WAN virtuel Microsoft Azure
Microsoft Azure Virtual WAN et Citrix SD-WAN fournissent une connectivité réseau simplifiée et une gestion centralisée des charges de travail du cloud hybride. Vous pouvez automatiser la configuration des appliances de succursale pour vous connecter au réseau étendu Azure et configurer les stratégies de gestion du trafic de succursale en fonction des besoins de votre entreprise. L’interface intégrée du tableau de bord fournit des informations de dépannage instantanées qui peuvent gagner du temps et fournir une visibilité pour une connectivité site à site à grande échelle.
Microsoft Azure Virtual WAN vous permet d’activer une connectivité simplifiée aux charges de travail Azure Cloud et d’acheminer le trafic sur le réseau de base Azure et au-delà. Azure fournit plus de 54 régions et plusieurs points de présence dans le monde entier. Les régions Azure servent de hubs que vous pouvez choisir de vous connecter aux succursales. Une fois les branches connectées, utilisez le service cloud Azure via la connectivité Hub-to-Hub. Vous pouvez simplifier la connectivité en appliquant plusieurs services Azure, y compris l’appairage Hub avec les réseaux virtuels Azure. Les hubs servent de passerelles de circulation pour les succursales.
Microsoft Azure Virtual WAN offre les avantages suivants :
-
Solutions de connectivité intégrées dans le hub et le rayon : automatisez la connectivité et la configuration de site à site entre le hub local et Azure à partir de diverses sources, y compris des solutions partenaires connectés.
-
Configuration et configuration automatisées : connectez vos réseaux virtuels au Hub Azure en toute transparence.
-
Dépannage intuitif : vous pouvez voir le flux de bout en bout dans Azure et utiliser ces informations pour effectuer les actions requises.
Communication Hub-to-Hub
Avec la version 11.1.0, Azure Virtual WAN est pris en charge la communication hub-to-hub à l’aide de la méthode de type standard.
Les clients Azure Virtual WAN peuvent désormais tirer parti du réseau central mondial de Microsoft pour la communication entre les régions Hub-to-Hub (architecture de réseau de transit mondial). Cela permet la communication de branche vers Azure, de branche à branche sur l’épine dorsale Azure et de communication de branche à hub (dans toutes les régions Azure).
Vous ne pouvez tirer parti de l’épine dorsale d’Azure pour la communication interrégionale que lorsque vous achetez le SKU standard pour le WAN virtuel Azure. Pour plus de détails sur les tarifs, reportez-vous à Tarification WAN virtuel. Avec le SKU de base, vous ne pouvez pas utiliser l’épine dorsale d’Azure pour la communication entre les régions Hub-to-Hub. Pour plus de détails, consultez Architecture de réseau de transit mondial et réseau étendu virtuel.
Les concentrateurs sont tous connectés les uns aux autres dans un WAN virtuel. Cela implique qu’une branche, un utilisateur ou un réseau virtuel connecté à un concentrateur local peut communiquer avec une autre branche ou un réseau virtuel en utilisant l’architecture maillée complète des concentrateurs connectés.
Vous pouvez également connecter des réseaux virtuels au sein d’un concentrateur passant par le hub virtuel, et des réseaux virtuels à travers le hub, à l’aide de la structure connectée hub-to-hub.
Il existe deux types de WAN virtuel :
-
De base : à l’aide de la méthode Basic, les communications Hub-to-Hub se produisent dans une région. Le type WAN de base permet de créer un concentrateur de base (SKU = Basic). Les concentrateurs de base sont limités à la fonctionnalité VPN de site à site.
-
Standard : à l’aide de la méthode standard, les communications entre hub-to-hub se produisent entre différentes régions. Un WAN standard permet de créer un concentrateur standard (SKU = Standard). Les concentrateursstandard contiennent ExpressRoute, User VPN (P2S), hub maillé complet et VNET-to-VNET transit via les concentrateurs.
Créer un service WAN virtuel Azure dans Microsoft Azure
Pour créer la ressource WAN virtuel Azure, effectuez les opérations suivantes :
-
Connectez-vous au portail Azure et cliquez sur Créer une ressource.
-
Recherchez Virtual WAN et cliquez sur Créer.
-
Sous Base, indiquez les valeurs pour les champs suivants :
-
Abonnement : sélectionnez et fournissez les détails de l’abonnement dans la liste déroulante.
-
Groupe de ressources : sélectionnez un groupe de ressources existant ou créez-en un nouveau.
Remarque
Lors de la création du principal de service pour autoriser la communication API Azure, assurez-vous d’utiliser le même groupe de ressources qui contient le WAN virtuel. Sinon, SD-WAN Orchestrator ne dispose pas des autorisations suffisantes pour s’authentifier auprès des API Azure Virtual WAN qui activent la connectivité automatisée.
-
Emplacement du groupe de ressources : sélectionnez la région Azure dans la liste déroulante.
- Nom : Indiquez le nom du nouveau réseau étendu virtuel.
- Type : sélectionnez Type standard si vous souhaitez utiliser la communication Hub-to-Hub entre différentes régions, sinon sélectionnez Basic.
-
- Cliquez sur Review+create.
- Vérifiez les détails que vous avez saisis pour créer le WAN virtuel et cliquez sur Créer pour terminer la création du réseau étendu virtuel.
Le déploiement de la ressource prend moins d’une minute.
Remarque
Vous pouvez effectuer une mise à niveau de base vers Standard, mais vous ne pouvez pas revenir de Standard à Basic. Pour savoir comment mettre à niveau un WAN virtuel, reportez-vous à la section Mettre à niveau un WAN virtuel de base à standard.
Créer un concentrateur dans le WAN virtuel Azure
Procédez comme suit pour créer un concentrateur afin d’activer la connectivité à partir de différents points de terminaison (par exemple, des périphériques VPN locaux ou des périphériques SD-WAN) :
- Sélectionnez le WAN virtuel Azure créé précédemment.
-
Sélectionnez Hubs sous la section Connectivité, puis cliquez sur + Nouveau Hub.
-
Sous Base, indiquez les valeurs pour les champs suivants :
- Région : sélectionnez la région Azure dans la liste déroulante.
- Nom — Entrez le nom du nouveau Hub.
- Espace d’adressage privé Hub — Entrez la plage d’adresses dans CIDR. Sélectionnez un réseau unique dédié au concentrateur uniquement.
-
Cliquez sur Suivant : Site à Site > et indiquez les valeurs pour les champs suivants :
- Voulez-vous créer un site à site (passerelle VPN) ? — Sélectionnez Oui.
-
Unités d’échelle de passerelle : sélectionnez les unités d’échelle dans la liste déroulante selon les besoins.
- Cliquez sur Review+create.
- Vérifiez les paramètres et cliquez sur Créer pour démarrer la création du hub virtuel.
Le déploiement de la ressource peut prendre jusqu’à 30 minutes.
Créer un principal de service pour Azure Virtual WAN et identifier les ID
Pour que SD-WAN Orchestrator puisse s’authentifier via des API WAN virtuelles Azure et activer la connectivité automatisée, une application enregistrée doit être créée et identifiée avec les informations d’identification suivantes :
- ID d’abonnement
- ID client
- Clé secrète client
- ID de locataire
Remarque
Lors de la création du principal de service pour autoriser la communication API Azure, assurez-vous d’utiliser le même groupe de ressources qui contient le WAN virtuel. Sinon, SD-WAN Orchestrator ne dispose pas des autorisations suffisantes pour s’authentifier auprès des API Azure Virtual WAN qui activent la connectivité automatisée.
Procédez comme suit pour créer une nouvelle inscription d’application :
- Dans le portail Azure, accédez à Azure Active Directory.
- Sous Gérer, sélectionnez Enregistrement de l’application.
-
Cliquez sur + Nouvelle inscription.
-
Fournissez des valeurs pour les champs suivants pour enregistrer une application :
- Nom — Indiquez le nom de l’enregistrement de la demande.
- Types de compte pris en charge : sélectionnez Comptes dans ce répertoire organisationnel uniquement (* - locataire unique) option.
- URI de redirection (facultatif) : sélectionnez Web dans la liste déroulante et entrez une URL unique et aléatoire (par exemple, https:// localhost:4980)
- Cliquez sur Enregistrer.
Vous pouvez copier et stocker l’ID d’application (client) et l’ID d’ annuaire (locataire) qui peuvent être utilisés dans SD-WAN Orchestrator pour l’authentification à l’abonnement Azure pour l’utilisation de l’API.
L’étape suivante pour l’enregistrement de l’application, créez une clé principale de service à des fins d’authentification.
Pour créer la clé principale de service, effectuez les opérations suivantes :
- Dans le portail Azure, accédez à Azure Active Directory.
- Sous Gérer, accédez à Enregistrement des applications.
- Sélectionnez l’application enregistrée (créée précédemment).
- Sous Gérer, sélectionnez Certificats et secrets.
-
Sous Secrets client, cliquez sur + Nouveau secret client.
- Pour ajouter un secret client, fournissez des valeurs pour les champs suivants :
- Description : Indiquez un nom pour la clé principale de service.
- Expiration : sélectionnez la durée d’expiration selon les besoins.
- Cliquez sur Ajouter.
-
Le secret client est désactivé dans la colonne Valeur. Copiez la clé dans votre presse-papiers. Il s’agit du secret client que vous devez entrer dans SD-WAN Orchestrator.
Remarque
Vous devez copier et stocker la valeur de clé secrète avant de recharger la page car elle ne sera plus affichée par la suite.
Procédez comme suit pour attribuer les rôles appropriés à des fins d’authentification :
- Dans le portail Azure, accédez au groupe de ressources où le WAN virtuel a été créé.
- Accédez à Contrôle d’accès (IAM).
-
Cliquez sur + Ajouter et sélectionnez Ajouter une affectation de rôle.
-
Pour ajouter une attribution de rôle, fournissez des valeurs pour les champs suivants :
- Rôle — Sélectionnez Propriétaire dans la liste déroulante. Ce rôle permet de gérer tout, y compris l’accès aux ressources.
- Attribuer l’accès à : sélectionnez l’utilisateur, le groupe ou leprincipal de serviceAzure AD.
- Sélectionner — Indiquez le nom de l’application enregistrée créée précédemment et sélectionnez l’entrée correspondante lorsqu’elle apparaît.
-
Cliquez sur Enregistrer.
Enfin, vous devez obtenir l’ID d’abonnement pour le compte Azure. Vous pouvez identifier votre ID d’abonnement en recherchant des abonnements dans le portail Azure.
Une fois que vous avez créé le WAN virtuel, connectez-vous à l’ interface utilisateur du SD-WAN Center > Configuration > Azure > WAN virtuel.
Sélectionnez deux sites différents et démarrez le déploiement. Une fois les sites déployés, vous pouvez associer les deux sites à deux concentrateurs différents.
REMARQUE Par défaut branche à branche et BGP est désactivé. Vous pouvez créer un itinéraire statique ou activer la connectivité BGP (sous Paramètres) et branche à branche.
Activez la case à cocher BGP et branche à branche et déployez les tunnels. Une fois les tunnels déployés avec succès, vous pouvez vérifier l’état dans Microsoft Azure > Groupes de ressources sélectionnez le groupe de ressources que vous avez créé et cliquez sur Sites VPN.