Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Une passerelle de réseau virtuel connecte votre réseau virtuel Azure à votre réseau local via Azure ExpressRoute. La passerelle a deux objectifs clés : l’échange d’itinéraires IP entre les réseaux et le routage du trafic réseau entre eux.
Cet article explique les types de passerelle, les références SKU de passerelle, les performances estimées par référence SKU et les fonctionnalités clés. Il couvre également ExpressRoute FastPath, qui permet au trafic réseau de votre réseau local de contourner la passerelle de réseau virtuel pour améliorer les performances.
SKU de passerelle
Lorsque vous créez une passerelle de réseau virtuel, vous devez spécifier la référence SKU de passerelle que vous voulez utiliser. Lorsque vous sélectionnez une référence SKU de passerelle supérieure, davantage de processeurs et de bande passante réseau sont alloués à la passerelle. Par conséquent, la passerelle peut prendre en charge un débit réseau plus élevé sur le réseau virtuel.
Les passerelles de réseau virtuel ExpressRoute peuvent utiliser les références SKU suivantes :
- ErGwScale : Pour plus d’informations, consultez La passerelle scalable ExpressRoute
- Standard
- HighPerformance
- UltraPerformance
- ErGw1Az
- ErGw2Az
- ErGw3Az
Vous pouvez mettre à niveau votre passerelle vers une référence SKU à capacité supérieure au sein de la même famille de références (zone de non disponibilité ou zone de disponibilité activée). Par exemple:
- Mettre à niveau d'une référence SKU sans zone de disponibilité vers une autre référence SKU sans zone de disponibilité
- Mettre à niveau d'une SKU compatible avec une zone de disponibilité vers une autre SKU compatible avec une zone de disponibilité.
Pour tous les autres scénarios, notamment les rétrogradations ou le basculement entre les types de zone de disponibilité, vous devez supprimer et recréer la passerelle. Ce processus entraîne un temps d’arrêt.
Sous-réseau de passerelle
Avant de créer votre passerelle ExpressRoute, vous devez d’abord créer un sous-réseau de passerelle. Le sous-réseau de passerelle contient les adresses IP utilisées par les machines virtuelles et les services de passerelle de réseau virtuel.
Lorsque vous créez votre passerelle de réseau virtuel, Azure déploie des machines virtuelles de passerelle sur le sous-réseau de passerelle et les configure avec les paramètres ExpressRoute requis. Ne déployez jamais rien d’autre sur le sous-réseau de la passerelle. Le sous-réseau de passerelle doit être nommé GatewaySubnet pour Azure afin de le reconnaître et de déployer correctement les composants de passerelle.
Note
Les itinéraires définis par l’utilisateur avec une destination 0.0.0.0/0 et les groupes de sécurité réseau (NSG) sur le sous-réseau de passerelle ne sont pas pris en charge. Les routes définies par l’utilisateur, contenant l’espace d’adressage GatewaySubnet, avec le tronçon suivant défini sur Aucun ou sur Appliance réseau virtuelle (dont la stratégie est définie de façon à supprimer le trafic) ne sont pas prises en charge. La création des passerelles avec cette configuration est bloquée. Les passerelles nécessitent l’accès aux contrôleurs de gestion pour fonctionner correctement. La propagation d’itinéraire BGP (Border Gateway Protocol) doit être activée sur le sous-réseau de passerelle pour garantir la disponibilité de la passerelle. Si la propagation d’itinéraire BGP est désactivée, la passerelle ne fonctionnera pas.
Les diagnostics, le chemin des données et le chemin de contrôle peuvent être affectés si un itinéraire défini par l’utilisateur chevauche la plage de sous-réseau de la passerelle ou la plage d’adresses IP publiques de la passerelle.
Ne déployez pas le programme de résolution privé Azure DNS dans un réseau virtuel disposant d’une passerelle de réseau virtuel ExpressRoute avec des règles génériques qui dirigent toute résolution de noms vers un serveur DNS spécifique. Cette configuration peut entraîner des problèmes de connectivité de gestion.
Taille du sous-réseau de passerelle
Lorsque vous créez le sous-réseau de passerelle, vous spécifiez le nombre d’adresses IP qu’il contient. Les machines virtuelles et services de passerelle utilisent ces adresses IP. Certaines configurations nécessitent plus d’adresses IP que d’autres.
Lorsque vous planifiez la taille de votre sous-réseau de passerelle, reportez-vous à la documentation relative à votre configuration spécifique. Par exemple, les configurations de coexistence de passerelle ExpressRoute/VPN nécessitent des sous-réseaux de passerelle plus volumineux que la plupart des autres configurations. Nous vous recommandons de créer un sous-réseau de passerelle qui peut prendre en charge les configurations futures possibles.
Recommendations:
- Créez un sous-réseau de passerelle de /27 ou plus pour la plupart des configurations.
- Si vous envisagez de connecter 16 circuits ExpressRoute à votre passerelle, vous devez créer un sous-réseau de passerelle de /26 ou plus.
- Pour les sous-réseaux de passerelle double pile, nous vous recommandons d’utiliser une plage IPv6 de /64 ou plus.
L’exemple PowerShell Azure Resource Manager suivant montre un sous-réseau de passerelle nommé GatewaySubnet. La notation CIDR spécifie un /27, qui fournit suffisamment d’adresses IP pour la plupart des configurations.
Add-AzVirtualNetworkSubnetConfig -Name 'GatewaySubnet' -AddressPrefix 10.0.3.0/27
Important
Les NSG sur le sous-réseau de passerelle ne sont pas pris en charge. Associer un groupe de sécurité réseau à ce sous-réseau peut empêcher votre passerelle de réseau virtuel (passerelles VPN et ExpressRoute) de fonctionner comme prévu. Pour plus d’informations sur les groupes de sécurité réseau, consultez Qu’est-ce qu’un groupe de sécurité réseau ?.
Limitations et performances de la passerelle
Prise en charge des fonctionnalités par référence SKU de passerelle
Le tableau suivant présente les fonctionnalités prises en charge par chaque référence SKU de passerelle et le nombre maximal de connexions de circuit ExpressRoute.
| SKU de la passerelle | Coexistence VPN et ExpressRoute | FastPath | Nombre maximal de connexions de circuit |
|---|---|---|---|
| Standard/ERGw1Az | Yes | No | 4 |
| Haute performance/ERGw2Az | Yes | No | 8 |
| Ultra-performance/ErGw3Az | Yes | Yes | 16 |
| ErGwScale | Yes | Oui (10 unités d’échelle minimales) | 4 (unité d’échelle minimale de 1) 8 (2 unités d’échelle minimales) 16 (10 unités d’échelle minimales) |
Note
Pour toutes les passerelles, quatre circuits ExpressRoute au maximum peuvent se connecter au même réseau virtuel à partir du même emplacement d’appairage.
Estimation des performances par SKU de passerelle
Les tableaux suivants fournissent une vue d’ensemble des différents types de passerelles, de leurs limitations respectives, et de leurs métriques de performances attendues.
Limites maximales prises en charge
Ce tableau s’applique aux modèles de déploiement Azure Resource Manager et classiques.
| SKU de la passerelle | Mégabits par seconde | Paquets par seconde | Nombre de machines virtuelles prises en charge dans le réseau virtuel 1 | Limite du nombre de flux | Nombre de routes apprises par passerelle |
|---|---|---|---|---|---|
| Standard/ERGw1Az | 1,000 | 100,000 | 2,000 | 200,000 | 4,000 |
| Haute performance/ERGw2Az | 2,000 | 200,000 | 4,500 | 400,000 | 9,500 |
| Ultra-performance/ErGw3Az | 10,000 | 1,000,000 | 11,000 | 1,000,000 | 9,500 |
| ErGwScale (par unité d’échelle 1-10) | 1 000 par unité d'échelle | 100 000 par unité d'échelle | 2 000 par unité d'échelle | 100 000 par unité d'échelle | 9 500 totaux par passerelle |
| ErGwScale (par unité d’échelle 11-40) | 1 000 par unité d'échelle | 200 000 par unité d’échelle | 1 000 par unité d'échelle | 100 000 par unité d'échelle | 9 500 totaux par passerelle |
1 Les valeurs de la table sont des estimations et varient en fonction de l’utilisation du processeur de la passerelle. Si l’utilisation du processeur est élevée, et si le nombre de machines virtuelles prises en charge est dépassé, la passerelle commence à abandonner des paquets.
Note
ExpressRoute peut faciliter jusqu’à 11 000 routes qui s’étendent sur les espaces d’adressage de réseau virtuel, les réseaux locaux et toutes les connexions d’appairage de réseaux virtuels appropriées. Pour veiller à la stabilité de votre connexion ExpressRoute, évitez de publier plus de 11 000 routes sur ExpressRoute. Le nombre maximal de routes publiées par passerelle est de 1 000 routes.
Important
- Les performances de l’application dépendent de plusieurs facteurs, par exemple la latence de bout en bout et le nombre de flux de trafic ouverts par l’application. Les numéros indiqués dans le tableau représentent la limite supérieure que l’application peut théoriquement atteindre dans un environnement idéal. De plus, nous effectuons une maintenance de routine de l’hôte et du système d’exploitation sur la passerelle réseau virtuelle ExpressRoute pour maintenir la fiabilité du service. Pendant une période de maintenance, la capacité du plan de contrôle et du chemin de données de la passerelle est réduite.
- Durant une période de maintenance, vous pouvez rencontrer des problèmes de connectivité intermittents aux ressources de point de terminaison privé.
- ExpressRoute prend en charge les paquets TCP et UDP dont la taille maximale est de 1 400 octets. Les paquets fragmentés ne sont pas pris en charge par les passerelles ExpressRoute. Ajustez votre application pour empêcher la fragmentation IP. Si la prise en charge de la fragmentation IP est requise, activez la fonctionnalité ExpressRoute FastPath pour contourner la passerelle ExpressRoute.
- Le service Serveur de routes Azure peut prendre en charge jusqu’à 4 000 machines virtuelles. Cette limite comprend les machines virtuelles dans les réseaux virtuels qui sont appairés. Pour plus d’informations, consultez Limitations du Serveur de routes Azure.
- Les valeurs du tableau ci-dessus représentent les limites de chaque référence SKU de passerelle.
Adresse IP publique affectée automatiquement
La fonctionnalité d’adresse IP publique affectée automatiquement simplifie le déploiement de passerelle ExpressRoute en permettant à Microsoft de gérer l’adresse IP publique requise en votre nom. Pour PowerShell et Command-Line Interface (CLI), vous n’êtes plus obligé de créer ou de gérer une ressource IP publique distincte pour votre passerelle.
Lorsque l’adresse IP publique affectée automatiquement est activée, la page Vue d’ensemble de la passerelle ExpressRoute n’affiche plus de champ d’adresse IP publique. Cela signifie que l’adresse IP publique de la passerelle est automatiquement approvisionnée et gérée par Microsoft.
Principaux avantages :
- Sécurité améliorée : L’adresse IP publique est gérée en interne par Microsoft et n’est pas exposée à vous, ce qui réduit les risques associés aux ports de gestion ouverts.
- Complexité réduite : Vous n’êtes plus obligé de provisionner ou de gérer une ressource IP publique.
- Déploiement simplifié : Azure PowerShell et l’interface CLI n’invitent plus à entrer une adresse IP publique lors de la création de la passerelle.
Fonctionnement :
Lorsque vous créez une passerelle ExpressRoute, Microsoft provisionne et gère automatiquement l’adresse IP publique dans un abonnement principal sécurisé. Cette adresse IP est encapsulée dans la ressource de passerelle, ce qui permet à Microsoft d’appliquer des stratégies telles que les limites de débit de données et d’améliorer l’audit. Auparavant, il était possible de créer la ressource d’adresse IP publique en tant que ressource zonale, ce qui garantit que toutes les instances de la passerelle de cette zone partagent la même adresse IP publique. Le nouveau comportement est que la passerelle est toujours redondante entre les zones.
Availability:
L’adresse IP publique affectée automatiquement n’est pas disponible pour les déploiements de wan virtuel (vWAN) ou de zones étendues.
Connectivité d'un réseau virtuel à un autre réseau virtuel et d'un réseau virtuel à un WAN virtuel
Par défaut, la connectivité de réseau virtuel à réseau virtuel et la connectivité de réseau virtuel à Virtual WAN est désactivée via un circuit ExpressRoute pour toutes les références SKU de passerelle. Pour activer cette connectivité, vous devez configurer la passerelle de réseau virtuel ExpressRoute de façon à autoriser ce trafic. Pour plus d’informations, consultez l’aide sur la connectivité de réseau virtuel sur ExpressRoute. Pour activer ce trafic, consultez Activer la connectivité entre réseau virtuel et réseau virtuel ou entre réseau virtuel et WAN virtuel via ExpressRoute.
FastPath
ExpressRoute FastPath améliore les performances du chemin de données entre votre réseau local et votre réseau virtuel. Lorsqu’il est activé, FastPath envoie le trafic réseau directement aux machines virtuelles du réseau virtuel, en contournant la passerelle.
Pour plus d’informations sur FastPath, y compris les limitations et les exigences, consultez À propos de FastPath.
Connectivité de point de terminaison privé
La passerelle de réseau virtuel ExpressRoute facilite la connexion aux points de terminaison privés déployés dans le même réseau virtuel et sur les réseaux virtuels connectés en paire.
Important
- La capacité de débit et de plan de contrôle pour la connectivité aux ressources de point de terminaison privé peut être réduite de moitié par rapport à la connectivité aux ressources de point de terminaison non privé.
- Durant une période de maintenance, vous pouvez rencontrer des problèmes de connectivité intermittents aux ressources de point de terminaison privé.
- Vous devez vous assurer que la configuration locale, y compris les paramètres de routeur et de pare-feu, est correctement configurée pour veiller à ce que les paquets pour les transits IP 5 tuples utilisent un seul tronçon suivant (routeur Microsoft Enterprise Edge), sauf s’il existe un événement de maintenance. Si votre configuration de routeur ou pare-feu local provoque au même IP 5-tuple de changer fréquemment de tronçons suivants, vous rencontrez des problèmes de connectivité.
- Assurez-vous que les stratégies réseau (au minimum, pour la prise en charge UDR) sont activées sur le(s) sous-réseau(x) où les points de terminaison privés sont déployés
Connectivité de point de terminaison privé et événements de maintenance planifiée
La connectivité de point de terminaison privé est avec état. Lorsque vous établissez une connexion à un point de terminaison privé via un peering privé ExpressRoute, l’infrastructure de passerelle achemine les connexions entrantes et sortantes via l’une de ses instances principales. Pendant les événements de maintenance, les instances back-end redémarrent une à la fois, ce qui peut entraîner des problèmes de connectivité intermittents.
Pour éviter ou réduire les problèmes de connectivité avec les points de terminaison privés pendant les activités de maintenance, définissez la valeur de délai d’attente TCP entre 15 et 30 secondes sur vos applications locales. Testez et configurez la valeur optimale en fonction des besoins de votre application.
API REST et applets de commande PowerShell
Pour connaître les ressources techniques et les exigences de syntaxe spécifiques lors de l’utilisation des API REST et des applets de commande PowerShell pour les configurations de passerelle de réseau virtuel, consultez :
| Classic | Gestionnaire de ressources |
|---|---|
| PowerShell | PowerShell |
| REST API | REST API |
Connectivité de réseau virtuel à réseau virtuel
Par défaut, la connectivité entre réseaux virtuels est activée quand vous liez plusieurs réseaux virtuels au même circuit ExpressRoute. Nous vous déconseillons d’utiliser votre circuit ExpressRoute pour la communication entre les réseaux virtuels. Nous vous recommandons plutôt d’utiliser l’appairage de réseaux virtuels. Pour plus d’informations sur la raison pour laquelle la connectivité de réseau virtuel à réseau virtuel n’est pas recommandée via ExpressRoute, consultez Connectivité entre les réseaux virtuels via ExpressRoute.
Limites de peering de réseaux virtuels
Un réseau virtuel avec une passerelle ExpressRoute peut avoir un appairage de réseaux virtuels avec un maximum de 500 autres réseaux virtuels. Les réseaux virtuels sans passerelle ExpressRoute peuvent avoir des limites de peering plus élevées.