Cours AZ104-04 2024 (PDF)
Document Details
Uploaded by DazzledSardonyx
EFREI
2024
efrei
Tags
Summary
Ce document présente les réseaux virtuels Azure (VNET) avec des explications et exemples pratiques. Il couvre les aspects clés comme la configuration des sous-réseaux, la gestion du trafic et l'interconnexion. Ce document comprend également des exercices.
Full Transcript
AZ104-04 2024 Point sur les chapitres à traiter : Identité Réseau virtuel Gouvernance et Connectivité intersites conformité Gestion du trafic...
AZ104-04 2024 Point sur les chapitres à traiter : Identité Réseau virtuel Gouvernance et Connectivité intersites conformité Gestion du trafic Administration Azure réseau entre 20 et 25% entre 10 et 15% Virtual Networking Les réseaux virtuels Azure : VNET Le réseau traditionnel est « un espace isolé où les ressources sont capables de communiquer entre-elles ou avec d’autres ressources éventuellement situées dans un réseau extérieur ». Un VNET, comparable au LAN local, est un espace réseau isolé sur le cloud (ressources régionales) : 1) Isolé des autres clients. 2) Il fournit un espace privé de communication entre les services et les VMs. 3) Il permet l’interconnexion (On-Premise, Utilisateurs distants, Internet ….). Un VNET sur le cloud Azure est définit par : un nom, et un réseau CIDR (IP + Mask). A l’intérieur du VNET on y trouve des subnets (équivalents aux VLANs dans un LAN). Les sous réseau : subnets VNET : 10.0.0.0 /16 10.0.0.4 10.0.1.4 Subnet 1 : 10.0.0.0 /24 Subnet 2 : 10.0.1.0 /24 Les subnets font partie du découpage du « CIDR » du VNET Les IPs dans un subnet sont toujours donnée par le DHCP Azure, elles peuvent être : Dynamique (par défaut). Azure attribue la première adresse IP non attribuée ou non réservée de la plage d’adresses du sous-réseau Statique. Vous sélectionnez et attribuez n’importe quelle adresse IP non attribuée ou non réservée de la plage d’adresses du sous-réseau A savoir sur les VNET / Subnet Par défaut, le nom du premier subnet s’appelle default Azure utilise 5 IPs dans un subnet : Il est possible de d’interconnecter Le réseau : Première IP des VNET Azure (Peering). Une passerelle : 2ème IP. Le traffic entrant dans le VNET ou Mappage Azure DNS : 3ème et 4ème IP. dans le VNET est gratuit. Le traffic Le broadcast : Dernière IP sortant du VNET est payant. Il est possible de rendre accessible Le DHCP et le DNS sont fournis par un subnet Azure via une VPN Azure dans les subnet. Gateway (exemple : IPSEC) Le broadcast / multicast ne fonctionne pas un subnet (impossible de faire DHCP soit même.) Les actions sur les VNET sont loggés, il est possible de voir ce qu’il se passe au niveau d’un subnet avec Support IPv4 et IPv6 une ressource spéciale : le Network Routage dans le VNET Watcher. activé par défaut. Les adresses IP publiques et le routage dans Azure Il existe 2 types d’IPs publiques sur Azure (2 SKU) : BASIC : zéro sécurité STANDARD : fournit avec une sécurité Proposition graphique : VNET Internet Subnet 1 Subnet 2 52.166.16.239 98.64.254.172 10.0.0.4 10.0.1.4 Les NSG : Network Security Group Les NSG sont des ressources Régionales Azure qui permettent de contrôler les flux réseaux à l’intérieur de nos VNET. Ils se positionnent (association) sur des subnets ou sur des interfaces réseaux. Voici de quoi est constitué le tableau des règles : PRIORITY | NAME | PORT | PROTOCOL | SRC | DST | ACTION Voici les règles par défaut à connaitre : 1) J’autoriser ceux du même VNET à me contacter. INBOUND 2) J’autorise les loadbalancer Azure à me contacter 3) Je bloque tout 1) J’autorise à contacter les ressources du même VNET. OUTBOUND 2) J’autoriser à aller sur internet. 3) Je bloque tout Application des NSG Par défaut, les subnets ne sont pas protégés par des NSG. Avec l’interface graphique d’Azure, à chaque création d’une VM, sa carte réseau est protégée par un NSG. La protection par défaut est donc par VMs. VNET Internet Subnet 1 Subnet 2 52.166.16.239 98.64.254.172 10.0.0.4 10.0.1.4 Les NSG sont « statefull » : Si le traffic est autorisé à entrer, il est autorisé à sortir. Si le traffic est autorisé à sortir, il est autorisé à entrer. Les ASG : Application Security Group Les ASG (Application Security Group) permet de simplifier l’administration des NSG en faisant des exceptions. Ils regroupent de manière logique des machines virtuelles. Quand vous contrôlez le trafic réseau en utilisant des groupes de sécurité d’application, vous n’avez pas besoin de configurer le trafic entrant et sortant pour des adresses IP spécifiques, il suffit de mettre : Des machines : Application Security Group Dans SRV-WSUS D’autoriser le flux sur le NSG du subnet : de SRV-WSUS vers INTERNET Le DNS : Domain Name System Il existe un service DNS fournit par Azure pour nos ressources : Private DNS Zones : Les privates zones permettent d’avoir un service de résolution de noms privés pour nos ressources à l’intérieur d’Azure, les DNS de nos subnets, résoud les noms associés à ces zones. Il faut donc relier les private DNS Zones à nos VNET pour que les noms puissent être résolus. Dans ce cas, le service DNS n’est pas exposé sur internet. DNS Zones : Les DNS Zones, permette de déléguer à Azure la résolution d’un nom de domaines publique. Azure DNS Resolver : Permet de résoudre les zones privées DNS Azure, depuis un environnement local Merci de votre attention. Des questions ? Exercices Exercices TP numéro 4 : Implement Virtual Networking Tâche 1 : créer un réseau virtuel comprenant des sous-réseaux à l’aide du Portail. Tâche 2 : créer un réseau virtuel et des sous-réseaux en utilisant un modèle. Tâche 3 : créer et configurer la communication entre un groupe de sécurité des applications et un groupe de sécurité réseau. Tâche 4 : configurer des zones Azure DNS privées et publiques.
