Connectivité hybride - ExpressRoute
Hybridation ExpressRoute
Principe et description des services ExpressRoute
Le service ExpressRoute offre une alternative privée et dédiée à l’hybridation de vos réseaux locaux. L’objectif est ici d’interconnecter de manière privée vos réseaux avec le cloud Microsoft, qu’il s’agisse de services privés (tels qu’Azure) ou de services publics Azure (tels que Microsoft 365), au travers d’une liaison redondée que l’on appelle circuit ExpressRoute. Contrairement aux réseaux VPN, l’ExpressRoute n’utilise pas Internet, mais d’autres modèles de connectivité s’appuyant, pour la plupart, sur des fournisseurs d’accès spécifiques. Les solutions ExpressRoute, par leur architecture, sont plus performantes, plus stables et plus sécurisées. En effet, puisque les flux ne transitent pas par Internet, il est plus aisé de maîtriser les latences associées à vos liens, tout comme leurs débits ou leur taux de disponibilité. Il s’agit le plus souvent de données contractualisées sur lesquelles vous pouvez facilement vous appuyer pour mesurer et assurer le bon fonctionnement de vos interconnexions.
La stabilité accrue se justifie également par la redondance par défaut des architectures ExpressRoute. Nous reviendrons également...
Modèles de connectivité des circuits ExpressRoute
Bien que le point d’interconnexion soit toujours une Meet-Me Microsoft, deux grandes approches se distinguent lors de la mise en place de vos circuits ExpressRoute :
-
Le déploiement au travers d’un partenaire tiers (modèle abordé jusqu’à présent).
-
Le déploiement direct entre le client et Microsoft.
Commençons par le modèle le plus répandu, à savoir une connectivité au travers d’un partenaire tiers reconnu par Microsoft.
1. Connectivité au travers d’un partenaire
Le déploiement du service ExpressRoute est, dans la majeure partie des cas, réalisé en partenariat avec un fournisseur d’accès et Microsoft. Cela signifie, comme dans l’exemple étudié précédemment, que votre interconnexion n’est pas directement réalisée avec Microsoft, mais avec un partenaire reconnu par Microsoft et directement connecté aux routeurs backbone. La mise en place de l’ExpressRoute est dans ce cas réalisée en tripartie.
a. Topologies
Trois types d’interconnexions sont possibles au travers d’un partenaire :
-
L’any-to-any (IPVPN).
-
Le point à point Ethernet.
-
Les colocalisations.
L’approche any-to-any permet d’interconnecter votre WAN avec le cloud Microsoft Azure grâce à une connectivité de niveau 3. Ainsi, le cloud Azure est perçu comme un site ou data center relié au WAN de l’entreprise, au même titre que tout autre site. Cette approche a donc l’avantage d’assurer une interconnexion rapide de vos sites distants tout en s’appuyant sur des technologies connues des réseaux locaux (MPLS par exemple).
À l’inverse, une connectivité Ethernet point à point se fait, elle, entre votre site ou data center local, le partenaire et Azure. Vous connectez donc ici un site ou un data center, et non votre WAN. L’interconnexion peut être de niveau 2 ou 3.
Finalement, les colocalisations sont des points d’échange cloud, tels que les infrastructures de fournisseurs d’accès. Il est donc possible d’obtenir une connectivité de niveau 2 ou 3 au travers d’une liaison virtuelle entre votre réseau local hébergé...
Peering
Quel que soit le modèle de connectivité, l’objectif était jusqu’à présent de vous interconnecter avec le monde Microsoft Azure au travers de circuits ExpressRoute. Pour le moment, seul le circuit est en place. Cela n’est toutefois pas suffisant pour permettre l’échange de données entre vos environnements locaux et Microsoft. Pour rappel, l’échange d’itinéraires et le transfert de données s’appuient sur deux types de peering nommés Microsoft Peering et Private Peering. Cette dissociation de peering reprend les deux grandes familles de services fournis par Microsoft :
-
Les services publics Microsoft hébergés dans Azure (avec adressage IP public, type SaaS ou PaaS, n’étant pas inclus dans vos réseaux virtuels).
-
Les services privés (avec adressage IP privé RFC1918).
Les peerings s’appuient tous deux sur le protocole de routage dynamique BGP (Border Gateway Protocol) pour annoncer les différents services Microsoft (privés et/ou publics) ainsi que vos réseaux locaux (privés et/ou publics) au travers des circuits ExpressRoute. Les peerings peuvent être tous deux activés (Microsoft + Private), ou activés séparément, selon vos besoins. Dès lors, chacune des deux connexions de votre circuit ExpressRoute assure un ou plusieurs peerings.
Le schéma suivant illustre une architecture pour laquelle les deux peerings sont actifs. Dans ce cas, chaque connexion qui forme le circuit ExpressRoute inclut les deux types de peering.
1. Microsoft Peering
Le Microsoft Peering intervient lorsque vous souhaitez accéder aux services Microsoft Azure et Microsoft 365, habituellement exposés sur Internet, au travers de vos liens ExpressRoute. Grâce au Microsoft Peering, vous pouvez donc capitaliser sur vos accès ExpressRoute, et non plus Internet, pour joindre l’ensemble des services publics Azure proposés par Microsoft.
Attention toutefois, car un cas particulier existe pour Office 365, pour lequel l’accès au travers d’un ExpressRoute nécessite un add-on Premium et des autorisations préalables. Sans ces deux prérequis, la connectivité ne peut être assurée.
De même, certains services ne sont pas compatibles, comme l’Azure...
Cas concret - Partie 6
La Dream Company possède actuellement deux types de connectivités pour son siège : les VPN site à site et VPN point à site. Pour poursuivre son développement vers cloud, la société désire à présent interconnecter un de ses data centers situé à Amsterdam. L’objectif de ce déploiement est d’assurer le transfert de données entre le data center de l’entreprise et l’environnement Microsoft Azure privé. Aucun besoin n’est pour le moment défini sur les services publics de Microsoft.
Bien que la liaison VPN site à site soit pour le moment satisfaisante pour les besoins de connectivité du Siège, la Dream Company souhaite compléter son déploiement par une hybridation privée, plus stable et performante pour son data center. Elle ne souhaite donc pas s’appuyer sur Internet. Le besoin en termes de bande passante est à l’heure actuelle relativement faible, mais pourrait être amené à rapidement évoluer.
Tenant compte de ces prérequis, une liaison ExpressRoute apparaît comme une solution viable pour la Dream Company. Ainsi, nous réaliserons un déploiement en trois étapes :
-
Nous débuterons par la mise en place d’une passerelle de type ExpressRoute, déployée au sein du sous-réseau GatewaySubnet (réseau virtuel vNet_Hub) et qui coexistera avec la passerelle VPN.
-
La seconde étape consistera à créer le circuit ExpressRoute.
-
La troisième étape se concentrera finalement sur la création des peerings privés et sur l’interconnexion du circuit à la passerelle ExpressRoute.
Une fois ces trois étapes réalisées, les flux pourront transiter de votre data center à destination des espaces d’adressages privés Azure, et inversement.
La création de la passerelle ExpressRoute peut intervenir après celle du circuit ou du peering. Le seul prérequis étant que cette dernière soit déployée au moment où le circuit doit y être connecté.
1. Création de la passerelle ExpressRoute
Pour créer...