Un réseau LAN traditionnel multisite peut devoir connecter plusieurs bureaux de succursale à un siège social. De la même manière, un réseau de cloud hybride implique l’utilisation de technologies appropriées pour interconnecter en continu les utilisateurs locaux (on‑premises), ainsi que les applications et données locales avec les applications et données hébergées dans le cloud.

Dans notre scénario, Tailwind Traders doit pouvoir connecter de manière sécurisée ses sites locaux aux ressources exécutées dans Azure. Pour le personnel de Tailwind Traders, il ne devrait y avoir aucune différence réelle entre l’accès à une charge de travail exécutée dans un centre de données local de Tailwind Traders ou à une charge de travail exécutée dans Azure.

Dans cette unité, vous apprendrez les technologies réseau qui permettent aux ressources locales et cloud d’être mises en réseau dans un seul cloud hybride.

Qu’est‑ce qu’un VPN Azure ?

Une passerelle VPN Azure vous permet de connecter votre réseau local à Azure en utilisant un tunnel VPN sécurisé via Internet public. Les connexions VPN Azure sont similaires aux connexions traditionnelles qui peuvent exister entre un bureau de succursale et un siège social. Chaque réseau virtuel ne peut avoir qu’une seule passerelle VPN, mais chaque passerelle VPN prend en charge plusieurs connexions.

L’image suivante montre une connexion entre un dispositif de passerelle périmétrique sur un réseau local et une passerelle VPN sur un réseau virtuel Azure. Elle reflète la connexion entre un appareil Azure Stack et une passerelle VPN.

Dans l’exemple de Tailwind Traders, l’entreprise peut utiliser les passerelles VPN Azure pour permettre des connexions à partir de sites plus petits qui n’ont pas besoin du type de liaison dédiée fourni par une connexion Azure ExpressRoute. Le principal inconvénient des passerelles VPN Azure est qu’elles dépendent de la connexion Internet de votre fournisseur de services Internet (FSI). Si votre FSI tombe en panne, les connexions VPN ne peuvent pas être établies. De même, si votre FSI subit une congestion importante, la vitesse de la connexion VPN entre un site local et Azure peut se dégrader.

Les organisations qui utilisent des connexions VPN entre sites de succursales sont déjà confrontées à des défis liés aux connexions VPN dédiées.

Qu’est‑ce qu’Azure ExpressRoute ?

Microsoft Azure ExpressRoute permet à une organisation de bénéficier d’une connexion large bande privée et dédiée entre son réseau local et Azure. Cette connexion ne passe pas par Internet public. Fonctionnellement, il s’agit d’une ligne de fibre optique dédiée qui connecte directement un site local au centre de données Azure le plus proche.

Contrairement à une passerelle VPN, le fournisseur ExpressRoute gère l’équipement qui fournit cette connexion. Comme le fournisseur ExpressRoute gère tout l’équipement, il peut fournir un accord de niveau de service (SLA) basé sur la fiabilité et la bande passante, qui n’est pas disponible pour les utilisateurs des connexions via passerelle VPN Azure.

L’image suivante montre la connexion ExpressRoute entre l’environnement local et les charges de travail exécutées dans Azure. Le fournisseur ExpressRoute gère le circuit ExpressRoute et les routeurs périphériques locaux.

En plus de fournir une connexion à bande passante dédiée entre l’environnement local et Azure, ExpressRoute permet à une organisation de garantir que le trafic sensible ne passe pas par Internet public. Ce type de connexion est important dans les juridictions où les exigences de gouvernance interdisent la transmission de certains types d’informations sur Internet.

Dans l’exemple de l’étude de cas, Tailwind Traders peut mettre en place une connexion ExpressRoute depuis les bureaux plus grands comme Melbourne, Sydney et Auckland, où davantage de personnes sont présentes. L’entreprise peut également avoir besoin d’utiliser ExpressRoute si certains types de données gérées ne peuvent pas être transférés sur Internet pour des raisons de conformité.

Qu’est‑ce que le DNS hybride ?

Lorsque vous implémentez un cloud hybride, il est nécessaire de garantir que les charges de travail locales puissent résoudre les adresses des charges de travail cloud et que les charges de travail cloud puissent résoudre les adresses des charges de travail locales. Les déploiements du Domain Name System (DNS) dans un cloud hybride nécessitent généralement des serveurs DNS sur site et dans Azure. De plus, des transferts de zones DNS doivent être configurés entre l’environnement local et le cloud. Une alternative consiste à configurer des redirecteurs DNS si la zone DNS locale est distincte de la zone DNS associée aux charges de travail exécutées dans Azure.

L’image suivante montre des serveurs DNS sur site répliquant des informations DNS vers des serveurs DNS exécutés dans Azure. Dans ce scénario, une machine virtuelle est déployée en tant que serveur DNS dans Azure. Sur l’image, les DNS locaux connectent une subscription hub avec des serveurs DNS dans des machines virtuelles. D’autres subscriptions Azure se connectent à la subscription hub.

De manière alternative, Azure DNS Private Resolver est un service qui vous permet d’interroger les zones DNS privées Azure depuis un environnement local, et inversement, sans déployer de serveurs DNS basés sur des machines virtuelles. Le service de résolution privée est entièrement géré et possède des fonctionnalités intégrées de haute disponibilité.

Tailwind Traders peut utiliser Azure DNS Private Resolver pour garantir que toutes ses charges de travail exécutées dans Azure peuvent résoudre les noms DNS des hôtes sur le réseau interne de Tailwind Traders. Il garantit également que tous les hôtes du réseau interne de Tailwind Traders peuvent résoudre les noms DNS des charges de travail exécutées dans le cloud.

Introduction à Azure Virtual WAN

Azure Virtual WAN permet à une organisation d’utiliser le réseau Azure dans une architecture en étoile (hub‑and‑spoke). Le réseau Azure fonctionne comme un hub pour la connectivité transitive entre les points de terminaison qui fonctionnent comme des spokes.

Traditionnellement, vous pouvez avoir une topologie réseau où chaque succursale possède une connexion VPN vers le site du siège. Si le trafic circule d’une succursale à une autre, il passe par le site hub pour y accéder. Si le siège et les sites des succursales sont tous connectés à Azure, soit via un VPN, soit via ExpressRoute, ces connexions peuvent former les spokes. Azure Virtual WAN peut fonctionner comme le hub de routage pour le trafic entre les sites locaux (on‑premises).

L’image suivante montre une topologie Azure Virtual WAN.

Azure Virtual WAN permet à Tailwind Traders de s’éloigner de l’utilisation de connexions VPN pour connecter les bureaux de succursale aux emplacements de centres de données de Sydney, Melbourne et Auckland. Il fournit une topologie où chaque bureau de succursale et chaque centre de données dispose d’une connexion VPN ou ExpressRoute vers Azure. Le service Azure Virtual WAN gère le routage du trafic entre les sites.