Contenu connexe
Similaire à GAB : Le Réseau dans Azure (20)
GAB : Le Réseau dans Azure
- 1. Le réseau dans Azure
Cas d’usage et retours d’expériences
Etienne & Mickaël
- 2. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
2
Meet the Team
Aime JSON et YML plus que sa femme.
L’interface GUI est une interface de trop.
Si ce n’est pas impossible, c’est donc
facile.
Twitter : @etiennedinfo
Etienne Deneuve
Consultant @ Cellenza
N’a pas forcément peur du orange mais
préfère le bleu.
Ne se balade jamais sans VSCode et un
moyen d’installer PowerShell partout
Twitter : @lopesmick
Mickaël Lopes
Consultant @ AZEO
- 3. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
3
Agenda
Savoir ou l’on va
Le Vnet et Subnets
• Comment faire un beau découpage et pourquoi
• Vnet Peering
Interconnexion Azure Datacenter
• VPN Site-to-Site
• ExpressRoute
Les ACLs dans Azure
• Network Security Group
Les routes dans Azure
• User Defined Route
• Forced Tunneling
Les architectures avancées
• VM avec acceleration matériels
• Virtual Network Appliance
- 4. “Le réseau c’est la vie” Albert EINSTEIN
“Tous les paquets naissent libres et
égaux en droit” Isaac ASIMOV
4
Il est important de rappeler…
- 5. Les Vnets et Subnets
Choisir son réseau, le ségmenter, le router
- 6. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
6
Un Vnet et des subnets
Les sous-réseaux
Un VNET quesako ?
• C’est une unité logique qui symbolise votre couche OSI 1 à 3
• Isolation logique dédiée à votre souscription
• Classless
• Multiple réseaux possibles
• IPv4
Un Subnet quesako?
• C’est le découpage logique de votre Vnet
• Routage entre tous les subnet implicites
• Offre le DHCP + DNS ( 3 premières addresses)
• Pas de support du Broadcast / Multicast
VPN
GW
Frontend
10.1/16
Mid-tier
10.2/16
Backend
10.3/16
- 7. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
7
Un Vnet et des subnets
Les questions récurrentes
Plage d’adresses publiques dans mon Vnet ?
• Oui
Mon Vnet = 1 seul Subnet
• C’est possible mais c’est dommage
VNET ASM avec VM ARM
• Non
SLA de mon VNET
• 99,95%
Le DNS
• Par défaut Azure (avec les noms *.cloudapp.net & *.”region”.cloudapp.azure.com)
• Possibilité de le changer par Vnet et par VM
- 8. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
8
Un Vnet et des subnets
Le Vnet Peering
• Connectivité directe L3 entre deux VNET d’une même région
• Utilisation du backbone Azure
• Liens bi-directionnels
• ASM / ARM
• Pas de passerelle / Pas de limite de BP
• Plus faible latence
• Compatible NSG & UDR
Virtual Network
Virtual Network
- 11. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
11
L’interconnexion Azure Datacenter
Faire dialoguer son datacenter avec un autre
P2S
VPNs
Datacenter
d’entreprise
S2S VPN,
ExpressRoute
- 12. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
12
L’interconnexion Azure Datacenter
VPN Site-to-Site
Datacenter
d’entreprise
S2S VPN
• Chiffrement AES 256
• Authentification par clé partagée
• Montée en charge possible
• Tolérance de panne possible
• Routage statique ou dynamique
• Pas d’overlap de subnets !
- 14. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
14
L’interconnexion Azure Datacenter
ExpressRoute
Cloud sur le WAN
WAN
VPN IPsec à travers Internet
Pas de garantie de service
Bande passante limitée, latence élevée
Azure
WAN
Datacenter
Site 1
Site 2
internet
- 15. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
15
L’interconnexion Azure Datacenter
2 modes de fonctionnement
Client Interconnexion directe au point d’échange
• Contrôledu routage
• Stockagedu matériel au pointd’échange(peut
stocker services additionnels)
Utilisationdu fournisseurhabituel(servicesde VPN MPLS)
• Utilisationmatériels VPNhabituel
• Gestion multi sites parle fournisseur
Public
internet
Microsoft
Azure
Public
internet
Microsoft
Azure
- 16. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
16
L’interconnexion Azure Datacenter
Tout Azure dans un tuyaux
Réseau
du
client
Connexion
du client
Partner
Edge
Trafic vers les adresses IP publiques dans
Azure
Trafic vers les Virtual
Networks
Trafic vers les services Office
365
Microsoft
Edge
- 17. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
17
L’interconnexion Azure Datacenter
Quelques questions récurentes
Peut-on faire de la QoS dans notre interconnexion?
• VPN : Non
• ER : Oui, uniquement pour Skype
Comment propager des routes?
• Support du BGP
Un gateway par VPN?
• Mutualisable pour Dynamic Routing
Peut-on mutualiser les offres?
• Oui
- 20. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
20
Les ACLs dans Azure
Faire un peu de sécurité
C’est quoi une NSG?
• C’est une régle de niveau 3 non intelligente qui accepte
ou interdit une communication
• 1 seul NSG par Nic ou Subnet
• 200 régles par NSG
• Statefull
Virtual
Network
Backend
10.3/16
Mid-tier
10.2/16
Frontend
10.1/16
VPN
GW
Internet
On Premises 10.0/16
S2S
VPNs
Internet
- 21. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
21
Les ACLs dans Azure
Comment le penser
Un NSG dans Azure ?
• Nom
• Type : In / Out
• Priorité
• Source IP
• Source Port
• Dest IP
• Dest Port
• Protocole
• Allow / Deny
- 25. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
25
Le routage dans Azure
Je prefere mon chemin
User Define Route
• Définition de routes spécifiques
• Modifie les tables de routage pour les sous-réseaux
• Definit le prochain routeur pour un groupe d’addresse
ForceTunneling
• Modification de la route 0/0
- 26. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
26
Le routage dans Azure
Je préfère mon chemin
Cas d’usage
• Network virtual appliance
• Interdire l’accès à une plage d’IP
- 27. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
27
Le routage dans Azure
Je préfère mon chemin
Cas d’usage
• Mon adressage interne utilise des adresses
Publiques
• Contrôle de l’ensemble des flux
REX
• Pas de services additionnels Azure nativement
- 30. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
30
Les architectures avancées dans
AzurePerformance réseau ++
C’est une solution en Preview !
• Utilisation de SR-IOV
• Moins de consomation CPU
• ~10x moins de latence
• Nombre de paquets par seconde
• Jusqu’à 25Gbps de BP
• Utilisation sur le même Vnet
• Carte Melanox visible sur la VM
• OS : 2012 R2 | 2016
• Standard D15v2 | DS15v2
• West Central US | West Europe
- 31. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
31
Les architectures avancées dans
AzureLes VMs avec plusieurs cartes réseau
• Jusqu’à 16 cartes par VM (selon la taille)
• Permet de séparer les communications
• NSG et routage personalisés sur chaque carte
- 34. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
34
Les appliances physiques dans Azure
Elles nous suivent… partout
- 39. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
39
Nous suivre
Facebook
facebook.com/groups/azugfr/
Twitter
twitter.com/AZUGFR
Meetup
meetup.com/AZUG-FR/
LinkedIn
Linkedin.com/inspirasign
Web
www.azug.fr
Notes de l'éditeur
- TRANSITIRF????
- Point d’échange : Fibre noir entreprise jusqu’à Point d’échange maximum 10Gbps
WAN : Azure s’ajoute au WAN existant : maximum 1Gbps
- Barracuda c’est pas subtilité , mettre À Team ou Agence tout risque ?
- Melanox Connect X 3