthodes d’implémentation de réseau virtuel à réseau virtuel
(+) indique que cette méthode d’implémentation n’est disponible que pour les réseaux virtuels dans le même abonnement.
(*) indique que cette méthode d’implémentation nécessite également PowerShell.
ExpressRoute (connexion privée)
ExpressRoute vous permet d’étendre vos réseaux locaux dans le cloud Microsoft via une connexion privée fournie par le fournisseur de connexion. Vous pouvez utiliser ExpressRoute pour vous connecter aux services cloud Microsoft, tels que Microsoft Azure, Office 365 et CRM Online. La connexion peut être de n’importe quel réseau à n’importe quel (IP VPN), réseau Ethernet point à point ou interconnexion virtuelle via un fournisseur de connexion dans un emplacement partagé.
Les connexions ExpressRoute ne traversent pas l’Internet public. Cela permet aux connexions ExpressRoute d’offrir une plus grande fiabilité, des vitesses plus rapides, des latences plus faibles et une plus grande sécurité que les connexions Internet conventionnelles.
La connexion ExpressRoute utilise la passerelle de réseau virtuel dans le cadre de la configuration requise. Dans une connexion ExpressRoute, la passerelle de réseau virtuel est configurée avec un accès de type «ExpressRoute», pas «Vpn». Bien que le trafic transitant par le circuit ExpressRoute ne soit pas chiffré par défaut, il est possible de créer une solution qui vous permet d’envoyer du trafic chiffré sur le circuit ExpressRoute. Pour plus d’informations sur ExpressRoute, consultez la présentation technique d’ExpressRoute.
Les liens entre site et page et ExpressRoute coexistent
ExpressRoute est une connexion directe et privée de votre WAN (pas sur Internet public) aux services Microsoft, y compris Azure. Le trafic VPN d’un endroit à l’autre voyage crypté sur Internet public. La possibilité de configurer des connexions VPN de site à page et ExpressRoute pour le même réseau virtuel présente plusieurs avantages.
Vous pouvez configurer un VPN de site à site comme chemin de migration sécurisé pour ExpressRoute ou utiliser des VPN de site à page pour vous connecter à des sites qui ne font pas partie de votre réseau mais qui sont connectés via ExpressRoute. Notez que cette configuration nécessite deux passerelles de réseau virtuel pour le même réseau virtuel, l’une utilisant le type de passerelle «Vpn» et l’autre utilisant le type de passerelle «ExpressRoute».
Modèles et méthodes de mise en œuvre pour S2S et ExpressRoute coexistent
| Modèle / méthode d’application | Portail Azure | PowerShell |
|---|---|---|
| Gestionnaire de ressources | Prise en charge | Didacticiel |
| Classique | Non supporté | Didacticiel |
Des prix
Vous payez deux choses: les coûts de facturation horaires pour l’entrée du réseau virtuel et le transfert des données de sortie à partir de la passerelle du réseau virtuel. Vous trouverez des informations sur les prix sur la page Prix. Pour les anciens prix des passerelles SKU, consultez la page de tarification ExpressRoute et faites défiler jusqu’à Passerelles de réseaux virtuels section.
Le coût du calcul d’une passerelle virtuelle
Chaque passerelle de réseau virtuel a un coût horaire calculé. Le prix est basé sur la passerelle SKU que vous spécifiez lors de la création d’une passerelle de réseau virtuel. Le coût est pour la passerelle elle-même et est ajouté au transfert de données passant par la passerelle. Le coût d’une installation active et active est égal à actif et passif.
Coûts de transmission des données
Les coûts de transfert de données sont calculés en fonction du trafic sortant du réseau virtuel sortant d’origine.
- Si vous envoyez du trafic vers votre appareil VPN local, il sera facturé pour la vitesse de transfert des données Internet.
- Si vous envoyez du trafic entre des réseaux virtuels dans différentes régions, les prix sont basés sur la région.
- Si vous envoyez uniquement du trafic entre des réseaux virtuels situés dans la même région, il n’y a pas de données. Le trafic entre VNet dans la même région est gratuit.
Pour plus d’informations sur les références SKU de passerelle pour les passerelles VPN, voir Passerelles SKU.
FAQ
Pour les questions fréquemment posées sur la passerelle VPN, consultez la FAQ sur la passerelle VPN.
Prochaines étapes
->