Qu’est-ce qu’un réseau virtuel Azure ?

  • 7 minutes

Le réseau virtuel Azure est un service qui fournit le bloc de construction fondamental de votre réseau privé dans Azure. Une instance du service (un réseau virtuel) permet à de nombreux types de ressources Azure de communiquer en toute sécurité entre elles, avec Internet et les réseaux locaux. Ces ressources Azure comprennent les machines virtuelles (VM).

Un réseau virtuel est similaire à un réseau traditionnel que vous utiliseriez dans votre propre centre de données. Mais il offre des avantages supplémentaires de l’infrastructure Azure, tels que la mise à l’échelle, la disponibilité et l’isolation.

Diagramme montrant un exemple de réseau virtuel Azure.

Pourquoi utiliser un réseau virtuel Azure ?

Les scénarios clés que vous pouvez accomplir avec un réseau virtuel sont les suivants :

  • Communication de ressources Azure avec Internet.
  • Communication entre des ressources Azure.
  • Communication avec des ressources locales.
  • Filtrage du trafic réseau.
  • Routage du trafic réseau.
  • Intégration avec les services Azure.

Communiquer avec Internet

Toutes les ressources d’un réseau virtuel peuvent effectuer une communication sortante avec Internet, par défaut. Vous pouvez également utiliser une adresse IP publique, une NAT Gateway ou un équilibreur de charge public pour gérer vos connexions sortantes. Vous pouvez une communication entrante avec une ressource en affectant une adresse IP publique ou un équilibreur de charge public.

Lorsque vous n'utilisez qu'un équilibreur de charge standard interne, la connectivité sortante n'est pas disponible jusqu'à ce que vous définissiez comment vous souhaitez que les connexions sortantes fonctionnent avec une adresse IP publique au niveau de l'instance ou un équilibreur de charge public.

Communiquer entre les ressources Azure

Les ressources Azure communiquent en toute sécurité entre elles de l’une des manières suivantes :

  • Réseau virtuel : vous pouvez déployer des machines virtuelles et d’autres types de ressources Azure dans un réseau virtuel. Des exemples de ressources incluent les environnements App Service, Azure Kubernetes Service (AKS) et Microsoft Azure Virtual Machine Scale Sets. Pour afficher la liste complète des ressources Azure que vous pouvez déployer dans un réseau virtuel, consultez Déployer des services Azure dédiés dans des réseaux virtuels.
  • Point de terminaison de service de réseau virtuel : vous pouvez étendre l’espace d’adressage privé de votre réseau virtuel et l’identité de votre réseau virtuel aux ressources de service Azure via une connexion directe. Les comptes de stockage Azure et Azure SQL Database sont des exemples de ressources. Les points de terminaison de service vous permettent de sécuriser vos ressources de service Azure critiques uniquement sur un réseau virtuel. Pour plus d’informations, consultez Points de terminaison de service de réseau virtuel.
  • Peering de réseaux virtuels : vous pouvez connecter des réseaux virtuels entre eux à l’aide du peering virtuel. Les ressources d’un réseau virtuel peuvent ensuite communiquer entre elles. Les réseaux virtuels que vous connectez peuvent être situés dans les même régions Azure ou dans des régions différentes. Pour en savoir plus, consultez Appairage de réseaux virtuels.

Communiquer avec les ressources locales

Vous pouvez connecter vos ordinateurs et réseaux locaux à un réseau virtuel à l’aide de l’une des options suivantes :

  • Réseau privé virtuel de point à site (VPN) : établi entre un réseau virtuel et un seul ordinateur de votre réseau. Chaque ordinateur qui souhaite établir une connectivité avec un réseau virtuel doit configurer sa connexion. Ce type de connexion est utile si vous commencez avec Azure, ou pour les développeurs, car il nécessite peu ou pas de modifications du réseau existant. La communication entre votre ordinateur et un réseau virtuel est envoyée via un tunnel chiffré via Internet. Pour en savoir plus, consultez À propos du VPN point à site.
  • VPN de site à site : établi entre votre appareil VPN local et une passerelle VPN Azure déployée dans un réseau virtuel. Ce type de connexion active toute ressource locale que vous autorisez à accéder à un réseau virtuel. La communication entre votre appareil VPN local et une passerelle VPN Azure est envoyée via un tunnel chiffré sur Internet. Pour plus d’informations, consultez VPN site à site.
  • Azure ExpressRoute : établi entre votre réseau et Azure, via un partenaire ExpressRoute. Cette connexion est privée. Le trafic ne passe pas par Internet. Pour en savoir plus, consultez Présentation d’Azure ExpressRoute.

Filtrer le trafic réseau

Vous pouvez filtrer le trafic réseau entre les sous-réseaux en utilisant l’une ou l’autre des options suivantes :

  • Groupes de sécurité réseau : les groupes de sécurité réseau et les groupes de sécurité d’application peuvent contenir plusieurs règles de sécurité entrantes et sortantes. Ces règles vous permettent de filtrer le trafic échangé avec les ressources par adresse IP source ou de destination, port ou protocole. Pour en savoir plus, consultez Groupes de sécurité réseau et Groupes de sécurité d’application.
  • Appliances virtuelles réseau : une appliance virtuelle réseau est une machine virtuelle qui exécute une fonction réseau, telle qu’un pare-feu ou une optimisation WAN. Pour afficher la liste des appliances virtuelles réseau disponibles que vous pouvez déployer dans un réseau virtuel, consultez Place de marché Azure.

Router le trafic réseau

Azure achemine le trafic entre les sous-réseaux, les réseaux virtuels connectés, les réseaux locaux et Internet, par défaut. Vous pouvez implémenter l’une des options suivantes (ou les deux) pour remplacer les itinéraires par défaut créés par Azure :

  • Tables de routage : vous pouvez créer des tables de routage personnalisées qui contrôlent où le trafic est acheminé pour chaque sous-réseau.
  • Itinéraires BGP (Border Gateway Protocol) : si vous connectez votre réseau virtuel à votre réseau local à l’aide d’une passerelle VPN Azure ou d’une connexion ExpressRoute , vous pouvez propager vos itinéraires BGP locaux vers vos réseaux virtuels.

Intégrer avec les services Azure

L’intégration des services Azure à un réseau virtuel Azure permet un accès privé au service à partir de machines virtuelles ou de ressources de calcul dans le réseau virtuel. Vous pouvez utiliser les options suivantes pour cette intégration :

  • Déployez des instances dédiées du service dans un réseau virtuel. Les services sont ensuite accessibles en privé au sein du réseau virtuel et à partir de réseaux locaux.
  • Utilisez Azure Private Link pour accéder en privé à une instance spécifique du service à partir de votre réseau virtuel et de réseaux locaux.
  • Accédez au service à l’aide de points de terminaison publics en étendant un réseau virtuel au service par le biais de points de terminaison de service. Les points de terminaison de service permettent aux ressources de service d’être sécurisées sur le réseau virtuel.

Limites

Le nombre de ressources Azure que vous pouvez déployer est limité. La plupart des limites de mise en réseau Azure sont aux valeurs maximales. Toutefois, vous pouvez augmenter certaines limites de mise en réseau. Pour plus d’informations, consultez Limites de mise en réseau.

Réseaux virtuels et zones de disponibilité

Les réseaux virtuels et les sous-réseaux s’étendent sur toutes les zones de disponibilité d’une région. Vous n’avez pas besoin de les diviser par zones de disponibilité pour prendre en charge les ressources zonales. Par exemple, si vous configurez une machine virtuelle zonale, vous n’avez pas à prendre en compte le réseau virtuel lors de la sélection de la zone de disponibilité de la machine virtuelle. Il en va de même pour d’autres ressources zonales.

Tarification

L’utilisation du réseau virtuel Microsoft Azure n’occasionne aucuns frais. Elle est gratuite. Des frais standard s’appliquent aux ressources, telles que les machines virtuelles et autres produits. Pour en savoir plus, reportez-vous à la tarification des réseaux virtuels et la calculatrice de prix Azure.