Informations, communications, conseils en infrastructure
#Azure AD, #Azure, #réseaux virtuels, #NSG, #NIC
Un Vnet est un espace d’adressage qui est définit dans la RFC1918, on a 3 espaces d’adressage non accessible depuis internet:
Ils peuvent être accessibles dans un VNET, on peut dorénavant avoir nos propres espaces d’adressage. Un même VNET peut contenir ces 3 espaces d’adressages, soit on peut retrouver ces 3 espaces d’adressage dans un même Vnet. On peut compartimenter un Vnet en plusieurs subnets.
Une fois que l’on a rajouté une ressource dans un subnet on ne peut plus modifier sa taille. On ne peut pas réduire la taille d’un subnet en dessous de la taille d’un de ses subnets.
Dans un subnet on retrouve une NIC, c’est-à-dire une Network Interface Card. Cette NIC va avoir une adresse IP privée et facultativement une carte IP publique.
Une NIC est souvent associée à une VM. Les adresses IP peuvent être Dynamique ou bien statique.
Si le réseau d’adressage est 10.0.0.0/24 – on commencera par 10.0.0.4 car les 3 premières adresses sont prises par Microsoft, pour le DNS et la gestion des passerelles. L’adresse IP .255 est prise pour le broadcast et elle est prise par microsoft.
Les subnets peuvent communiquer entre eux, les routes sont propagées au travers des “System route”. Tout ceci est automatisé par Microsoft et l’on ne peut pas les modifier. ENtre les subnets il n’y a pas de Firewall, il faut mettre des NSG (Network security Group) qui est un Firewall qui va filtrer les flux entrants et sortants.
Le NSG est un Firewall qui est associé à une NIC il va protéger l’IP publique ou privé de la VM. Il peut être associé à et/ou un subnet. Le NSG doit être dans la même région que les ressources à protéger. Si l’on a un VNET dans une région il faut forcément créer un NSG dans la même région.
Pour schématiser si l’on va sur un VNET puis sur Diagram. On retrouvera dans le VNET, l’ensemble des Subnets, les NIC, avec les VMs, les IP publiques ainsi que les NSG.
Le diagram peut aussi être téléchargé.
Toujours dans la partie VNET lorsque l’on va dans Subnets on retrouve les différents subnets.
Dans l’espace d’adressage on peut créer de nouveaux espaces d’adressages. Par exemple 10.0.0.0/24 ce qui va permettre par la suite de créer des subnets en 10.0.0.0/24.
Si l’on va sur la NIC on va retrouver nos paramètres indiquant qu’il y a une adresse IP publique et une adresse IP privée. Dans la configuration on peut voir que celle-ci est dynamique elle aurait pu être statique. Lorsque l’on choisit l’IP statique on sait que malgré l’arrêt de la VM, cette IP ne changera pas.
On sait aussi que lorsque l’on met dynamique on peut l’associer au DNS Microsoft. Ce qui permet même si la machine change d’IP de pouvoir continuer à se connecter dessus.
Il faut savoir que pour protéger votre VM vous avez aussi le Firewall Microsoft.
Le NSG protège des flux entrants et sortants, on retrouve l’option dans “Inbound security rules”, on retrouve 3 règles par défaut de flux entrants qui sont associés au flux NSG:
Chaque règles à ses priorités mais on peut les classer, plus le chiffre associé est bas plus la règle est prioritaire.
On peut créer une règle qui indique que tout ce qui vient d’internet avec le service HTTP – 80 on autorise le flux.
Pour les flux sortants on a la aussi 3 règles qui sont similaires aux flux entrants. On a notamment la règle qui autorise les flux sortant d’une VM vers Internet.
Un NSG peut se positionner soit au niveau d’une carte réseau (Network interface), mais aussi à un subnet.
S’il y a trop de règles NSG à gérer, on peut passer par les “Effective security rules” toujours dans la partie NSG. Cela va permettre de calculer automatiquement les règles appliquées au NSG.
Les “NSG Flow logs” vont pouvoir récupérer les logs de ce qui transite par les NSG, il faut par contre les définir.
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.
