Catégories
Uncategorized

À propos d’Azure VPN Gateway | Microsoft Docs

->

Une passerelle VPN est un type spécifique de passerelle de réseau virtuel utilisé pour envoyer du trafic chiffré entre un réseau virtuel Azure et un emplacement local sur Internet public. Vous pouvez également utiliser la passerelle VPN pour envoyer du trafic chiffré entre les réseaux virtuels Azure sur le réseau Microsoft. Chaque réseau virtuel ne peut avoir qu’une seule passerelle VPN. Cependant, vous pouvez créer plusieurs connexions avec la même passerelle VPN. Lorsque vous créez plusieurs connexions à la même passerelle VPN, tous les tunnels VPN partagent la bande passante disponible.

Qu’est-ce qu’une passerelle virtuelle?

Une passerelle virtuelle se compose de deux machines virtuelles ou plus qui sont déployées dans un sous-réseau spécifique que vous créez appelé passerelle de sous-réseau. Les machines virtuelles de passerelle de réseau virtuel contiennent des tables de routage et exécutent des services de passerelle spécifiques. Ces machines virtuelles sont créées lorsque vous créez une passerelle de réseau virtuel. Vous ne pouvez pas configurer directement des machines virtuelles qui font partie d’une passerelle virtuelle.

Un paramètre que vous configurez pour une passerelle virtuelle est le type de passerelle. Le type de passerelle détermine comment la passerelle de réseau virtuel sera utilisée et les actions que la passerelle entreprend. Le type de passerelle « Vpn » spécifie que le type de passerelle de réseau virtuel créé est une « passerelle VPN » et non une passerelle ExpressRoute. Un réseau virtuel peut avoir deux passerelles de réseau virtuel; une passerelle VPN et une passerelle ExpressRoute – comme c’est le cas avec les configurations de connexion coexistantes. Pour plus d’informations, voir Types de passages.

Les passerelles VPN peuvent être déployées dans les zones de disponibilité Azure. Cela apporte résilience, évolutivité et une plus grande disponibilité à la passerelle de réseau virtuel. Le déploiement de passerelles dans les zones de disponibilité Azure sépare physiquement et logiquement les passerelles de la région, tout en protégeant la connexion réseau locale à Azure contre les défaillances au niveau de la zone. consultez À propos des zones de passerelle virtuelle dans les zones de disponibilité Azure

La création d’une passerelle peut prendre jusqu’à 45 minutes. Lorsque vous créez une passerelle de réseau virtuel, les machines virtuelles de passerelle sont déployées sur le sous-réseau de passerelle et configurées avec les paramètres que vous spécifiez. Après avoir créé une passerelle VPN, vous pouvez créer une connexion de tunnel VPN IPsec / IKE entre cette passerelle VPN et une autre passerelle VPN (VNet-to-VNet) ou créer une connexion VPN IPsec / IKE interespace entre la passerelle VPN et le VPN local local appareil (site). Vous pouvez également créer une connexion VPN point à point (VPN sur OpenVPN, IKEv2 ou SSTP) qui vous permet de vous connecter à un réseau virtuel à partir d’un emplacement distant, comme une conférence ou un domicile.

Configuration d’une passerelle VPN

Une connexion de passerelle VPN repose sur plusieurs ressources configurées avec des paramètres spécifiques. La plupart des ressources peuvent être configurées séparément, bien que certaines ressources doivent être configurées dans un ordre spécifique.

Réglages

Les paramètres que vous choisissez pour chaque ressource sont essentiels pour créer une connexion réussie. Pour plus d’informations sur les ressources individuelles et les paramètres de passerelle VPN, voir À propos des paramètres de protocole VPN. Cet article fournit des informations pour vous aider à comprendre les types de passerelle, les références de passerelle, les types VPN, les types de connexion, les sous-réseaux de passerelle, les passerelles de réseau local et divers autres paramètres de ressources que vous pouvez envisager. .

Outils de planification

Vous pouvez commencer par créer et configurer des ressources à l’aide d’un seul outil de configuration, tel que le portail Azure. Vous pouvez ultérieurement choisir de basculer vers un autre outil, tel que PowerShell, pour configurer des ressources supplémentaires ou pour modifier les ressources existantes, le cas échéant. Vous ne pouvez pas actuellement configurer tous les paramètres et ressources sur le portail Azure. Les instructions dans les articles pour chaque topologie de connexion déterminent quand un outil de configuration spécifique est requis.

Modèle de déploiement

Il existe actuellement deux modèles d’implémentation pour Azure. Lorsque vous configurez une passerelle VPN, les étapes à suivre dépendent du modèle de déploiement que vous avez utilisé pour créer le réseau virtuel. Par exemple, si vous avez créé votre réseau virtuel à l’aide d’un modèle de déploiement classique, utilisez les instructions et les instructions du modèle de déploiement classique pour créer et configurer les paramètres de passerelle VPN. Pour plus d’informations sur les modèles de déploiement, voir Présentation des gestionnaires de ressources et des modèles de déploiement classiques.

Table de planification

Le tableau suivant peut vous aider à choisir la meilleure option de connexion pour votre solution.

Pointez vers l’emplacement Site à site ExpressRoute
Services pris en charge Azure Services cloud et machines virtuelles Services cloud et machines virtuelles Liste des services
Largeurs de bande typiques Basé sur le SKU pour le passage Généralement <1 Gbit / s agrégé 50 Mbps, 100 Mbps, 200 Mbps, 500 Mbps, 1 Gbps, 2 Gbps, 5 Gbps, 10 Gbps
Protocoles pris en charge Protocole de tunneling sécurisé pour Secure Sockets (SSTP), OpenVPN et IPsec IPsec Connexion directe via VLAN, technologies VPN NSP (MPLS, VPLS, …)
Acheminement RouteBase (dynamique) Nous prenons en charge PolicyBased (routage statique) et RouteBased (routage VPN dynamique) BGP
Résistance à la connexion actif Passif actif-passif ou actif-actif actif-actif
Un cas d’utilisation typique Scénarios de prototypage, développement / test / laboratoire pour services cloud et machines virtuelles Scénarios de développement / test / laboratoire et faibles charges de travail pour la production de services cloud et de machines virtuelles Accès à tous les services Azure (liste vérifiée), aux classes d’entreprise et aux charges de travail critiques, à la sauvegarde, au Big Data et au site Web Azure as DR
SLA SLA SLA SLA
Des prix Des prix Des prix Des prix
Documentation technique Documentation de la passerelle VPN Documentation de la passerelle VPN Documentation ExpressRoute
FAQ Foire aux questions sur la passerelle VPN Foire aux questions sur la passerelle VPN FAQ ExpressRoute

Code produit

Lors de la création d’une passerelle de réseau virtuel, spécifiez la passerelle SKU que vous souhaitez utiliser. Choisissez une référence qui répond à vos besoins en fonction du type de charge, du débit, des capacités et des SLA.

Les SKU passent à travers le tunnel, la connexion et le passage

VPN
passerelle
Génération
SKU S2S / VNet à VNet
Tunnels
P2S
Connexions SSTP
P2S
Connexions IKEv2 / OpenVPN
Agrégat
Benchmark de la bande passante
BGP Zone redondante
Génération1 De base Max. dix Max. 128 Non supporté 100 Mbps Non supporté Non.
Génération1 VpnGw1 Max. 30 * Max. 128 Max. 250 650 Mbps Prise en charge Non.
Génération1 VpnGw2 Max. 30 * Max. 128 Max. 500 1 Gbit / s Prise en charge Non.
Génération1 VpnGw3 Max. 30 * Max. 128 Max. 1000 1,25 Gbit / s Prise en charge Non.
Génération1 VpnGw1AZ Max. 30 * Max. 128 Max. 250 650 Mbps Prise en charge Oui
Génération1 VpnGw2AZ Max. 30 * Max. 128 Max. 500 1 Gbit / s Prise en charge Oui
Génération1 VpnGw3AZ Max. 30 * Max. 128 Max. 1000 1,25 Gbit / s Prise en charge Oui
Génération2 VpnGw2 Max. 30 * Max. 128 Max. 500 1,25 Gbit / s Prise en charge Non.
Génération2 VpnGw3 Max. 30 * Max. 128 Max. 1000 2,5 Gbit / s Prise en charge Non.
Génération2 VpnGw4 Max. 30 * Max. 128 Max. 5000 5 Gbit / s Prise en charge Non.
Génération2 VpnGw5 Max. 30 * Max. 128 Max. 10000 10 Gbit / s Prise en charge Non.
Génération2 VpnGw2AZ Max. 30 * Max. 128 Max. 500 1,25 Gbit / s Prise en charge Oui
Génération2 VpnGw3AZ Max. 30 * Max. 128 Max. 1000 2,5 Gbit / s Prise en charge Oui
Génération2 VpnGw4AZ Max. 30 * Max. 128 Max. 5000 5 Gbit / s Prise en charge Oui
Génération2 VpnGw5AZ Max. 30 * Max. 128 Max. 10000 10 Gbit / s Prise en charge Oui

(*) Utilisez Virtual WAN si vous avez besoin de plus de 30 tunnels VPN S2S.

  • Le redimensionnement de la référence VpnGw est autorisé au sein de la même génération, sauf le redimensionnement de la référence. Le SKU de base est un SKU hérité et a des limitations de fonction. Pour passer de Basic à une autre SKU VpnGw, vous devez supprimer la SKU de passerelle SKU de base et créer une nouvelle passerelle avec la combinaison souhaitée de génération et de taille de SKU.

  • Ces restrictions de connexion sont distinctes. Par exemple, vous pouvez avoir 128 connexions SSTP et 250 connexions IKEv2 sur une référence VpnGw1.

  • Vous trouverez des informations sur les prix sur la page Prix.

  • Vous trouverez des informations sur le contrat de niveau de service (SLA) sur la page SLA.

  • Un débit maximal de 1 Gbit / s peut être atteint dans un tunnel. La valeur de mesure de perméabilité comparative dans le tableau ci-dessus est basée sur des mesures de plusieurs tunnels reliés par une seule entrée. La référence pour la bande passante totale de la passerelle VPN est un S2S + P2S combiné. Si vous avez beaucoup de connexions P2S, cela peut affecter négativement la connexion S2S en raison de la limitation de la bande passante. Les mesures de bande passante globale ne sont pas une bande passante garantie en raison des conditions de trafic Internet et du comportement de votre application.

Pour aider nos clients à comprendre les performances relatives des SKU à l’aide d’une variété d’algorithmes, nous avons utilisé les outils de mesure des performances iPerf et CTSTraffic disponibles au public. Le tableau ci-dessous répertorie les résultats des tests de performances pour la génération 1, VpnGw SKU. Comme vous pouvez le voir, les meilleures performances sont obtenues lorsque nous avons utilisé l’algorithme GCMAES256 pour le chiffrement et l’intégrité IPsec. Nous avons obtenu des performances moyennes en utilisant AES256 pour le chiffrement IPsec et SHA256 pour l’intégrité. Lorsque nous avons utilisé DES3 pour le chiffrement IPsec et SHA256 pour l’intégrité, nous avions les performances les plus faibles.

Génération SKU Des algorithmes
les usages
Bande passante
observé
Paquets par seconde
observé
Génération1 VpnGw1 GCMAES256
AES256 et SHA256
DES3 & SHA256
650 Mbps
500 Mbps
120 Mbps
58 000
50 000
50 000
Génération1 VpnGw2 GCMAES256
AES256 et SHA256
DES3 & SHA256
1 Gbit / s
500 Mbps
120 Mbps
90 000
80 000
55 000
Génération1 VpnGw3 GCMAES256
AES256 et SHA256
DES3 & SHA256
1,25 Gbit / s
550 Mbps
120 Mbps
105 000
90 000
60 000
Génération1 VpnGw1AZ GCMAES256
AES256 et SHA256
DES3 & SHA256
650 Mbps
500 Mbps
120 Mbps
58 000
50 000
50 000
Génération1 VpnGw2AZ GCMAES256
AES256 et SHA256
DES3 & SHA256
1 Gbit / s
500 Mbps
120 Mbps
90 000
80 000
55 000
Génération1 VpnGw3AZ GCMAES256
AES256 et SHA256
DES3 & SHA256
1,25 Gbit / s
550 Mbps
120 Mbps
105 000
90 000
60 000

Diagrammes de topologie de connexion

Il est important de savoir que différentes configurations sont disponibles pour la connexion VPN. Vous devez déterminer quelle configuration convient le mieux à vos besoins. Dans les sections ci-dessous, vous pouvez afficher des informations et des diagrammes de topologie sur les connexions VPN suivantes:
Les sections suivantes contiennent des tableaux avec une liste:

  • Modèle d’implémentation disponible
  • Outils de configuration disponibles
  • Liens qui vous mènent directement à l’article, s’ils sont disponibles

Utilisez des diagrammes et des descriptions pour choisir la topologie de connexion qui répondra à vos besoins. Les diagrammes présentent les principales topologies des lignes de base, mais il est possible de créer des configurations plus complexes en utilisant des diagrammes comme guide.

Site à site et multisite (tunnel VPN IPsec / IKE)

Site à site

Connexion VPN entre lieu et lieu (S2S) Une connexion VPN est une connexion via un tunnel VPN IPN / IKE (IKEv1 ou IKEv2). Les connexions S2S peuvent être utilisées pour des configurations inter-spatiales et hybrides. Une connexion S2S nécessite un périphérique VPN situé dans une zone locale à laquelle une adresse IP publique a été attribuée. Pour plus d’informations sur la sélection d’un périphérique VPN, consultez la section FAQ sur la passerelle VPN.

Exemple de connexion d'un site au site Web Azure VPN Gateway

Emplacement multiple

Ce type de connexion est une variation de la connexion entre le lieu et le lieu. Créez plusieurs connexions VPN à partir d’une passerelle de réseau virtuel, généralement en vous connectant à plusieurs sites locaux. Lorsque vous travaillez avec plusieurs connexions, vous devez utiliser le type VPN RouteBased (connu sous le nom de passerelle dynamique lorsque vous travaillez avec des réseaux virtuels classiques). Étant donné que chaque réseau virtuel ne peut avoir qu’une seule passerelle VPN, toutes les connexions de passerelle partagent la bande passante disponible. Ce type de connexion est souvent appelé connexion « multiple ».

Exemple de connexion à plusieurs sites Azure VPN Gateway

Modèles et méthodes d’application pour le site et plusieurs sites

(**) indique que cette méthode contient des étapes qui nécessitent PowerShell.

(+) indique que cet article a été écrit pour des liens vers plusieurs sites.

VPN d’un endroit à l’autre

La connexion VPN d’une passerelle VPN à un emplacement (P2S) vous permet de créer une connexion sécurisée à un réseau virtuel à partir des ordinateurs de clients individuels. Une connexion P2S est établie en démarrant à partir de l’ordinateur client. Cette solution est utile pour les travailleurs des télécommunications qui souhaitent se connecter aux réseaux virtuels Azure à partir d’un emplacement distant, tel qu’un domicile ou une conférence. Le VPN P2S est également une solution utile à utiliser à la place du VPN S2S lorsque vous n’avez que quelques clients qui doivent se connecter au réseau virtuel.

Contrairement aux connexions S2S, les connexions P2S ne nécessitent pas d’adresse IP publique avec un public ouvert ou un périphérique VPN. Les connexions P2S peuvent être utilisées avec des connexions S2S via la même passerelle VPN, tant que toutes les exigences de configuration pour les deux connexions sont compatibles. Pour plus d’informations sur les connexions point à page, consultez À propos des VPN point à page.

Exemple de connexion point à point à une passerelle VPN Azure

Modèles et méthodes de mise en œuvre pour P2S

Authentification du certificat Azure d’origine

Authentification RADIUS

Modèle / méthode d’application Portail Azure PowerShell
Gestionnaire de ressources Prise en charge Didacticiel
Classique Non supporté Non supporté

Connexion VNet à VNet (tunnel VPN IPsec / IKE)

La connexion d’un réseau virtuel à un autre réseau virtuel (VNet-to-VNet) est similaire à la connexion de VNet à un emplacement de site local. Les deux types de connexions utilisent une passerelle VPN pour fournir un tunnel sécurisé utilisant IPsec / IKE. Vous pouvez même combiner une communication de réseau virtuel à réseau virtuel avec des configurations multisites. Cela vous permet d’établir des topologies de réseau qui combinent une connexion interconnectée avec une connexion réseau inter-virtuelle.

Les réseaux virtuels que vous connectez peuvent être:

  • dans la même région ou dans des régions différentes
  • dans les mêmes abonnements ou des abonnements différents
  • dans des modèles de déploiement identiques ou différents

Exemple de connexion d'Azure VPN Gateway VNet à VNet

Relation entre les modèles de mise en œuvre

Azure a actuellement deux modèles d’implémentation: Classic et Resource Manager. Si vous utilisez Azure depuis un certain temps, vous avez probablement des machines virtuelles Azure et des rôles d’instance exécutés dans un réseau virtuel classique. Vos machines virtuelles et instances de rôle plus récentes peuvent s’exécuter dans un réseau virtuel créé dans Resource Manager. Vous pouvez créer une connexion entre un réseau virtuel pour permettre aux ressources d’un réseau virtuel de communiquer directement avec les ressources d’un autre.

Peering VNet

Vous pouvez utiliser l’appairage de réseau virtuel pour créer une connexion, tant que votre réseau virtuel répond à certaines exigences. L’homologation VNet n’utilise pas de passerelle de réseau virtuel. Voir Peering VNet pour plus d’informations.

Modèles et méthodes d’implémentation de réseau virtuel à réseau virtuel

(+) indique que cette méthode d’implémentation n’est disponible que pour les réseaux virtuels dans le même abonnement.
(*) indique que cette méthode d’implémentation nécessite également PowerShell.

ExpressRoute (connexion privée)

ExpressRoute vous permet d’étendre vos réseaux locaux dans le cloud Microsoft via une connexion privée fournie par le fournisseur de connexion. Vous pouvez utiliser ExpressRoute pour vous connecter aux services cloud Microsoft, tels que Microsoft Azure, Office 365 et CRM Online. La connexion peut être de n’importe quel réseau à n’importe quel (IP VPN), réseau Ethernet point à point ou interconnexion virtuelle via un fournisseur de connexion dans un emplacement partagé.

Les connexions ExpressRoute ne traversent pas l’Internet public. Cela permet aux connexions ExpressRoute d’offrir une plus grande fiabilité, des vitesses plus rapides, des latences plus faibles et une plus grande sécurité que les connexions Internet conventionnelles.

La connexion ExpressRoute utilise la passerelle de réseau virtuel dans le cadre de la configuration requise. Dans une connexion ExpressRoute, la passerelle de réseau virtuel est configurée avec un accès de type «ExpressRoute», pas «Vpn». Bien que le trafic transitant par le circuit ExpressRoute ne soit pas chiffré par défaut, il est possible de créer une solution qui vous permet d’envoyer du trafic chiffré sur le circuit ExpressRoute. Pour plus d’informations sur ExpressRoute, consultez la présentation technique d’ExpressRoute.

Les liens entre site et page et ExpressRoute coexistent

ExpressRoute est une connexion directe et privée de votre WAN (pas sur Internet public) aux services Microsoft, y compris Azure. Le trafic VPN d’un endroit à l’autre voyage crypté sur Internet public. La possibilité de configurer des connexions VPN de site à page et ExpressRoute pour le même réseau virtuel présente plusieurs avantages.

Vous pouvez configurer un VPN de site à site comme chemin de migration sécurisé pour ExpressRoute ou utiliser des VPN de site à page pour vous connecter à des sites qui ne font pas partie de votre réseau mais qui sont connectés via ExpressRoute. Notez que cette configuration nécessite deux passerelles de réseau virtuel pour le même réseau virtuel, l’une utilisant le type de passerelle «Vpn» et l’autre utilisant le type de passerelle «ExpressRoute».

Exemple de connexions ExpressRoute et VPN Gateway coexistantes

Modèles et méthodes de mise en œuvre pour S2S et ExpressRoute coexistent

Modèle / méthode d’application Portail Azure PowerShell
Gestionnaire de ressources Prise en charge Didacticiel
Classique Non supporté Didacticiel

Des prix

Vous payez deux choses: les coûts de facturation horaires pour l’entrée du réseau virtuel et le transfert des données de sortie à partir de la passerelle du réseau virtuel. Vous trouverez des informations sur les prix sur la page Prix. Pour les anciens prix des passerelles SKU, consultez la page de tarification ExpressRoute et faites défiler jusqu’à Passerelles de réseaux virtuels section.

Le coût du calcul d’une passerelle virtuelle
Chaque passerelle de réseau virtuel a un coût horaire calculé. Le prix est basé sur la passerelle SKU que vous spécifiez lors de la création d’une passerelle de réseau virtuel. Le coût est pour la passerelle elle-même et est ajouté au transfert de données passant par la passerelle. Le coût d’une installation active et active est égal à actif et passif.

Coûts de transmission des données
Les coûts de transfert de données sont calculés en fonction du trafic sortant du réseau virtuel sortant d’origine.

  • Si vous envoyez du trafic vers votre appareil VPN local, il sera facturé pour la vitesse de transfert des données Internet.
  • Si vous envoyez du trafic entre des réseaux virtuels dans différentes régions, les prix sont basés sur la région.
  • Si vous envoyez uniquement du trafic entre des réseaux virtuels situés dans la même région, il n’y a pas de données. Le trafic entre VNet dans la même région est gratuit.

Pour plus d’informations sur les références SKU de passerelle pour les passerelles VPN, voir Passerelles SKU.

FAQ

Pour les questions fréquemment posées sur la passerelle VPN, consultez la FAQ sur la passerelle VPN.

Prochaines étapes

->

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *