Dans cet article, je souhaite partager avec vous un use-case qui traite une demande particulière de l’un de mes clients. Ce client possède une architecture hybride avec un DataCentre connecté via une liaison ExpressRoute vers le Cloud Azure. Dans Azure le client utilise une architecture traditionnelle Hub&Spoke. Tous les VNET Spoke passent par le Firewall du VNET HUB pour l’accès Internet, ceci est assuré par un UDR (User Defined Route) avec une route par défaut associé à tous les subnets des VNET Spoke. Rien du particulier jusqu’à maintenant !!
Pour un nouveau VNET Spoke, le client souhaite à ce que le flux internet soit redirigé vers le Firewall du DataCentre pour une inspection plus avancée. Cela veut dire que notre VNET HUB doit faire coexister deux routes par défaut :
- Une route par défaut qui pointe sur la passerelle Internet Azure
- Une route par défaut qui pointe sur la passerelle ExpressRoute qui amène vers le Datacentre
Avant de continuer, je souhaite vous rappeler de trois points concernant le routage au sein d’Azure :
- Le routage entre la passerelle ExpressRoute et le DataCentre est assuré exclusivement par le protocole BGP. Le routage statique n’est pas supporté.
- Pointer une route UDR vers une passerelle ExpressRoute n’est pas supporté.
- Azure préfère les routes UDR sur les routes BGP sur les routes du système
Pour résumer le client souhaite que :
- Le VNET Spoke A utilise la connexion internet Azure en passant par le Firewall du VNET HUB
- Le VNET Spoke B utilise la connexion internet du Datacentre en passant par la passerelle ExpressRoute du Vnet Hub
Un schéma vaut mille mots, n’est-ce pas ?
La solution :
Subnet du FW VNET HUB:
Une fois, le circuit ExpressRoute est relié avec sa passerelle, la route par défaut en provenance du DataCentre est propagée en BGP vers le Subnet du NVA FW du VNET Hub, par conséquent, il faut créer un UDR avec une route par défaut qui pointe sur la passerelle Internet d’Azure et associer l’UDR avec le Subnet du Firewall.
Les Subnets du Spoke VNET-A (Connexion Internet via Azure):
Créer un UDR avec une route par défaut qui pointe sur l’adresse IP du FW VNET Hub, par conséquent le flux internet du VNET A est forcé via le Firewall du VNET Hub. Cette route remplace la route par défaut système associée automatiquement à chaque subnet.
Les Subnets du Spoke VNET-B (Connexion Internet via DataCentre):
Dans les paramètres du VNET peering qui relie le Spoke avec le Hub, activer l’option « Use remote Gateway » cela permet :
- D’injecter les routes BGP dans les subnets du VNET Spoke, notamment la route par défaut
- Router le trafic internet de ce Vnet vers le DataCentre
Dernière remarque, le flux du VNET Spoke-B vers le DataCentre ne passe par la passerelle ExpressRoute du VNET Hub, en revanche le flux de retour passe par cette passerelle.
Savez-vous comment contourner la passerelle ExpressRoute pour le trafic du retour ? Merci de laisser vos réponses en commentaire ci-dessous.
Finalment si vous avez des questions, n’hésitez pas à laisser un message en commentaire de la page ou nous contacter à l’adresse : contact@mhd-experts.com.