Microsoft Azure Virtual WAN

Microsoft Azure Virtual WAN et Citrix SD-WAN™ offrent une connectivité réseau simplifiée et une gestion centralisée des charges de travail de cloud hybride. Vous pouvez automatiser la configuration des appliances de succursale pour qu’elles se connectent à Azure WAN et configurer les stratégies de gestion du trafic de succursale en fonction de vos exigences métier. L’interface de tableau de bord intégrée fournit des informations de dépannage instantanées qui permettent de gagner du temps et d’assurer la visibilité pour la connectivité site à site à grande échelle.

Microsoft Azure Virtual WAN vous permet d’activer une connectivité simplifiée aux charges de travail Azure Cloud et de router le trafic via le réseau principal Azure et au-delà. Azure fournit plus de 54 régions et plusieurs points de présence dans le monde entier. Les régions Azure servent de hubs auxquels vous pouvez choisir de connecter les succursales. Une fois les succursales connectées, utilisez le service cloud Azure via la connectivité hub à hub. Vous pouvez simplifier la connectivité en appliquant plusieurs services Azure, y compris le peering de hub avec les réseaux virtuels Azure (VNet). Les hubs servent de passerelles de trafic pour les succursales.

Microsoft Azure Virtual WAN offre les avantages suivants :

• Solutions de connectivité intégrées en étoile – Automatisez la connectivité et la configuration site à site entre les environnements sur site et le hub Azure à partir de diverses sources, y compris les solutions partenaires connectées.

• Configuration et installation automatisées – Connectez vos réseaux virtuels au hub Azure de manière transparente.

• Dépannage intuitif – Vous pouvez visualiser le flux de bout en bout au sein d’Azure et utiliser ces informations pour prendre les mesures nécessaires.

Communication de hub à hub

Avec la version 11.1.0, Azure Virtual WAN prend en charge la communication de hub à hub à l’aide de la méthode de type Standard.

Les clients Azure Virtual WAN peuvent désormais tirer parti du réseau principal mondial de Microsoft pour la communication de hub à hub inter-régions (architecture de réseau de transit global). Cela permet la communication de succursale à Azure, de succursale à succursale via le réseau principal Azure, et de succursale à hub (dans toutes les régions Azure).

Vous ne pouvez tirer parti du réseau principal d’Azure pour la communication inter-régions que si vous achetez la référence SKU Standard pour Azure Virtual WAN. Pour plus de détails sur les tarifs, consultez Tarification de Virtual WAN. Avec la référence SKU De base, vous ne pouvez pas utiliser le réseau principal d’Azure pour la communication de hub à hub inter-régions. Pour plus de détails, consultez Architecture de réseau de transit global et Virtual WAN.

Les hubs sont tous connectés les uns aux autres dans un Virtual WAN. Cela implique qu’une succursale, un utilisateur ou un VNet connecté à un hub local peut communiquer avec une autre succursale ou un autre VNet en utilisant l’architecture maillée complète des hubs connectés.

Vous pouvez également connecter des VNet au sein d’un hub transitant par le hub virtuel, et des VNet entre hubs, en utilisant le cadre de connectivité de hub à hub.

Il existe deux types de Virtual WAN :

• De base : Avec la méthode De base, les communications de hub à hub se produisent au sein d’une seule région. Le type de WAN De base permet de créer un hub de base (SKU = De base). Les hubs de base sont limités à la fonctionnalité VPN site à site.

• Standard : Avec la méthode Standard, les communications de hub à hub se produisent entre différentes régions. Un WAN Standard permet de créer un hub standard (SKU = Standard). Les hubs Standard contiennent ExpressRoute, VPN utilisateur (P2S), un hub maillé complet et le transit VNet à VNet via les hubs.

  

Créer un service Azure Virtual WAN dans Microsoft Azure

Pour créer la ressource Azure Virtual WAN, effectuez les étapes suivantes :

1. Connectez-vous au portail Azure et cliquez sur Créer une ressource.

   

2. Recherchez Virtual WAN et cliquez sur Créer.

3. Sous De base, fournissez les valeurs pour les champs suivants :

   • Abonnement : sélectionnez et fournissez les détails de l’abonnement dans la liste déroulante.

   • Groupe de ressources : sélectionnez un groupe de ressources existant ou créez-en un nouveau.

     Remarque

     Lors de la création du principal de service pour autoriser la communication de l’API Azure, assurez-vous d’utiliser le même groupe de ressources que celui qui contient le Virtual WAN. Sinon, SD-WAN Orchestrator n’aura pas les autorisations suffisantes pour s’authentifier auprès des API Azure Virtual WAN qui permettent la connectivité automatisée.

   • Emplacement du groupe de ressources : sélectionnez la région Azure dans la liste déroulante.

   • Nom : fournissez le nom du nouveau Virtual WAN.
   • Type : sélectionnez le type Standard si vous souhaitez utiliser la communication de hub à hub entre différentes régions, sinon sélectionnez De base.

   

4. Cliquez sur Vérifier + créer.
5. Vérifiez les détails que vous avez saisis pour créer le Virtual WAN et cliquez sur Créer pour finaliser la création du Virtual WAN.

Le déploiement de la ressource prend moins d’une minute.

Remarque

Vous pouvez passer de De base à Standard, mais vous ne pouvez pas revenir de Standard à De base. Pour connaître les étapes de mise à niveau d’un Virtual WAN, consultez Mettre à niveau un Virtual WAN de De base à Standard.

Créer un hub dans Azure Virtual WAN

Effectuez les étapes suivantes pour créer un hub afin d’activer la connectivité à partir de divers points de terminaison (par exemple, des périphériques VPN sur site ou des périphériques SD-WAN) :

1. Sélectionnez l’Azure Virtual WAN créé précédemment.

2. Sélectionnez Hubs sous la section Connectivité et cliquez sur + Nouveau hub.

   

3. Sous De base, fournissez les valeurs pour les champs suivants :

   • Région – Sélectionnez la région Azure dans la liste déroulante.
   • Nom – Saisissez le nom du nouveau hub.
   • Espace d’adressage privé du hub – Saisissez la plage d’adresses au format CIDR. Sélectionnez un réseau unique dédié uniquement au hub.

4. Cliquez sur Suivant : Site à site > et fournissez les valeurs pour les champs suivants :

   • Voulez-vous créer une passerelle VPN (site à site) ? – Sélectionnez Oui.

   • Unités d’échelle de la passerelle – Sélectionnez les unités d’échelle dans la liste déroulante selon vos besoins.

     

5. Cliquez sur Vérifier + créer.
6. Vérifiez les paramètres et cliquez sur Créer pour démarrer la création du hub virtuel.

Le déploiement de la ressource peut prendre jusqu’à 30 minutes.

Créer un principal de service pour Azure Virtual WAN et identifier les ID

Pour que SD-WAN Orchestrator s’authentifie via les API Azure Virtual WAN et active la connectivité automatisée, une application enregistrée doit être créée et identifiée avec les informations d’authentification suivantes :

• ID d’abonnement
• ID client
• Clé secrète client
• ID de locataire

Remarque

Lors de la création du principal de service pour autoriser la communication de l’API Azure, assurez-vous d’utiliser le même groupe de ressources que celui qui contient le Virtual WAN. Sinon, SD-WAN Orchestrator n’aura pas les autorisations suffisantes pour s’authentifier auprès des API Azure Virtual WAN qui permettent la connectivité automatisée.

Effectuez les étapes suivantes pour créer un nouvel enregistrement d’application :

1. Dans le portail Azure, accédez à Azure Active Directory.
2. Sous Gérer, sélectionnez Enregistrement d’application.

3. Cliquez sur + Nouvel enregistrement.

   

4. Fournissez les valeurs pour les champs suivants afin d’enregistrer une application :

   • Nom – Fournissez le nom de l’enregistrement de l’application.
   • Types de comptes pris en charge – sélectionnez l’option Comptes dans ce répertoire organisationnel uniquement (* - Locataire unique).
   • URI de redirection (facultatif) – sélectionnez Web dans la liste déroulante et saisissez une URL aléatoire et unique (par exemple, https:// localhost:4980).
   • Cliquez sur Enregistrer.

   

   Vous pouvez copier et stocker l’ID d’application (client) et l’ID de répertoire (locataire) qui peuvent être utilisés dans SD-WAN Orchestrator pour l’authentification à l’abonnement Azure pour l’utilisation de l’API.

   

   L’étape suivante pour l’enregistrement de l’application consiste à créer une clé de principal de service à des fins d’authentification.

   Pour créer la clé de principal de service, effectuez les étapes suivantes :

   1. Dans le portail Azure, accédez à Azure Active Directory.
   2. Sous Gérer, accédez à Enregistrement d’application.
   3. Sélectionnez l’application enregistrée (créée précédemment).
   4. Sous Gérer, sélectionnez Certificats et secrets.

   5. Sous Secrets client, cliquez sur + Nouveau secret client.

      

   6. Pour ajouter un secret client, fournissez les valeurs pour les champs suivants :
      • Description : fournissez un nom pour la clé de principal de service.
      • Expire le : sélectionnez la durée d’expiration selon vos besoins.

      

   7. Cliquez sur Ajouter.

   8. Le secret client est désactivé dans la colonne Valeur. Copiez la clé dans votre presse-papiers. Il s’agit du secret client que vous devez saisir dans SD-WAN Orchestrator.

      

      Remarque

      Vous devez copier et stocker la valeur de la clé secrète avant de recharger la page, car elle ne sera plus affichée par la suite.

Effectuez les étapes suivantes pour attribuer les rôles appropriés à des fins d’authentification :

1. Dans le portail Azure, accédez au Groupe de ressources où le Virtual WAN a été créé.
2. Accédez à Contrôle d’accès (IAM).

3. Cliquez sur + Ajouter et sélectionnez Ajouter une attribution de rôle.

   

4. Pour ajouter une attribution de rôle, fournissez les valeurs pour les champs suivants :

   • Rôle – Sélectionnez Propriétaire dans la liste déroulante. Ce rôle permet la gestion de tout, y compris l’accès aux ressources.
   • Attribuer l’accès à – sélectionnez Utilisateur, groupe ou principal de service Azure AD.
   • Sélectionner – Fournissez le nom de l’application enregistrée créée précédemment et sélectionnez l’entrée correspondante lorsqu’elle apparaît.

5. Cliquez sur Enregistrer.

   

Enfin, vous devez obtenir l’ID d’abonnement pour le compte Azure. Vous pouvez identifier votre ID d’abonnement en recherchant Abonnements dans le portail Azure.

Une fois que vous avez créé le Virtual WAN, connectez-vous à l’interface utilisateur de SD-WAN Center > Configuration > Azure > Virtual WAN.

Sélectionnez deux sites différents et démarrez le déploiement. Une fois les sites déployés, vous pouvez associer les deux sites à deux hubs différents.

REMARQUE Par défaut, la communication de succursale à succursale et BGP sont désactivés. Vous pouvez créer une route statique ou activer BGP (sous Paramètres) et la connectivité de succursale à succursale.

Cochez les cases BGP et de succursale à succursale et déployez les tunnels. Une fois les tunnels déployés avec succès, vous pouvez vérifier l’état dans Microsoft Azure > Groupes de ressources > sélectionnez le groupe de ressources que vous avez créé et cliquez sur Sites VPN.