Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

GAB 2017 PARIS - Le réseau dans Azure Cas d’usage et retours d’expériences par Etienne Deneuve et Mickael Lopes

Une session sur les réseaux dans Azure : vNet, Vnet Peering, VPN.... Tout sur les réseaux dans Azure

  • Login to see the comments

  • Be the first to like this

GAB 2017 PARIS - Le réseau dans Azure Cas d’usage et retours d’expériences par Etienne Deneuve et Mickael Lopes

  1. 1. Le réseau dans Azure Cas d’usage et retours d’expériences Etienne & Mickaël
  2. 2. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 2 Meet the Team Aime JSON et YML plus que sa femme. L’interface GUI est une interface de trop. Si ce n’est pas impossible, c’est donc facile. Twitter : @etiennedinfo Etienne Deneuve Consultant @ Cellenza N’a pas forcément peur du orange mais préfère le bleu. Ne se balade jamais sans VSCode et un moyen d’installer PowerShell partout Twitter : @lopesmick Mickaël Lopes Consultant @ AZEO
  3. 3. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 3 Agenda Savoir ou l’on va Le Vnet et Subnets • Comment faire un beau découpage et pourquoi • Vnet Peering Interconnexion Azure  Datacenter • VPN Site-to-Site • ExpressRoute Les ACLs dans Azure • Network Security Group Les routes dans Azure • User Defined Route • Forced Tunneling Les architectures avancées • VM avec acceleration matériels • Virtual Network Appliance
  4. 4. “Le réseau c’est la vie” Albert EINSTEIN “Tous les paquets naissent libres et égaux en droit” Isaac ASIMOV 4 Il est important de rappeler…
  5. 5. Les Vnets et Subnets Choisir son réseau, le ségmenter, le router
  6. 6. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 6 Un Vnet et des subnets Les sous-réseaux Un VNET quesako ? • C’est une unité logique qui symbolise votre couche OSI 1 à 3 • Isolation logique dédiée à votre souscription • Classless • Multiple réseaux possibles • IPv4 Un Subnet quesako? • C’est le découpage logique de votre Vnet • Routage entre tous les subnet implicites • Offre le DHCP + DNS ( 3 premières addresses) • Pas de support du Broadcast / Multicast VPN GW Frontend 10.1/16 Mid-tier 10.2/16 Backend 10.3/16
  7. 7. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 7 Un Vnet et des subnets Les questions récurrentes Plage d’adresses publiques dans mon Vnet ? • Oui Mon Vnet = 1 seul Subnet • C’est possible mais c’est dommage  VNET ASM avec VM ARM • Non SLA de mon VNET • 99,95% Le DNS • Par défaut Azure (avec les noms *.cloudapp.net & *.”region”.cloudapp.azure.com) • Possibilité de le changer par Vnet et par VM
  8. 8. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 8 Un Vnet et des subnets Le Vnet Peering • Connectivité directe L3 entre deux VNET d’une même région • Utilisation du backbone Azure • Liens bi-directionnels • ASM / ARM • Pas de passerelle / Pas de limite de BP • Plus faible latence • Compatible NSG & UDR Virtual Network Virtual Network
  9. 9. 9 • Vnet et Vnet Peering
  10. 10. Interconnexion entre le Datacenter et Azure Hybridons-dons-dons les petits datacenters
  11. 11. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 11 L’interconnexion Azure  Datacenter Faire dialoguer son datacenter avec un autre P2S VPNs Datacenter d’entreprise S2S VPN, ExpressRoute
  12. 12. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 12 L’interconnexion Azure  Datacenter VPN Site-to-Site Datacenter d’entreprise S2S VPN • Chiffrement AES 256 • Authentification par clé partagée • Montée en charge possible • Tolérance de panne possible • Routage statique ou dynamique • Pas d’overlap de subnets !
  13. 13. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 13 L’interconnexion Azure  Datacenter Mode HA
  14. 14. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 14 L’interconnexion Azure  Datacenter ExpressRoute Cloud sur le WAN WAN VPN IPsec à travers Internet Pas de garantie de service Bande passante limitée, latence élevée Azure WAN Datacenter Site 1 Site 2 internet
  15. 15. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 15 L’interconnexion Azure  Datacenter 2 modes de fonctionnement Client Interconnexion directe au point d’échange • Contrôledu routage • Stockagedu matériel au pointd’échange(peut stocker services additionnels) Utilisationdu fournisseurhabituel(servicesde VPN MPLS) • Utilisationmatériels VPNhabituel • Gestion multi sites parle fournisseur Public internet Microsoft Azure Public internet Microsoft Azure
  16. 16. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 16 L’interconnexion Azure  Datacenter Tout Azure dans un tuyaux Réseau du client Connexion du client Partner Edge Trafic vers les adresses IP publiques dans Azure Trafic vers les Virtual Networks Trafic vers les services Office 365 Microsoft Edge
  17. 17. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 17 L’interconnexion Azure  Datacenter Quelques questions récurentes Peut-on faire de la QoS dans notre interconnexion? • VPN : Non • ER : Oui, uniquement pour Skype Comment propager des routes? • Support du BGP Un gateway par VPN? • Mutualisable pour Dynamic Routing Peut-on mutualiser les offres? • Oui
  18. 18. 18 • Gateway dans Azure
  19. 19. Le ACLs dans Azure ALLOW DENY DENY All ALLOW oups
  20. 20. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 20 Les ACLs dans Azure Faire un peu de sécurité C’est quoi une NSG? • C’est une régle de niveau 3 non intelligente qui accepte ou interdit une communication • 1 seul NSG par Nic ou Subnet • 200 régles par NSG • Statefull Virtual Network Backend 10.3/16 Mid-tier 10.2/16 Frontend 10.1/16 VPN GW Internet On Premises 10.0/16 S2S VPNs Internet
  21. 21. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 21 Les ACLs dans Azure Comment le penser Un NSG dans Azure ? • Nom • Type : In / Out • Priorité • Source IP • Source Port • Dest IP • Dest Port • Protocole • Allow / Deny
  22. 22. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 22 Les ACLs dans Azure L’ordre d’application
  23. 23. 23 • NSG dans Azure
  24. 24. Le routage dans Azure route ADD 0.0.0.0 MASK 0.0.0.0 127.0.0.1
  25. 25. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 25 Le routage dans Azure Je prefere mon chemin User Define Route • Définition de routes spécifiques • Modifie les tables de routage pour les sous-réseaux • Definit le prochain routeur pour un groupe d’addresse ForceTunneling • Modification de la route 0/0
  26. 26. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 26 Le routage dans Azure Je préfère mon chemin Cas d’usage • Network virtual appliance • Interdire l’accès à une plage d’IP
  27. 27. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 27 Le routage dans Azure Je préfère mon chemin Cas d’usage • Mon adressage interne utilise des adresses Publiques • Contrôle de l’ensemble des flux REX • Pas de services additionnels Azure nativement
  28. 28. 28 • UDR dans Azure
  29. 29. Les architectures avancées YOU SOULD NOT PASS ! (Please?)
  30. 30. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 30 Les architectures avancées dans Azure Performance réseau ++ C’est une solution en Preview ! • Utilisation de SR-IOV • Moins de consomation CPU • ~10x moins de latence • Nombre de paquets par seconde • Jusqu’à 25Gbps de BP • Utilisation sur le même Vnet • Carte Melanox visible sur la VM • OS : 2012 R2 | 2016 • Standard D15v2 | DS15v2 • West Central US | West Europe
  31. 31. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 31 Les architectures avancées dans Azure Les VMs avec plusieurs cartes réseau • Jusqu’à 16 cartes par VM (selon la taille) • Permet de séparer les communications • NSG et routage personalisés sur chaque carte
  32. 32. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 32 Les architctures avancées dans Azure Elles résistent
  33. 33. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 33 Les architctures avancées dans Azure Ou sont elles?
  34. 34. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 34 Les appliances physiques dans Azure Elles nous suivent… partout
  35. 35. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 35 Une DMZ dans Azure? Elles nous suivent… partout
  36. 36. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 36 Une DMZ dans Azure? Elles nous suivent… partout
  37. 37. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 37 Merci à nos sponsors PLATINUM LOCAUX PARTENAIRES MEDIA
  38. 38. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 38 Sponsors internationaux
  39. 39. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 39 Nous suivre Facebook facebook.com/groups/azugfr/ Twitter twitter.com/AZUGFR Meetup meetup.com/AZUG-FR/ LinkedIn Linkedin.com/inspirasign Web www.azug.fr
  40. 40. Merci d’être venus A bientôt !

×