Hello,
 
Petite question de best practices et de design d'infrastructure.
 
J'ai 6 sites géographiques (1 central et 5 petits) reliés en MPLS. Historiquement mon infra est sur le site central, donc communications en étoile plutôt.
En parallèle on commence à monter de la VM chez Azure, dont les services (application) doivent être accessibles en interne comme en externe.
 
J'ai monté un IPSec Azure/site central, mais se pose la question des petits sites annexes.
Je vois à priori 3 possibilités :
- monter de l'IPSec entre chaque site et Azure
- router le trafic via le MPLS et utiliser le site central comme point unique pour Azure
- utiliser les IP publiques et donc passer par les liens externes
 
Chaque solution a ses avantages, ses inconvénients... comment faites-vous ?
Le nombre de site ne bougera pas ou peu, et les bandes passantes MPLS tiennent.
 
Merci !

ici j'ai monté le vpn avec azure via le site central (+ vpn de backup depuis un autre site), le routage est plus simple comme ça de mon point de vue.

Qu'est ce que tu appelles "applications accessibles en interne comme en externe" ?

Des applications Web (HTTP/S) classiques qui sont utilisées par les clients et par mes collègues.
Avec nos dev qui doivent accéder au socle technique (SGBD etc).

/E : Mes devs sont sur le site central et 1 des branch office.

SGBD en PaaS ou en IaaS ?
 
Tout dépend du nb de personnes devant accéder, des volumétries à gérer.
 
J'ai vu des topologies :
- l'express route depuis le datacenter central avec du vpn sur un site de backup
- plusieurs express route depuis différents DC
- express route en mode l3 direct sur le mpls
- vpn s2s depuis le site central et depuis un site de backup ou d'autres gros sites (ça marche si tu as des internet breakout locaux biensûr)
- virtualwan (que en poc pour l'instant jamais vu en prod)
 
L'accès direct sur internet je l'ai pas vu sauf pour des applis full PaaS avec de l'azure devops pour déployer et disponibles publiquesment.

Ok merci, c'est ce qui me semblerait en effet le meilleur compromis.
Juste quelques règles de routage à poser du coup ?
 

IaaS
 
On a une culture on premise (en terme d'infra, de dev, d'architecture applicative). Donc pour l'instant on raisonne en terme de VM, pas le temps de retravailler nos appli et nos SGBD pour faire mieux.
Ca va venir mais ça va prendre du temps.
 
Express route direct sur le MPLS ? Ca tient bien ?
A priori je serai plus partant sur le VPN s2s oui.

 
Sur le site principal : toutes les routes annoncées telles quelles dans les deux sens (mais on utilise une appliance virtuelle côté azure, si tu utilises la gateway native d'Azure tu auras peut-être une limite à mettre sur l'export depuis ton site, à voir si azure pose une limite sur le nombre de routes supporté)
Sur le site secondaire : pareil mais avec un prepend dans les deux sens, avec taille du prepend = taille de l'as-path entre le site principal et le site backup