NSX Guide d'administration de - docs.vmware.com

Guide d'administration de NSXMise à jour 15Modifié le 28 mars 2022VMware NSX Data Center for vSphere 6.4

Vous trouverez la documentation technique la plus récente sur le site Web de VMware, à l'adresse :

https://docs.vmware.com/fr/

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware France SAS.Tour Franklin100-101 Terrasse Boieldieu92042 Paris La Défense 8 CedexFrancewww.vmware.com/fr

Copyright ©

2010 - 2022 VMware, Inc. Tous droits réservés. Informations relatives aux copyrights et marques

commerciales.

Guide d'administration de NSX

VMware, Inc. 2

https://docs.vmware.com/fr/

https://docs.vmware.com/copyright-trademark.html

https://docs.vmware.com/copyright-trademark.html

Table des matières

Guide d'administration de NSX 13

1 Configuration système requise pour NSX Data Center for vSphere 14

2 Ports et protocoles requis par NSX Data Center for vSphere 18

3 Présentation de NSX Data Center for vSphere 19Composants de NSX Data Center for vSphere 21

Plan de données 23

Plan de contrôle 24

Plan de gestion 25

Plate-forme de consommation 25

NSX Edge 25

NSX Services 28

4 Présentation de la mise en réseau et de la sécurité de Cross-vCenter 31Avantages de Cross-vCenter NSX 31

Fonctionnement de Cross-vCenter NSX 32

Matrice de prise en charge des services dans Cross-vCenter NSX 34

Cluster NSX Controller universel 35

Zone de transport universelle 35

Commutateurs logiques universels 36

Routeurs (distribués) logiques universels 36

Règles de pare-feu universelles 37

Réseau universel et objets de sécurité 37

Topologies de Cross-vCenter NSX 38

Cross-vCenter NSX sur plusieurs sites et sur un site unique 38

Sortie locale 40

Modification des rôles de NSX Manager 41

5 Zones de transport 43Comprendre les modes de réplication 45

Ajouter une zone de transport 48

Modifier une zone de transport 50

Développement d'une zone de transport 51

Réduire une zone de transport 52

Mode CDO (Controller Disconnected Operation) 52

VMware, Inc. 3

6 Commutateurs logiques 53Ajouter un commutateur logique 55

Ajouter un commutateur logique 56

Connecter un commutateur logique à un dispositif NSX Edge 59

Déployer des services sur un commutateur logique 60

Connecter des machines virtuelles à un commutateur logique 60

Tester la connectivité d'un commutateur logique 61

Empêcher l'usurpation sur un commutateur logique 61

Modifier un commutateur logique 62

Scénario de commutateur logique 62

John Admin attribue un pool d'ID de segment à NSX Manager 65

John Admin configure les paramètres de transport VXLAN 66

John Admin ajoute une zone de transport 67

John Admin crée un commutateur logique 67

7 Configuration de la passerelle matérielle 69Scénario : Exemple de configuration de la passerelle matérielle 70

Configurer un cluster de réplication 72

Connecter la passerelle matérielle aux instances de NSX Controller 73

Ajouter un certificat de passerelle matérielle 74

Lier le commutateur logique au commutateur physique 76

8 Ponts L2 78Ajouter un pont de niveau 2 79

Ajouter un pont de niveau 2 à un environnement doté d'un routeur logique 80

Amélioration du débit de pontage 82

Activer la mise à l'échelle côté réception de logiciel 82

9 Routage 84Ajouter un routeur logique distribué 84

Ajouter un dispositif Edge Services Gateway (ESG) 98

Spécifier une configuration globale 108

Configuration de NSX Edge 111

Utilisation des certificats 111

Mode FIPS 116

Gestion des dispositifs NSX Edge 119

Gestion des réservations de ressources du dispositif NSX Edge 121

Utilisation des interfaces 124

Ajouter une sous-interface 128

Modifier la configuration de la règle automatique 132

Modifier les informations d'identification de l'interface de ligne de commande 132


VMware, Inc. 4

À propos de la haute disponibilité 133

Force la synchronisation de NSX Edge avec NSX Manager 137

Configurer les serveurs Syslog pour NSX Edge 139

Afficher l'état des services NSX Edge 139

Redéploiement de NSX Edge 140

Télécharger les journaux du support technique de NSX Edge 143

Ajouter une route statique 143

Configurer le protocole OSPF sur un routeur logique (distribué) universel 145

Configurer un protocole OSPF sur une passerelle Edge Services Gateway 151

Configurer BGP 158

Configurer la redistribution d'itinéraire 163

Afficher l'ID de paramètres régionaux de NSX Manager 165

Configurer un ID de paramètres régionaux sur un routeur (distribué) logique universel 165

Configurer un ID de paramètres régionaux sur un hôte ou un cluster 166

Prise en charge, limitations et topologie du routage multidiffusion 167

Configurer la multidiffusion sur un routeur logique (distribué) 169

Configurer la multidiffusion sur une passerelle Edge Services Gateway 172

Topologie multidiffusion 174

10 Pare-feu logique 176Pare-feu distribué 176

Pare-feu sensible au contexte 179

Temporisateurs de session 189

Découverte d'adresses IP pour les machines virtuelles 192

Exclusion de machines virtuelles de la protection assurée par le pare-feu 194

Affichage des événements de seuil du pare-feu du CPU et de la mémoire 195

Utilisation des ressources de Pare-feu distribué 195

Edge Firewall 196

Utilisation des règles de NSX Edge Firewall 196

Utilisation des sections de règles de pare-feu 218

Ajouter une section de règles de pare-feu 218

Fusionner des sections de règles de pare-feu 220

Supprimer une section de règles de pare-feu 220

Verrouiller des sections de règles de pare-feu 221

Déverrouiller des sections de règles de pare-feu 221

Utilisation de règles de pare-feu 222

Ajouter une règle de pare-feu 223

Modifier la règle du pare-feu distribué par défaut 232

Forcer la synchronisation des règles de pare-feu distribué 233

Règles de pare-feu avec protocole de couche 3 personnalisé 233

Enregistrer une configuration non publiée 234


VMware, Inc. 5

Charger une configuration de pare-feu enregistrée 235

Filtrer les règles de pare-feu 236

Modifier l'ordre d'une règle de pare-feu 236

Comportement des règles de pare-feu dans des groupes de sécurité 237

Nombre de correspondances et réinitialisation des règles de pare-feu 238

Journaux de pare-feu 238

11 Scénarios de pare-feu 244Scénarios de pare-feu sensible au contexte 244

Configuration de l'identification d'application 246

12 Présentation d'Identity Firewall 247Workflow d'Identity Firewall 248

Configurations testées et prises en charge du pare-feu d'identité 250

13 Utilisation des domaines Active Directory 255Enregistrer un domaine Windows avec NSX Manager 255

Synchroniser un domaine Windows avec Active Directory 257

Modifier un domaine Windows 258

Activer l'accès en lecture seule aux journaux de sécurité sous Windows 2008 259

Vérification des privilèges du répertoire 260

14 Utilisation de SpoofGuard 262Créer une stratégie SpoofGuard 263

Approuver des adresses IP 264

Modifier une adresse IP 265

Effacer une adresse IP 266

15 VPN (Virtual Private Network) 268Présentation de VPN-Plus SSL 268

Configurer l'accès réseau VPN-Plus SSL 270

Installer le client VPN-Plus SSL 283

Configurer des paramètres de serveur proxy dans le client VPN-Plus SSL 286

Journaux VPN-Plus SSL 287

Modifier la configuration client 288

Modifier les paramètres généraux 289

Modifier l'aspect du portail Web 289

Utilisation de pools d'adresses IP pour VPN SSL 290

Utilisation de réseaux privés 291

Utilisation des modules d'installation 293

Gestion des utilisateurs 294


VMware, Inc. 6

Utilisation de scripts de connexion et de fermeture de session 295

Présentation de VPN IPSec 297

VPN IPSec basé sur les stratégies 297

VPN IPSec basé sur le routage 298

Configurer un site VPN IPSec basé sur les stratégies 300

Configurer un site VPN IPSec basé sur le routage 311

Modifier le site VPN IPSec 312

Désactiver le site VPN IPSec 313

Supprimer un site VPN IPSec 313

Terminologie d'IPsec 313

Phase 1 et phase 2 d'IKEv1 314

Exemple de configuration d'un site VPN IPSec basé sur les stratégies 316

Utilisation d'un routeur à services intégrés Cisco 2821 318

Utilisation d'un Cisco ASA 5510 321

Utilisation d'un dispositif Cisco CSR 1000V 323

Configuration d'un WatchGuard Firebox X500 327

Présentation de VPN L2 327

Meilleures pratiques relatives à VPN L2 330

VPN L2 sur SSL 337

VPN L2 sur IPSec 343

Dispositif Edge autonome en tant que client VPN L2 344

Scénario : ajouter un réseau VLAN ou VXLAN étendu 353

Scénario : Supprimer un réseau VLAN ou VXLAN étendu 358

16 Équilibrage de charge logique 360Configuration de l'équilibrage de charge 364

Configurer le service d'équilibrage de charge 366

Créer un moniteur de services 368

Ajouter un pool de serveurs 377

Créer un profil d'application 380

Ajouter une règle d'application 389

Ajouter des serveurs virtuels 396

Gestion des profils d'application 398

Modifier un profil d'application 398

Configurer l'arrêt SSL pour un équilibrage de charge 398

Supprimer un profil d'application 399

Gestion des moniteurs de services 399

Modifier un moniteur de services 400

Supprimer un moniteur de services 400

Gestion des pools de serveurs 400

Modifier un pool de serveurs 400


VMware, Inc. 7

Configurer un équilibrage de charge pour qu'il utilise le mode transparent 401

Supprimer un pool de serveurs 402

Afficher l'état du pool 402

Gestion des serveurs virtuels 403

Modifier un serveur virtuel 403

Supprimer un serveur virtuel 403

Gestion des règles d'application 404

Modifier une règle d'application 404

Supprimer une règle d'application 404

Équilibrer la charge des serveurs Web à l'aide de l'authentification NTLM 405

Modes de connexion HTTP de l'équilibrage de charge 405

Scénarios de configuration de l'équilibrage de charge NSX 408

Scénario : Configurer un équilibrage de charge manchot 408

Scénario : Configure un équilibreur de charge en ligne 413

Scénario : Configurer l'équilibrage de charge NSX pour Platform Service Controller 416

Scénario : Déchargement SSL 421

Scénario : Importer un certificat SSL 426

Scénario : relais SSL 429

Scénario : client SSL et authentification serveur 430

17 Autres services Edge 433Gestion du service DHCP 433

Ajouter un pool IP DHCP 434

Démarrer le service DHCP 435

Modifier un pool d'adresses IP DHCP 436

Ajouter une liaison statique DHCP 437

Modifier la liaison DHCP 439

Configuration du relais DHCP 439

Ajouter un serveur de relais DHCP 440

Ajouter un agent du relais DHCP 441

Configurer un serveur DNS 442

18 Service Composer 444Utilisation de Service Composer 446

Créer un groupe de sécurité dans Service Composer 448

Paramètres généraux 450

Créer une règle de sécurité 453

Appliquer une règle de sécurité à un groupe de sécurité 458

Canevas Service Composer 459

Utilisation des balises de sécurité 462

Sélection d'ID unique 462


VMware, Inc. 8

Afficher des balises de sécurité appliquées 463

Créer une balise de sécurité 464

Attribuer une balise de sécurité 465

Modifier une balise de sécurité 465

Supprimer une balise de sécurité 466

Affichage des services effectifs 466

Afficher des services effectifs sur une stratégie de sécurité 466

Afficher des pannes de service pour une stratégie de sécurité 467

Afficher des services effectifs sur une machine virtuelle 467

Utilisation de stratégies de sécurité 468

Gérer la priorité de règles de sécurité 468

Modifier une règle de sécurité 469

Supprimer une règle de sécurité 469

Importation et exportation de configurations de la stratégie de sécurité 470

Exporter une configuration de stratégie de sécurité 470

Importer une configuration de stratégie de sécurité 471

Scénarios de Service Composer 472

Scénario de mise en quarantaine de machines infectées 472

Sauvegarde de configurations de sécurité 477

19 Guest Introspection 480Architecture de Guest Introspection 481

Installer Guest introspection sur les clusters d'hôtes 483

Installer l'agent léger Guest Introspection sur les machines virtuelles Windows 485

Installer l'agent léger Guest Introspection sur les machines virtuelles Linux 487

Affichage du statut de Guest Introspection 490

Messages d'audit Guest Introspection 490

Événements Guest Introspection 491

Désinstallation d'un module Guest Introspection 492

Désinstaller Guest Introspection pour Linux 493

20 Extensibilité du réseau 494Insertion de service distribuée 495

Insertion de service basé sur Edge 495

Intégration de services tiers 495

Déployer un service de partenaire 496

Utilisation de services de fournisseurs via Service Composer 498

Redirection du trafic vers une solution de fournisseur via un pare-feu logique 499

Utilisation d'un équilibrage de charge de partenaire 500

Supprimer l'intégration tierce 500


VMware, Inc. 9

21 Gestion des utilisateurs 502Utilisateurs et autorisations NSX par fonctionnalité 502

Configurer Single Sign-On 514

Gestion des droits d'utilisateur 516

Gestion du compte utilisateur par défaut 517

Attribuer un rôle à un utilisateur vCenter 517

Attributions de rôles selon les groupes 518

Créer un utilisateur avec accès à l'interface Web à l'aide de l'interface de ligne de commande521

Modifier un compte utilisateur 523

Changer un rôle d'utilisateur 524

Désactiver ou activer un compte utilisateur 524

Supprimer un compte utilisateur 525

22 Objets réseau et de sécurité 526Utilisation des groupes d'adresses IP 526

Créer un groupe d'adresses IP 527

Modifier un groupe d'adresses IP 528

Supprimer un groupe d'adresses IP 528

Utilisation des groupes d'adresses MAC 529

Créer un groupe d'adresses MAC 529

Modifier un groupe d'adresses MAC 530

Supprimer un groupe d'adresses MAC 530

Utilisation de pools IP 531

Créer un pool IP 531

Modifier un pool IP 531

Supprimer un pool IP 532

Utilisation des groupes de sécurité 532

Comportement des règles de pare-feu dans des groupes de sécurité 534

Créer un groupe de sécurité 534

Modifier un groupe de sécurité 538

Supprimer un groupe de sécurité 538

Utilisation des services et des groupes de services 539

Créer un service 539

Créer un groupe de services 540

Modifier un service ou un groupe de services 541

Supprimer un service ou un groupe de services 542

23 Opérations et gestion 543Ajouter et attribuer une licence 543

Utilisation du tableau de bord 545


VMware, Inc. 10

Widget personnalisé 546

Tableau de bord Échelle du système 547

Contrôler la Santé du canal de communication 548

Gestion de NSX Controller 549

Modifier le nom de NSX Controller 549

Modifier le mot de passe d'un contrôleur 550

Configurer DNS, NTP et Syslog pour le cluster NSX Controller 550

Télécharger les journaux de support technique pour NSX Controller 552

Mode Controller Disconnected Operation pour plusieurs sites 553

Activer le mode CDO (Controller Disconnected Operation) 554

Désactiver le mode CDO (Controller Disconnected Operation) 555

Resynchroniser la configuration CDO 556

Modifier le port VXLAN 556

Programme d'amélioration du produit 558

Modifier l'option Programme d'amélioration du produit 558

À propos des journaux NSX 559

Journaux d'audit 561

Utilisation de l'enregistreur automatique de ticket NSX 561

Afficher le journal d'audit 562

Événements système 562

Afficher le rapport d'événements système 562

Format d'un événement système 563

Alarmes 563

Format d'une alarme 564

Utilisation d'interruptions SNMP 565

Paramètres du système de gestion 569

Se connecter au dispositif virtuel NSX Manager 569

Modifier la date et l'heure de NSX Manager 570

Modifier l'adresse IP du dispositif NSX Manager 570

Configurer un serveur Syslog pour NSX Manager 573

Modifier le mode FIPS et les paramètres TLS sur NSX Manager 574

Modifier les serveurs DNS 575

Modification des détails de Lookup Service 576

Modifier vCenter Server 576

Télécharger les journaux de support technique pour NSX 576

Certification SSL de NSX Manager 577

Sauvegarde et restauration de NSX 580

Sauvegarder et restaurer NSX Manager 581

Sauvegarder des vSphere Distributed Switches 588

Sauvegarder vCenter 588

Outils de surveillance et de diagnostic NSX 588


VMware, Inc. 11

Flow Monitoring 589

Configurer IPFIX 595

Gestionnaire de règles d'application 614

Contrôle de l'état de santé de l'hôte 625

Surveillance de la latence réseau 627

Collecte des données de surveillance des points de terminaison 629

Traceflow 632

Capture de paquets 635

Outil de collecte de bundle de support 638

24 Scénarios de récupération d'urgence avec cross-vCenter NSX 644Scénario 1 : panne planifiée du site complet 648

Scénario 2 : panne non planifiée du site complet 653

Scénario 3 : retour arrière complet sur le site principal 657


VMware, Inc. 12


Le Guide d'administration de NSX décrit comment configurer, surveiller et gérer le système VMware NSX® Data Center for vSphere® à l'aide de l'interface utilisateur de VMware NSX®Manager™, de VMware vSphere Web Client® et de VMware vSphere®Client™. Il contient des instructions de configuration pas à pas et des suggestions de meilleures pratiques.

Important NSX for vSphere est à présent appelé NSX Data Center for vSphere.

Public visé

Ce manuel est destiné à tous ceux qui veulent installer ou utiliser NSX Data Center for vSphere dans un environnement VMware vSphere®. Les informations qu'il contient sont destinées aux administrateurs système expérimentés qui sont familiarisés avec la technologie des machines virtuelles et les opérations de centres de données virtuels. Ce manuel suppose que vous avez des connaissances de vSphere, notamment VMware ESXi™, VMware vCenter Server® et vSphere Web Client.

Instructions sur les tâches

Les instructions relatives aux tâches présentées dans ce guide se basent sur vSphere Web Client. Vous pouvez également exécuter certaines tâches de ce guide en utilisant la nouvelle version de vSphere Client. La terminologie, la topologie et le workflow de la nouvelle interface utilisateur de vSphere Client correspondent fidèlement aux aspects et éléments de vSphere Web Client.

Note Les fonctionnalités du plug-in NSX pour vSphere Web Client n'ont pas toutes été implémentées pour vSphere Client dans NSX 6.4. Pour obtenir une liste à jour des fonctionnalités non prises en charge, consultez https://docs.vmware.com/fr/VMware-NSX-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html.

Glossaire VMware Technical Publications

VMware Technical Publications fournit un glossaire de termes pouvant ne pas vous être familiers. Pour consulter la définition des termes utilisés dans la documentation technique VMware, visitez le site Web http://www.vmware.com/support/pubs.

VMware, Inc. 13

https://docs.vmware.com/fr/VMware-NSX-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html


http://www.vmware.com/support/pubs

Configuration système requise pour NSX Data Center for vSphere 1Avant d'installer ou de mettre à niveau NSX Data Center for vSphere, étudiez la configuration et les ressources de votre réseau. Vous pouvez installer une seule instance de NSX Manager par serveur vCenter Server, une seule instance de Guest introspection par hôte ESXi et plusieurs instances de NSX Edge par centre de données.

Matériel

Ce tableau répertorie la configuration matérielle requise pour les dispositifs NSX Data Center for vSphere.

Tableau 1-1. Configuration matérielle requise pour les dispositifs

Dispositif Mémoire vCPU Espace disque

NSX Manager 16 Go (24 Go pour les grands déploiements)

4

Pour les grands déploiement :

Ne pas dépasser 8 (6.4.0 à 6.4.6)

Ne pas dépasser 32 (à partir de 6.4.7)

60 Go

NSX Controller 4 Go 4 28 Go

NSX Edge

(Le routeur logique distribué est déployé en tant que dispositif compact)

Compacte : 512 Mo

Grande : 1 Go

Super grande : 4 Go (à partir de 6.4.9), 2 Go (6.4.0 à 6.4.8)

Extra grande : 8 Go

Compacte : 1

Grande : 2

Super grande : 4

Extra grande : 6

Compacte, Grande : 1 disque de 640 Mo + 1 disque de 512 Mo

Super grande : 1 disque de 640 Mo + 2 disques de 512 Mo

Extra grande : 1 disque de 640 Mo + 1 disque de 2 Go + 1 disque de 512 Mo

Guest introspection 2 Go 2 5 Go (l'espace provisionné est de 6,26 Go)

VMware, Inc. 14

Recommandation générale : si votre environnement géré par NSX contient plus de 256 hyperviseurs, augmentez les ressources NSX Manager à 8 vCPU et 24 Go de mémoire vive. Ne dépassez pas 32 processeurs virtuels. Pour plus d'informations sur les configurations maximales, reportez-vous à la section NSX Data Center for vSphere de l'outil VMware Configuration Maximums. Les valeurs maximales de configuration documentées supposent que la taille du dispositif NSX Manager est grande. Pour obtenir des détails concernant des tailles spécifiques, prenez contact avec le support VMware.

Pour obtenir des informations sur l'augmentation de la mémoire et l'allocation de vCPU pour vos dispositifs virtuels, consultez « Allouer les ressources en mémoire » et « Modifier le nombre de cœurs de CPU virtuelles » dans Administration d'une machine virtuelle vSphere.

L'espace alloué affiché pour un dispositif Guest introspection est de 6,26 Go pour Guest introspection. Cela s'explique par le fait que vSphere ESX Agent Manager crée un snapshot de la VM de service pour créer des clones rapides, lorsque plusieurs hôtes d'un cluster partagent un stockage. Pour plus d'informations sur la désactivation de cette option via ESX Agent Manager, consultez la documentation de ESX Agent Manager.

Latence du réseau

Vous devez vous assurer que la latence du réseau entre les composants est égale ou inférieure à la latence maximale décrite.

Tableau 1-2. Latence maximale du réseau entre les composants

Composants Latence maximale

Nœuds NSX Manager et NSX Controller 150 ms RTT

Hôtes NSX Manager et ESXi 150 ms RTT

Système NSX Manager et vCenter Server 150 ms RTT

NSX Manager et NSX Manager dans un environnement cross-vCenter NSX

150 ms RTT

Hôtes NSX Controller et ESXi 150 ms RTT

Logiciels

Pour obtenir les informations d'interopérabilité les plus récentes, consultez le tableau d'interopérabilité du produit à l'adresse http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php.

Pour connaître les versions recommandées de NSX Data Center for vSphere, vCenter Server et ESXi, consultez les notes de mise à jour de la version de NSX Data Center for vSphere vers laquelle vous effectuez la mise à niveau. Les notes de mise à jour sont disponibles sur le site de documentation de NSX Data Center for vSphere : https://docs.vmware.com/fr/VMware-NSX-for-vSphere/index.html.


VMware, Inc. 15

https://configmax.vmware.com/

https://configmax.vmware.com/

http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php

http://partnerweb.vmware.com/comp_guide/sim/interop_matrix.php

https://docs.vmware.com/fr/VMware-NSX-for-vSphere/index.html

https://docs.vmware.com/fr/VMware-NSX-for-vSphere/index.html

Pour qu'une instance de NSX Manager participe à un déploiement cross-vCenter NSX, les conditions suivantes sont requises :

Composant Version

NSX Manager 6.2 ou une version ultérieure

NSX Controller 6.2 ou une version ultérieure

vCenter Server 6.0 ou une version ultérieure

ESXi ESXi 6.0 ou une version ultérieure

Clusters d'hôtes préparés avec des VIB NSX 6.2 ou version ultérieure

Pour gérer toutes les instances de NSX Manager sur un déploiement Cross-vCenter NSX à partir d'une seule instance de vSphere Web Client, vous devez connecter vos systèmes vCenter Server avec Enhanced Linked Mode. Consultez Utilisation de Enhanced Linked Mode dans Gestion de vCenter Server et des hôtes .

Pour vérifier la compatibilité des solutions de partenaires avec NSX, consultez le Guide de compatibilité de VMware pour Mise en réseau et sécurité à l'adresse http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.

Accès client et utilisateur

Les éléments suivants sont requis pour gérer votre environnement NSX Data Center for vSphere :

n Résolution de nom directe et inverse. Elle est nécessaire si vous avez ajouté des hôtes ESXi par nom à l'inventaire vSphere, sinon NSX Manager ne peut pas résoudre les adresses IP.

n Autorisations d'ajouter des machines virtuelles et de les mettre sous tension.

n Accès à la banque de données qui contient les fichiers de machine virtuelle et droits d'accès au compte pour copier les fichiers dans cette banque de données.

n Les cookies doivent être activés dans votre navigateur Web pour accéder à l'interface utilisateur de NSX Manager.

n Le port 443 doit être ouvert entre NSX Manager et l'hôte ESXi, vCenter Server et les dispositifs NSX Data Center for vSphere pour procéder au déploiement. Ce port est requis pour télécharger le fichier OVF sur l'hôte ESXi pour procéder au déploiement.

n Un navigateur Web pris en charge pour la version de vSphere Clientou vSphere Web Client que vous utilisez. Consultez la liste des navigateurs Web pris en charge sur https://docs.vmware.com/fr/VMware-NSX-Data-Center-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html.


VMware, Inc. 16

http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security


https://docs.vmware.com/fr/VMware-NSX-Data-Center-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html

https://docs.vmware.com/fr/VMware-NSX-Data-Center-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html

Notez que le navigateur Microsoft Internet Explorer Windows 32 et 64 bits n'est pas pris en charge avec NSX 6.4.x.

n Pour plus d'informations sur l'utilisation de vSphere Client (HTML5) sur vSphere 6.5 avec NSX Data Center for vSphere 6.4, consultez https://docs.vmware.com/fr/VMware-NSX-for-vSphere/6.4/rn/nsx-vsphere-client-65-functionality-support.html.


VMware, Inc. 17



Ports et protocoles requis par NSX Data Center for vSphere 2NSX Data Center for vSphere requiert l'ouverture de plusieurs ports pour fonctionner correctement.

n Si vous disposez d'un environnement cross-vCenter NSX et que vos systèmes vCenter Server sont en mode Enhanced Linked Mode, chaque dispositif NSX Manager doit présenter la connectivité requise à chaque système vCenter Server dans l'environnement. Dans ce mode, vous pouvez gérer toute instance de NSX Manager à partir de tout système vCenter Server.

n Lorsque vous effectuez une mise à niveau depuis une version antérieure de NSX vers la version 6.4.x, Guest Introspection et des clusters d'hôtes doivent être mis à niveau pour que les stratégies RDSH (Remote Desktop Session Host) soient créées et appliquées correctement.

Pour obtenir la liste de tous les ports et protocoles pris en charge dans NSX 6.4.0 et version ultérieure, reportez-vous au portail Ports et protocoles VMware à l'adresse https://ports.vmware.com/home/NSX-Data-Center-for-vSphere. Vous pouvez utiliser ce portail pour télécharger la liste au format de fichier CSV, Excel ou PDF.

VMware, Inc. 18

https://ports.vmware.com/home/NSX-Data-Center-for-vSphere

https://ports.vmware.com/home/NSX-Data-Center-for-vSphere

Présentation de NSX Data Center for vSphere 3La virtualisation des serveurs s'est directement accompagnée d'avantages notables pour les entreprises informatiques. La consolidation des serveurs a réduit la complexité physique, accru l'efficacité opérationnelle et la capacité à réorienter dynamiquement les ressources sous-jacentes afin de répondre rapidement, et de façon optimale, aux besoins d'applications d'entreprise toujours plus dynamiques.

L'architecture SDDC (Software Defined Data Center) de VMware étend désormais les technologies de virtualisation dans l'ensemble de l'infrastructure de centre de données physique. NSX Data Center for vSphere est un produit clé de l'architecture SDDC. Avec NSX Data Center for vSphere, la virtualisation confère à la mise en réseau les mêmes avantages que ceux déjà assurés aux calculs et au stockage. Tout comme la virtualisation des serveurs crée, supprime et restaure des machines virtuelles basées sur des logiciels, et en crée des snapshots, de façon programmée, la virtualisation réseau NSX Data Center for vSphere crée, supprime et restaure des réseaux virtuels basés sur des logiciels, et en crée des snapshots, de façon programmée. Il en résulte une approche vouée à la transformation de la mise en réseau qui non seulement permet aux gestionnaires de centres de données d'atteindre des volumes, une agilité et des facteurs économiques améliorés, mais qui propose également un modèle opérationnel nettement simplifié pour le réseau physique sous-jacent. Grâce à sa capacité à être déployée sur n'importe quel réseau IP, y compris sur les modèles de mise en réseau traditionnels existants et sur les architectures matricielles de nouvelle génération de n'importe quel fournisseur, NSX Data Center for vSphere est une solution entièrement sans perturbation. En fait, avec NSX Data Center for vSphere, l'infrastructure du réseau physique dont vous disposez déjà est tout ce dont vous avez besoin pour déployer un centre de données SDDC.

VMware, Inc. 19

Calcul physique et mémoire

Application

environnement x86

Hyperviseur de serveur

Application Application

Machinevirtuelle

Machinevirtuelle

Exigence : x86

Découplé

Machinevirtuelle

Réseau physique

Charge de travail

Service réseau L2, L3 et L4-7

Plate-forme de virtualisation de réseau

Charge de travail

Charge de travail

Réseauvirtuel

Réseauvirtuel

Exigence : Transport IP

Réseauvirtuel

L'illustration ci-dessus effectue une analogie entre la virtualisation des calculs et celle du réseau. Grâce à la virtualisation des serveurs, une couche d'abstraction logicielle (hyperviseur de serveur) reproduit les attributs habituels d'un serveur physique x86 (par exemple, unité centrale, mémoire RAM, disque, carte réseau virtuelle) dans le logiciel, ce qui permet de programmer leur assemblage dans n'importe quelle combinaison arbitraire pour produire une machine virtuelle unique en quelques secondes.

Avec la virtualisation réseau, l'équivalent fonctionnel d'un hyperviseur de réseau reproduit l'ensemble complet de services de mise en réseau de la couche 2 jusqu'à la couche 7 (par exemple commutation, routage, contrôle d'accès, création de pare-feu, qualité du service et équilibrage de charge) dans le logiciel. Par conséquent, ces services peuvent être assemblés de façon programmée dans n'importe quelle combinaison arbitraire afin de produit des réseaux virtuels isolés en quelques secondes.

La virtualisation réseau permet d'obtenir des avantages semblables à ceux offerts par la virtualisation des serveurs. Par exemple, tout comme les machines virtuelles sont indépendantes de la plate-forme x86 sous-jacente et permettent au service informatique de traiter les hôtes physiques comme un pool de capacités de calcul, les réseaux virtuels sont indépendants du matériel physique du réseau IP sous-jacent et permettent au service informatique de traiter le réseau physique comme un pool de capacités de transport pouvant être utilisées et réorientées à la demande. À la différence des architectures héritées, les réseaux virtuels peuvent être alloués, modifiés, stockés, supprimés et restaurés en fonction de la programmation sans qu'il soit nécessaire de reconfigurer le matériel physique ou la topologie sous-jacent(e). En égalant les capacités et les avantages découlant de solutions de virtualisation des serveurs et du stockage connues, cette approche de la mise en réseau favorisant la transformation laisse s'exprimer tout le potentiel du centre de données défini par le logiciel.

NSX Data Center for vSphere peut être configuré à l'aide de vSphere Web Client, d'une interface de ligne de commande (CLI) et d'une REST API.


VMware, Inc. 20

Ce chapitre contient les rubriques suivantes :

n Composants de NSX Data Center for vSphere

n NSX Edge

n NSX Services

Composants de NSX Data Center for vSphere

Cette section décrit les composants de la solution NSX Data Center for vSphere.


VMware, Inc. 21

CMP

NSXController

NSXManager

Plate-forme de consommation

NSXEdge

Plan de données

Pare-feuDLRVXLANVDSvSwitch

NSX

Modules d'extension de l'hyperviseur

+

Plan de gestion

Plan de contrôleÉtat de l'exécution


VMware, Inc. 22

Sachez qu'une plate-forme de gestion du cloud (CMP) n'est pas un composant de NSX Data Center for vSphere. NSX Data Center for vSphere fournit cependant l'intégration à pratiquement toutes les CMP par le biais d'API REST, ainsi qu'une intégration directe aux plates-formes de gestion du cloud VMware.

Plan de données

Le plan de données se compose de NSX Virtual Switch, lequel est basé sur vSphere Distributed Switch (VDS) doté de composants supplémentaires pour activer les services. Les modules de noyau NSX, agents d'espace utilisateur, fichiers de configuration et scripts d'installation sont réunis dans des VIB afin de fournir des services tels que le routage distribué et les pare-feu logiques, ainsi que pour activer les capacités de pontage VXLAN.

NSX Virtual Switch (basé sur vDS) crée une abstraction du réseau physique et fournit une commutation de niveau d'accès dans l'hyperviseur. Il est essentiel à la virtualisation du réseau car il active des réseaux logiques indépendants des constructions physiques comme les VLAN. Parmi les avantages du vSwitch, on peut citer :

n La prise en charge de la création de réseaux superposés avec des protocoles (VXLAN, par exemple) et une configuration réseau centralisés. La création d'un réseau superposé active les capacités suivantes :

n Réduction de l'utilisation des ID de VLAN dans le réseau physique.

n Création d'une superposition de couche 2 (L2) logique flexible sur les réseaux IP existants sur l'infrastructure physique existante sans qu'il soit nécessaire de modifier l'architecture d'un réseau de centre de données quel qu'il soit.

n Établissement de communications (horizontales et verticales) tout en maintenant l'isolation des locataires.

n Charges de travail d'application et machines virtuelles ne connaissant pas le réseau superposé et fonctionnant comme si elles étaient connectées à un réseau de niveau 2 physique.

n Facilitation d'hyperviseurs d'immense envergure.

n De nombreuses fonctions (telles que la mise en miroir des ports, NetFlow/IPFIX, la sauvegarde et restauration de la configuration, le contrôle de santé du réseau, la qualité de service et le LACP) composent une trousse à outils exhaustive destinée à la gestion, à la surveillance et au dépannage du trafic dans un réseau virtuel.

Les routeurs logiques peuvent fournir un pontage de niveau 2 entre l'espace de mise en réseau logique (VXLAN) et le réseau physique (VLAN).

Le périphérique passerelle est généralement constitué d'un dispositif NSX Edge virtuel. NSX Edge offre des fonctions L2, L3, de pare-feu périmétrique et d'équilibrage de charge, ainsi que d'autres services tels que le VPN SSL et le DHCP.


VMware, Inc. 23

Plan de contrôle

Le plan de contrôle s'exécute dans le cluster NSX Controller. NSX Controller est un système avancé de gestion des états distribués qui fournit des fonctions de plan de contrôle pour les fonctions de commutation et de routage logiques. Il constitue le point de contrôle central de tous les commutateurs logiques figurant dans un réseau. Il gère également les informations de l'ensemble des hôtes, des commutateurs logiques (VXLAN) et des routeurs logiques distribués.

Le cluster de NSX Controller est responsable de la gestion des modules de commutation distribuée et du routage dans les hyperviseurs. Le contrôleur n'est pas traversé par un trafic de plan de données. Des nœuds de contrôleur sont déployés dans un cluster de trois membres afin d'activer la haute disponibilité et l'échelle. Une défaillance des nœuds du contrôleur n'a aucune répercussion sur le trafic de plan de données.

Les instances de NSX Controller distribuent des informations sur le réseau aux hôtes. Pour atteindre un niveau élevé de résilience, NSX Controller est mis en cluster pour la montée en charge et le mode HA. Le cluster NSX Controller doit contenir les trois nœuds. Les trois dispositifs virtuels fournissent, gèrent et mettent à jour l'état de l'ensemble du réseau fonctionnant dans le domaine NSX. NSX Manager est utilisé pour déployer les nœuds de NSX Controller.

Les trois nœuds NSX Controller forment un cluster de contrôle. Le cluster de contrôleurs requiert un quorum (majorité) pour éviter qu'un scénario de « split brain » se produise. Dans un scénario de « split brain », les incohérences de données sont issues de la maintenance de deux ensembles de données distincts qui se chevauchent. Ces incohérences peuvent être dues à des défaillances et à des problèmes de synchronisation des données. La présence de trois nœuds de contrôleur permet d'assurer la redondance des données en cas de défaillance d'un nœud NSX Controller.

Un cluster de contrôleurs détient entre autres les rôles suivants :

n Fournisseur d'API

n Serveur de persistance

n Gestionnaire de commutateur

n Gestionnaire logique

n Serveur d'annuaire

Chaque rôle dispose d'un nœud de contrôleur maître. Si un nœud de contrôleur maître échoue pour un rôle, le cluster désigne un nouveau maître pour ce rôle parmi les nœuds NSX Controller disponibles. Le nouveau nœud NSX Controller maître détenant le rôle réattribue les portions de travail perdues entre les nœuds NSX Controller restants.

NSX Data Center for vSphere prend en charge trois modes de plan de contrôle de commutateur logique : multidiffusion, monodiffusion et hybride. L'utilisation d'un cluster contrôlé pour gérer des commutateurs logiques basés sur VXLAN permet d'éliminer le besoin d'une prise en charge de la multidiffusion dans l'infrastructure réseau physique. Vous n'avez pas besoin de provisionner des adresses IP de groupe de multidiffusion, ni d'activer les fonctionnalités de routage PIM ou d'écoute IGMP sur des commutateurs physiques ou des routeurs. En conséquence, les modes monodiffusion ou hybrides dissocient NSX du réseau physique. Les réseaux VXLAN en mode de


VMware, Inc. 24

plan de contrôle de monodiffusion ne nécessitent plus que le réseau physique prenne en charge la multidiffusion pour gérer le trafic diffusion, monodiffusion inconnue et multidiffusion (BUM) au sein d'un commutateur logique. Le mode monodiffusion réplique tout le trafic BUM localement sur l'hôte et ne nécessite aucune configuration du réseau physique. En mode hybride, une partie de la réplication du trafic BUM est déchargée sur le commutateur physique de premier saut pour obtenir de meilleures performances. Le mode hybride nécessite une écoute IGMP sur le commutateur de premier saut et un accès à une requête IGMP dans chaque sous-réseau VTEP.

Plan de gestion

Le plan de gestion est généré par NSX Manager, le composant de gestion réseau centralisée de NSX Data Center for vSphere. Il fournit le point de configuration unique et les points d'entrée de l'API REST.

NSX Manager est installé en tant que dispositif virtuel sur un hôte ESXi de votre environnement vCenter Server. NSX Manager et vCenter entretiennent une relation de type un à un. À chaque instance de NSX Manager correspond un vCenter Server. Cela est vrai même dans un environnement cross-vCenter NSX.

Un environnement cross-vCenter NSX comporte une instance principale de NSX Manager et uns ou plusieurs instances secondaires de NSX Manager. L’instance principale de NSX Manager vous permet de créer et de gérer des commutateurs logiques universels, des routeurs logiques universels (distribués) et des règles de pare-feu universelles. Les instances secondaires de NSX Manager servent à gérer les services de mise en réseau qui sont locales pour cette instance spécifique de NSX Manager. Jusqu'à sept instances secondaires de NSX Manager peuvent être associées à l'instance principale de NSX Manager dans un environnement cross-vCenter NSX.

Plate-forme de consommation

La consommation de NSX Data Center for vSphere peut être déterminée directement par l'intermédiaire de l'interface utilisateur de NSX Manager qui est disponible dans vSphere Web Client. En général, les utilisateurs associent la virtualisation réseau à leur plate-forme de gestion de Cloud (CMP) pour déployer des applications. NSX Data Center for vSphere fournit une forte intégration dans presque toutes les CMP par l'intermédiaire de REST API. L'intégration prédéfinie est également disponible dans VMware vRealize Automation Center, vCloud Director et OpenStack avec le plug-in Neutron.

NSX Edge

Vous pouvez installer NSX Edge en tant que passerelle Edge Services Gateway (ESG) ou routeur logique distribué (DLR).


VMware, Inc. 25

Edge Services Gateway

Edge Services Gateway vous donne accès à tous les services NSX Edge tels que le pare-feu, NAT, DHCP, VPN, l'équilibrage de charge et la haute disponibilité. Vous pouvez installer plusieurs dispositifs virtuels de passerelle ESG dans un centre de données. Chaque dispositif virtuel ESG peut comporter un total de dix interfaces réseau de liaison montante et internes. Avec une jonction, une passerelle ESG peut comporter jusqu'à 200 sous-interfaces. Les interfaces internes se connectent à des groupes de ports sécurisés et font office de passerelle pour toutes les machines virtuelles protégées du groupe de ports. Le sous-réseau attribué à l'interface interne peut être un espace IP routé publiquement ou un espace privé NAT/routé défini par la RFC 1918. Les règles de pare-feu et les autres services NSX Edge sont appliqués au trafic entre les interfaces.

Les interfaces de liaison montante des passerelles ESG se connectent à des groupes de ports qui ont accès à un réseau d'entreprise partagé ou à un service fournissant un accès à la mise en réseau de la couche. Il est possible de configurer plusieurs adresses IP externes pour l'équilibreur de charge, le réseau privé virtuel (VPN) de site à site et les services de traduction des adresses réseau (NAT).

Routeur logique distribué

Le routeur logique distribué fournit un routage distribué horizontal avec un espace d'adressage IP de locataire et une isolation du chemin de données. Les machines ou les charges de travail virtuelles qui se trouvent surle même hôte sur différents sous-réseaux peuvent communiquer entre elles sans avoir à traverser une interface de routage traditionnelle.

Un routeur logique peut disposer de huit interfaces de liaison montante et jusqu'à un millier d'interfaces internes. Une interface de liaison montante sur un routeur distribué logique établit généralement une liaison homologue avec une interface ESG, avec un commutateur de transit logique de niveau 2 intervenant entre le routeur distribué logique et la passerelle ESG. Une interface interne sur un routeur distribué logique établit une liaison homologue avec une machine virtuelle hébergée sur un hyperviseur ESXi avec un commutateur logique intervenant entre la machine virtuelle et le routeur distribué logique.

Le routeur distribué logique possède deux composants principaux :

n Le plan de contrôle de routage est fourni par le dispositif virtuel du routeur distribué logique (aussi appelé machine virtuelle de contrôle). Cette machine virtuelle prend en charge les protocoles de routage dynamique (BGP et OSPF), échange des mises à jour de routage avec le périphérique de saut de couche 3 suivant (généralement la passerelle Edge Services Gateway) et communique avec NSX Manager et le cluster NSX Controller. La haute disponibilité pour le dispositif virtuel de routeur distribué logique est prise en charge au moyen d'une configuration en veille active : une paire de machines virtuelles fonctionnant en modes actif/veille est fournie lorsque vous créez le routeur distribué logique avec HA activé.

n Au niveau du plan de données, les modules de noyau de routeur distribué logique (VIB) sont installés sur des hôtes ESXi faisant partie du domaine NSX. Les modules de noyau sont similaires aux cartes de ligne dans un châssis modulaire prenant en charge le routage de


VMware, Inc. 26

couche 3. Les modules de noyau ont une base d'informations de routage (RIB), aussi appelée table de routage, envoyée depuis le cluster de controller. Au niveau du plan de données, les fonctionnalités de recherche de route et de recherche d'entrée ARP sont exécutées par les modules de noyau. Les modules de noyau sont équipés d'interfaces logiques (appelées LIF) établissant la connexion avec les différents commutateurs logiques et tout groupe de ports sauvegardés sur VLAN. Une adresse IP, représentant la passerelle IP par défaut pour le segment logique L2 auquel il se connecte, et une adresse vMAC sont attribuées à chaque LIF. L'adresse IP de chaque LIF est unique, alors que la même adresse vMAC est attribuée à tous les LIF définis.

Figure 3-1. Composants de routage logique

VPN VP

NSXManager1

25

3

4

6

NSX Edge (agit en qualité de routeurpar sauts successifs)

192.168.100.0/24

Réseauexterne

Cluster decontrôleurs

Dispositifde routeur

logique

vSphere Distributed Switch

OSPF, BGP

Contrôle

Appairage

VM Web172.16.10.11

172.16.10.1

VM App172.16.20.11

172.16.20.1

Routeurlogique

Contrôle192.168.10.1

192.168.10.2

Chemin dedonnées

192.168.10.3

1 Une instance de routeur logique distribué est créée à partir de l'interface utilisateur de NSX Manager (ou au moyen d'appels d'API) et le routage est activé, à l'aide d'OSPF ou de BGP.

2 NSX Controller utilise le plan de contrôle avec les hôtes ESXi pour envoyer la nouvelle configuration de routeur logique distribué, y compris les LIF et leurs adresses IP et vMAC associées.


VMware, Inc. 27

3 Considérant qu'un protocole de routage est aussi activé sur le périphérique de tronçon suivant (un NSX Edge [ESG] dans cet exemple), l'homologation OSPF ou BGP est établie entre l'ESG et la machine virtuelle de contrôle du routeur logique distribué. L'ESG et le routeur de logique distribué peuvent échanger des informations de routage :

n La machine virtuelle de contrôle du routeur logique distribué peut être configurée pour redistribuer dans OSPF les préfixes IP pour tous les réseaux logiques connectés (172.16.10.0/24 et 172.16.20.0/24 dans cet exemple). Cela entraîne l'envoi des annonces de routes au NSX Edge. Notez que pour ces préfixes le prochain saut n'est pas l'adresse IP attribuée à la machine virtuelle de contrôle (192.168.10.3), mais l'adresse IP identifiant le composant du plan de données du routeur logique distribué (192.168.10.2). La première est appelée « adresse de protocole » du routeur logique distribué, alors que la seconde correspond à « l'adresse de transfert ».

n NSX Edge envoie les préfixes à la machine virtuelle de contrôle pour atteindre les réseaux IP du réseau externe. Dans la plupart des situations, il est probable qu'une seule route par défaut soit envoyée à NSX Edge, car elle représente le seul point de sortie vers l'infrastructure de réseau physique.

4 La machine virtuelle de contrôle de routeur logique distribué envoie les routes IP communiquées par NSX Edge au cluster de contrôleur.

5 Le cluster de contrôleur est responsable de la distribution aux hyperviseurs des routes communiquées par la machine virtuelle de contrôle de routeur logique distribué. Chaque nœud de contrôleur du cluster se charge de distribuer les informations pour une instance de routeur logique spécifique. Dans un déploiement comprenant plusieurs instances de routeur logique, la charge est répartie entre les nœuds de contrôleur. Une instance de routeur logique séparée est généralement associée à chaque locataire déployé.

6 Les modules de noyau de routage DLR de l'hôte gèrent le trafic du chemin de données pour communiquer avec le réseau externe au moyen de NSX Edge.

NSX Services

Les composants NSX Data Center for vSphere fonctionnent ensemble afin de fournir fonctionnel des services VMware NSX®Services™ fonctionnels.

Commutateurs logiques

Un déploiement cloud ou un centre de données virtuel possède un grand nombre d'applications sur plusieurs locataires. Ces applications et ces locataires nécessitent d'être isolés les uns par rapport aux autres pour assurer la sécurité et la localisation des pannes, et pour éviter les chevauchements d'adresses IP. NSX Data Center for vSphere permet de créer plusieurs commutateurs logiques, dont chacun constitue un domaine de diffusion logique unique. Une application ou une machine virtuelle locataire peut être câblée de façon logique à un commutateur logique. Cela permet plus de flexibilité et de vitesse de déploiement tout en fournissant toutes les caractéristiques des domaines de diffusion des réseaux physiques (VLAN) sans les problèmes de prolifération ou de protocole Spanning Tree liés à la couche 2 physique.


VMware, Inc. 28

Un commutateur logique est distribué et peut s'étendre à l'ensemble des hôtes de vCenter (ou d'un environnement cross-vCenter NSX). Cela permet d'assurer la mobilité des machines virtuelles (vMotion) au sein du centre de données, tout en s'affranchissant des limites de la couche 2 physique (VLAN). L'infrastructure physique n'est pas restreinte par les limites de la table MAC/FIB car le logiciel du commutateur logique contient le domaine de diffusion.

Routeurs logiques

Le routage fournit les informations de transfert nécessaires entre des domaines de diffusion de la couche 2, vous permettant ainsi de diminuer la taille des domaines de diffusion de la couche 2 et d'améliorer l'efficacité et l'échelle du réseau. NSX Data Center for vSphere étend ces informations aux emplacements dans lesquels résident les charges de travail pour un routage horizontal. Cela permet une communication plus directe entre les machines virtuelles sans extension de sauts longue et coûteuse. Parallèlement, les routeurs logiques fournissent une connectivité verticale, permettant ainsi aux locataires d'accéder aux réseaux publics.

Pare-feu logique

Le pare-feu logique offre des mécanismes de sécurité pour les centres de données virtuels dynamiques. Le composant pare-feu distribué du pare-feu logique vous permet de segmenter les entités de centres de données virtuelles comme les machines virtuelles basées sur des noms et attributs de machine virtuelle, sur l'identité de l'utilisateur, sur des objets vCenter tels que des centres de données et sur des hôtes, ainsi que sur les attributs de mise en réseau traditionnels que sont les adresses IP, les réseaux VLAN, etc. Le composant Edge Firewall vous aide à respecter des exigences essentielles de sécurité du périmètre telles que la création des zones démilitarisées sur des constructions IP/VLAN et l'isolation entre locataires dans les centres de données virtuels à plusieurs locataires.

La fonction Flow Monitoring affiche l'activité réseau entre les machines virtuelles au niveau du protocole d'application. Vous pouvez utiliser ces informations pour contrôler le trafic réseau, définir et affiner les stratégies du pare-feu et identifier les menaces que court votre réseau.

Réseaux VPN (Virtual Private Network) logiques

VPN-Plus SSL permet à des utilisateurs distants d'accéder à des applications d'entreprise privées. VPN IPsec assure une connectivité de site à site entre une instance de NSX Edge et des sites distants avec NSX Data Center for vSphere ou avec des routeurs matériels/passerelles VPN de fournisseurs tiers. VPN L2 permet d'étendre votre centre de données en autorisant les machines virtuelles à conserver la connectivité réseau tout en gardant la même adresse IP entre des limites géographiques.


VMware, Inc. 29

Équilibrage de charge logique

L'équilibrage de charge de NSX Edge distribue les connexions clientes dirigées vers une adresse IP virtuelle unique (VIP) entre plusieurs destinations configurées en tant que membres d'un pool d'équilibrage de charge. Il distribue les demandes de service entrantes uniformément entre plusieurs serveurs de telle sorte que la distribution de la charge est transparente pour les utilisateurs. L'équilibrage de charge contribue donc à obtenir une utilisation optimale des ressources, à optimiser le débit, à réduire les temps de réponse et à éviter la surcharge.

Service Composer

Service Composer vous aide à provisionner et à attribuer des services de réseau et de sécurité à des applications dans une infrastructure virtuelle. Vous pouvez mapper ces services à un groupe de sécurité pour les appliquer aux machines virtuelles de ce groupe de sécurité en utilisant une règle de sécurité.

Extensibilité de NSX Data Center for vSphere

Les fournisseurs de solutions tierces peuvent intégrer celles-ci à la plate-forme NSX Data Center for vSphere, ce qui permet aux clients de bénéficier d'une expérience intégrée entre les produits VMware et les solutions des partenaires. Les opérateurs de centres de données peuvent provisionner des réseaux virtuels complexes et multiniveaux en quelques secondes, quels que soient la topologie du réseau et les composants sous-jacents.


VMware, Inc. 30

Présentation de la mise en réseau et de la sécurité de Cross-vCenter 4NSX Data Center for vSphere permet de gérer plusieurs environnements à partir d'une instance principale unique de NSX Manager.


n Avantages de Cross-vCenter NSX

n Fonctionnement de Cross-vCenter NSX

n Matrice de prise en charge des services dans Cross-vCenter NSX

n Cluster NSX Controller universel

n Zone de transport universelle

n Commutateurs logiques universels

n Routeurs (distribués) logiques universels

n Règles de pare-feu universelles

n Réseau universel et objets de sécurité

n Topologies de Cross-vCenter NSX

n Modification des rôles de NSX Manager

Avantages de Cross-vCenter NSX

Les environnements NSX contenant plusieurs systèmes vCenter Server peuvent être gérés de manière centralisée.

De nombreuses situations peuvent nécessiter l'utilisation de plusieurs systèmes vCenter Server, notamment :

n S'affranchir des limites d'échelle de vCenter Server

n Prendre en charge des produits nécessitant plusieurs systèmes vCenter Server ou des systèmes dédiés, tels que Horizon View ou Site Recovery Manager

n Séparer les environnements par entité, locataire, organisation, type d'environnement, etc.

VMware, Inc. 31

Dans NSX Data Center for vSphere 6.2 et versions ultérieures, vous pouvez créer des objets universels dans l'instance principale de NSX Manager. Ces objets sont ensuite synchronisés entre tous les systèmes vCenter Server de l'environnement.

Cross-vCenter NSX comprend les fonctionnalités suivantes :

n Augmentation de l'étendue des réseaux logiques. Les mêmes réseaux logiques sont disponibles dans l'environnement cross-vCenter. Il est donc possible de connecter les machines virtuelles de n'importe quel cluster d'un système vCenter Server au même réseau logique.

n Gestion centralisée des règles de sécurité. Les règles de pare-feu sont gérées à partir d'un emplacement centralisé et s'appliquent à la machine virtuelle, quel que soit l'emplacement du système vCenter Server.

n Prise en charge de limites de mobilité dans vSphere 6, dont cross-vCenter et vMotion sur de longues distances sur des commutateurs logiques.

n Prise en charge améliorée des environnements multisites, de la distance métro à 150 ms RTT. Cela concerne les centres de données actif-actif et actif-passif.

Les environnements Cross-vCenter NSX présentent de nombreux avantages :

n Gestion centralisée des objets universels, ce qui réduit la charge administrative.

n Mobilité accrue des charges de travail (les machines virtuelles peuvent faire l'objet d'une migration à l'aide de vMotion entre les instances de vCenter Server sans qu'il soit nécessaire de les reconfigurer ni de modifier les règles de pare-feu).

n Capacités accrues de reprise après sinistre et de sites multiples.

Note La fonctionnalité Cross-vCenter NSX est prise en charge dans vSphere 6.0 et les versions ultérieures.

Fonctionnement de Cross-vCenter NSX

Dans un environnement cross-vCenter NSX, il est possible d'avoir plusieurs instances de vCenter Server, devant chacune être associée à sa propre instance de NSX Manager. Le rôle de NSX Manager principal est attribué à une seule instance de NSX Manager, tandis que le rôle de NSX Manager secondaire est attribué aux autres.

L'instance principale de NSX Manager est utilisée pour déployer un cluster de contrôleurs universels qui fournit le plan de contrôle pour l'environnement cross-vCenter NSX. Les instances secondaires de NSX Manager ne possèdent pas leurs propres clusters de contrôleurs.

L'instance principale de NSX Manager peut créer des objets universels tels que des commutateurs logiques universels. Le service de synchronisation universelle de NSX synchronise ces objets dans les instances secondaires de NSX Manager. Vous pouvez afficher ces objets à partir des instances secondaires de NSX Manager, mais vous ne pouvez pas les modifier à cet emplacement. Pour gérer les objets universels, vous devez utiliser l'instance principale de NSX Manager.


VMware, Inc. 32

Vous pouvez créer des objets locaux, tels que des commutateurs logiques et des routeurs logiques (distribués), pour cet environnement spécifique sur l'instance principale comme sur les instances secondaires de NSX Manager. Ces objets existent uniquement dans l'environnement dans lequel ils ont été créés. Ils ne sont pas visibles dans les autres instances de NSX Manager de l'environnement cross-vCenter NSX.

Les instances de NSX Manager peuvent se voir attribuer un rôle autonome. Une instance autonome de NSX Manager gère un environnement avec une seule instance de NSX Manager et une seule instance de vCenter. Vous ne pouvez pas créer d'objets universels avec une instance autonome de NSX Manager.

Note Si vous attribuez un rôle autonome à une instance principale de NSX Manager alors que l'environnement NSX contient des objets universels, l'instance se voit attribuer le rôle de transit. Les objets universels sont conservés, mais ils ne peuvent pas être modifiés, et vous ne pouvez pas en créer de nouveaux. Vous pouvez supprimer des objets universels à partir du rôle de transit. Utilisez le rôle de transit temporairement, par exemple lors de la modification de l'instance principale de NSX Manager.

Routeur logique distribué universel

DistributedFirewall

universel

Configuration d'objets universels(vSphere Web Client et API)

Synchronisation d'objets universels

vCenter avec NSX Manager(instance principale)

Cluster decontrôleursuniversels

Site B

Zone de transport universelle

Commutateurs logiques universels

Site A

vCenter avec NSX Manager(instance secondaire)

Site H


Inventaire vCenter local Inventaire vCenter localInventaire vCenter local


VMware, Inc. 33

Matrice de prise en charge des services dans Cross-vCenter NSX

Un sous-ensemble de services NSX Data Center for vSphere est disponible pour la synchronisation universelle dans cross-vCenter NSX. Les services non disponibles pour la synchronisation universelle peuvent être configurés pour une utilisation locale sur NSX Manager.

Tableau 4-1. Matrice de prise en charge des services NSX Data Center for vSphere dans cross-vCenter NSX

Service NSX Data Center for vSphere DétailsPrend en charge la synchronisation cross-vCenter NSX ?

Commutateur logique Zone de transport Oui

Commutateur logique Oui

Ponts L2 Non

Routage Routeur logique (distribué) Oui

Dispositif de routeur logique (distribué)

Non en raison de la conception. Des dispositifs doivent être créés sur chaque instance de NSX Manager si plusieurs dispositifs sont requis pour chaque routeur logique universel. Cela permet de définir plusieurs configurations par dispositif, ce qui peut s'avérer nécessaire dans un environnement dans lequel la sortie locale est configurée.

NSX Edge Services Gateway Non

Pare-feu logique Pare-feu distribué Oui

Liste d'exclusion Non

SpoofGuard Non

Surveillance du trafic pour flux agrégés

Non

Insertion de service réseau Non

Edge Firewall Non

VPN Non

Équilibrage de charge logique Non

Autres services Edge Non

Service Composer Non

Extensibilité du réseau Non


VMware, Inc. 34

Tableau 4-1. Matrice de prise en charge des services NSX Data Center for vSphere dans cross-vCenter NSX (suite)

Service NSX Data Center for vSphere DétailsPrend en charge la synchronisation cross-vCenter NSX ?

Objets réseau et de sécurité Groupes d'adresses IP (ensembles d'IP)

Oui

Groupes d'adresses MAC (ensembles MAC)

Oui

pools d'adresses IP Non

Groupes de sécurité Oui, mais la configuration de l'appartenance diffère de l'appartenance de groupes de sécurité non universels. Reportez-vous à la section « Créer un groupe de sécurité » dans le Guide d'administration de NSX pour plus d'informations.

Services Oui

Groupes de services Oui

Balises de sécurité Oui

Passerelle matérielle (également connue sous le nom de VTEP matériel)

Non. Reportez-vous à la section « Configuration d'exemples de passerelle matérielle » dans le Guide d'administration de NSX pour plus d'informations.

Cluster NSX Controller universel

Chaque environnement cross-vCenter NSX comporte un cluster de contrôleurs universel associé à l'instance principale de NSX Manager. Les instances secondaires de NSX Manager ne possèdent pas de cluster de contrôleurs.

Le cluster de contrôleurs universel est le seul cluster de contrôleurs de l'environnement cross-vCenter NSX. De ce fait, il gère les informations sur les commutateurs et les routeurs logiques universels, ainsi que sur les commutateurs et les routeurs logiques en local sur chaque instance de NSX Manager.

Afin d'éviter tout chevauchement des ID d'objet, les objets universels et les objets locaux sont associés à des pools d'ID distincts.


Un environnement cross-vCenter NSX ne peut comporter qu'une seule zone de transport universelle.


VMware, Inc. 35

La zone de transport universelle est créée sur l'instance principale de NSX Manager et synchronisée vers les instances secondaires de NSX Manager. Les clusters qui doivent participer aux réseaux logiques universels doivent être ajoutés à la zone de transport universelle à partir de leurs instances de NSX Manager.


Les commutateurs logiques universels permettent aux réseaux de couche 2 de s'étendre sur plusieurs sites.

Lorsque vous créez un commutateur logique dans une zone de transport universelle, vous créez un commutateur logique universel. Ce commutateur est disponible sur tous les clusters dans la zone de transport universelle. Cette dernière peut inclure des clusters dans toutes les instances vCenter de l'environnement cross-vCenter NSX.

Le pool d'ID de segments permet d'attribuer des VNI aux commutateurs logiques, tandis que le pool d'ID de segments universel permet d'attribuer des VNI aux commutateurs logiques universels. Ces pools ne doivent pas se chevaucher.

Vous devez utiliser un routeur logique universel pour l'acheminement entre les commutateurs logiques universels. Si vous avez besoin de relier un commutateur logique universel et un commutateur logique, vous devez utiliser une passerelle Edge Services Gateway.

Routeurs (distribués) logiques universels

Les routeurs (distribués) logiques universels offrent une administration centralisée et une configuration de routage pouvant être personnalisée au niveau du routeur logique universel, du cluster ou de l'hôte.

Lorsque vous créez un routeur logique universel, vous devez choisir d'activer ou non la sortie locale, car cette configuration ne peut pas être modifiée après la création. La sortie locale vous permet de contrôler quels itinéraires sont fournis aux hôtes ESXi en fonction d'un identifiant, en l'occurrence l'ID de paramètres régionaux.

Un ID de paramètres régionaux défini par défaut sur l'UUID de NSX Manager est attribué à chaque instance de NSX Manager. Vous pouvez remplacer l'ID de paramètres régionaux aux niveaux suivants :

n Routeurs logiques universels

n Cluster

n Hôte ESXi

Si vous n'activez pas la sortie locale, l'ID de paramètres régionaux est ignoré et tous les hôtes ESXi connectés au routeur logique universel reçoivent les mêmes itinéraires. Vous pouvez choisir d'activer ou non la sortie locale dans un environnement cross-vCenter NSX en fonction de votre conception, mais l'activation n'est pas nécessaire pour toutes les configurations de cross-vCenter NSX.


VMware, Inc. 36

Règles de pare-feu universelles

Le pare-feu distribué dans un environnement cross-vCenter NSX permet la gestion centralisée des règles qui s'appliquent à l'ensemble des serveurs vCenter Server de votre environnement. Il prend en charge la fonctionnalité vMotion entre serveurs vCenter Server, qui vous permet de déplacer des charges de travail ou des machines virtuelles entre des serveurs vCenter Server et d'étendre sans interruption votre sécurité SDDC (Software Defined Datacenter).

Si les besoins de votre centre de données augmentent, il se peut que le serveur vCenter Server existant n'évolue pas au même niveau. Vous devez ainsi déplacer un ensemble d'applications vers de nouveaux hôtes gérés par un autre serveur vCenter Server. Vous pouvez aussi devoir déplacer des applications de la phase de transfert à la phase de production, dans un environnement où les serveurs de transfert sont gérés par un serveur vCenter Server et les serveurs de production par un autre serveur vCenter Server. Le pare-feu distribué prend en charge ces scénarios vMotion entre serveurs vCenter Server en répliquant les stratégies de pare-feu que vous avez définies pour l'instance principale de NSX Manager sur un nombre maximal de sept instances secondaires de NSX Manager.

Depuis l'instance principale de NSX Manager, vous pouvez créer des sections de règles du pare-feu distribué qui sont marquées pour la synchronisation universelle. Vous pouvez créer plusieurs sections de règles universelles de niveau 2 et plusieurs sections de règles universelles de niveau 3. Les sections universelles sont toujours répertoriées en haut des instances principales et secondaires de NSX Manager. Ces sections et les règles qu'elles contiennent sont synchronisées avec toutes les instances secondaires de NSX Manager de votre environnement. Les règles dans d'autres sections restent locales pour l'instance de NSX Manager appropriée.

Les fonctionnalités suivantes du pare-feu distribué ne sont pas prises en charge dans un environnement cross-vCenter NSX :

n Liste d'exclusion

n SpoofGuard

n Surveillance du trafic pour flux agrégés

n Insertion de service réseau

n Edge Firewall

Service Composer ne prend pas en charge la synchronisation universelle. Vous ne pouvez donc pas l'utiliser pour créer des règles du pare-feu distribué dans la section universelle.

Réseau universel et objets de sécurité

Vous pouvez créer des objets réseau et de sécurité personnalisés à utiliser dans les règles du pare-feu distribué de la section universelle.

Les groupes de sécurité universels peuvent avoir la configuration suivante :

n Ensembles d'adresses IP universelles


VMware, Inc. 37

n Ensembles de MAC universels

n Groupes de sécurité universels

n Balises de sécurité universelle

n Critères dynamiques

Les objets réseau et de sécurité universels sont créés, supprimés et mis à jour uniquement sur l'instance principale de NSX Manager, mais sont lisibles sur l'instance secondaire de NSX Manager. Universal Synchronization Service synchronise les objets universels à travers vCenters immédiatement, ainsi que sur demande à l'aide de la synchronisation forcée.

Les groupes de sécurité universels sont utilisés dans deux types de déploiements : plusieurs environnements cross-vCenter NSX en direct et déploiements cross-vCenter NSX en mode Veille active, où un site est en direct à un moment donné et le reste est en attente. Seuls les déploiements en mode Veille active peuvent avoir des groupes de sécurité universels avec appartenance dynamique basée sur un nom de machine virtuelle et appartenance statique basée sur une balise de sécurité universelle. Après leur création, les groupes de sécurité universelle ne peuvent être ni modifiés ni désactivés pour la fonctionnalité du scénario en mode Veille active. L'appartenance est définie par les objets inclus uniquement, vous ne pouvez pas utiliser d'objets exclus.

Les groupes de sécurité universels ne peuvent pas être créés depuis Service Composer. Les groupes de sécurité créés depuis Service Composer seront spécifiques à l'instance de NSX Manager en question.

Topologies de Cross-vCenter NSX

Vous pouvez déployer cross-vCenter NSX sur un site physique unique ou sur plusieurs sites.

Cross-vCenter NSX sur plusieurs sites et sur un site unique

Un environnement cross-vCenter NSX vous permet d'utiliser les mêmes commutateurs logiques et autres objets réseau sur plusieurs environnements NSX Data Center for vSphere. Les systèmes vCenter Server correspondants peuvent être situés sur un même site ou sur des sites différents.

Vous pouvez utiliser une configuration identique, que les environnements cross-vCenter NSX soient contenus dans un ou plusieurs sites. Ces deux exemples de topologies comprennent les éléments suivants :

n Une zone de transport universelle comprenant tous les clusters du ou des sites.

n Des commutateurs logiques universels liés à la zone de transport universelle. Deux commutateurs logiques universels sont utilisés pour connecter les machines virtuelles, tandis qu'un troisième sert de réseau de transit pour la liaison montante du routeur.

n Des machines virtuelles ajoutées aux commutateurs logiques universels.


VMware, Inc. 38

n Un routeur logique universel équipé d'un dispositif NSX Edge pour activer le routage dynamique. Le dispositif de routeur logique universel possède des interfaces internes sur les commutateurs logiques universels de la machine virtuelle, ainsi qu'une interface de liaison montante sur le commutateur logique universel du réseau de transit.

n Des dispositifs Edge Services Gateway (ESG) connectés au réseau de transit et au réseau du routeur de sortie physique.

Pour plus d’informations sur les topologies de cross-vCenter NSX, consultez le Guide de conception Cross-vCenter NSX sur https://communities.vmware.com/docs/DOC-32552.

Figure 4-1. Cross-vCenter NSX sur un site unique

VPN VP

VPN VP

vCenter avec NSXManager (instance principale)

NSX EdgeServicesGateway



OSPF, BGP

Site A

E1 E8

Dispositifdu routeur logiqueuniversel



Appairage x8

vCenter avec NSXManager (instance secondaire)

Réseau de transit du commutateur

logique universel

Routeurs physiques


VMware, Inc. 39

https://communities.vmware.com/docs/DOC-32552

Figure 4-2. Cross-vCenter NSX sur deux sites

VPN VP

VPN VP





OSPF, BGP

Site B

E1 E8

Dispositifdu routeur logiqueuniversel



Appairage

Site A

Routeurs physiques


Réseau de transitdu commutateurlogique universel

Sortie locale

Tous les sites d'un environnement cross-vCenter NSX multi-site peuvent utiliser les mêmes routeurs physiques pour le trafic de sortie. Toutefois, si vous devez personnaliser les itinéraires de sortie, la fonctionnalité de sortie locale doit être activée à la création du routeur logique universel.

La sortie locale vous permet de personnaliser les itinéraires au niveau du routeur logique universel, du cluster ou de l'hôte. Dans l'exemple suivant d'environnement cross-vCenter NSX sur plusieurs sites, la sortie locale est activée. Les passerelles Edge Services Gateway (ESG) de chaque site possèdent un itinéraire par défaut qui envoie du trafic par le biais des routeurs physiques de ce site. Le routeur logique universel est configuré avec deux dispositifs, un pour chaque site. Les dispositifs apprennent des itinéraires à partir des ESG du site. Les itinéraires appris sont envoyés au cluster de contrôleurs universel. La sortie locale étant activée, l'ID de paramètres régionaux


VMware, Inc. 40

de ce site est associé à ces itinéraires. Le cluster de contrôleurs universel envoie aux hôtes les itinéraires et les ID de paramètres régionaux correspondants. Les itinéraires appris sur le dispositif du site A sont envoyés aux hôtes du site A, tandis que les itinéraires appris sur le dispositif du site B sont envoyés aux hôtes du site B.

Pour plus d’informations sur la sortie locale, consultez le Guide de conception Cross-vCenter NSX sur https://communities.vmware.com/docs/DOC-32552.


VPN VP

VPN VP

VPN VP

VPN VP




OSPF, BGP

Site B

Routeursphysiques du

site A

Réseau de transitdu commutateur logique

universel A

E1 E8

Dispositif principal durouteur logiqueuniversel



Appairage

Site A

Routeursphysiques du

site A


OSPF, BGP

Routeursphysiquesdu site B

E1 E8

Routeursphysiquesdu site B

Appairage


Réseau de transitdu commutateur logiqueuniversel B Dispositif secondaire du

routeur logiqueuniversel

ID des paramètres régionaux : Site A ID des paramètres régionaux : Site B

Modification des rôles de NSX Manager

Une instance de NSX Manager peut disposer de rôles, tels que principal, secondaire, autonome ou de transit. Le logiciel spécial de synchronisation s'exécute sur l'instance principale de NSX Manager et synchronise tous les objets universels vers les instances secondaires de NSX Manager.


VMware, Inc. 41


Il est important de bien comprendre ce qu'il se passe lorsque vous modifiez le rôle d'une instance de NSX Manager.

Définir comme principal

Cette opération permet d'attribuer un rôle principal à une instance de NSX Manager et de lancer le logiciel de synchronisation. Elle échoue si l'instance de NSX Manager est déjà une instance principale ou secondaire.

Définir comme autonome (à partir d'une instance secondaire)

Cette opération définit le rôle de l'instance de NSX Manager sur le mode autonome ou de transit. Elle échoue si l'instance de NSX Manager possède déjà le rôle autonome.

Définir comme autonome (à partir d'une instance principale)

Cette opération réinitialise l'instance principale de NSX Manager sur le mode autonome ou de transit, arrête le logiciel de synchronisation et désinscrit toutes les instances secondaires de NSX Manager. Elle échoue si l'instance de NSX Manager est déjà une instance autonome ou si l'une des instances secondaires de NSX Manager est inaccessible.

Se déconnecter de l'instance principale

Lorsque vous effectuez cette opération sur une instance secondaire de NSX Manager, cette dernière est déconnectée de l'instance principale de NSX Manager. Cette opération doit être effectuée lorsque l'instance principale de NSX Manager a rencontré une erreur irrécupérable et que vous souhaitez enregistrer l'instance secondaire de NSX Manager auprès d'une nouvelle instance principale. Si l'instance principale d'origine de NSX Manager est restaurée, sa base de données continue de répertorier l'instance secondaire de NSX Manager comme étant enregistrée. Pour résoudre ce problème, sélectionnez l'option force lorsque vous déconnectez ou annulez l'enregistrement de l'instance secondaire dans l'instance principale. L'option force permet de supprimer l'instance secondaire de NSX Manager de la base de données de l'instance principale.


VMware, Inc. 42

Zones de transport 5Une zone de transport contrôle quels hôtes un commutateur logique peut atteindre. Elle peut couvrir un ou plusieurs clusters vSphere. Les zones de transport dictent quels clusters et, en conséquence, quelles machines virtuelles peuvent participer à l'utilisation d'un réseau donné. Dans un environnement cross-vCenter NSX, vous pouvez créer une zone de transport universelle qui peut inclure des clusters de n'importe quel vCenter de l'environnement. Vous ne pouvez créer qu'une seule zone de transport universelle.

Un environnement NSX Data Center for vSphere peut comporter une ou plusieurs zones de transport en fonction de vos besoins. Un cluster d'hôtes peut faire partie de plusieurs zones de transport. Un commutateur logique ne peut faire partie que d'une zone de transport.

NSX Data Center for vSphere n'autorise pas la connexion de machines virtuelles se trouvant dans des zones de transport distinctes. L'étendue d'un commutateur logique est limitée à une zone de transport, de sorte que des machines virtuelles situées dans des zones de transport distinctes ne puissent pas se trouver sur le même réseau de couche 2. Un routeur logique distribué ne peut pas se connecter à des commutateurs logiques se trouvant dans des zones de transport distinctes. Après avoir connecté le premier commutateur logique, la sélection d'autres commutateurs logiques est limitée aux commutateurs se trouvant dans la même zone de transport.

Les directives suivantes sont destinées à vous aider à concevoir vos zones de transport :

n Si un cluster nécessite une connectivité de couche 3, il doit se trouver dans une zone de transport contenant également un cluster Edge, c'est-à-dire un cluster contenant des périphériques Edge de couche 3 (des routeurs logiques distribués et des passerelles Edge Services Gateway).

n Supposons que vous ayez deux clusters, l'un pour des services Web et l'autre pour des services d'application. Pour avoir une connectivité VXLAN entre les machines virtuelles dans ces deux clusters, ceux-ci doivent être inclus dans la zone de transport.

n N'oubliez pas que tous les commutateurs logiques inclus dans la zone de transport seront disponibles et visibles de toutes les machines virtuelles des clusters inclus dans la zone de transport. Si un cluster comprend des environnements sécurisés, vous pouvez ne pas vouloir le rendre disponible à toutes les machines virtuelles d'autres clusters. Au contraire, vous pouvez placer votre cluster sécurisé dans une zone de transport plus isolée.

VMware, Inc. 43

n L'étendue de vSphere Distributed Switch (VDS ou DVS) doit correspondre à celle de la zone de transport. Lorsque vous créez des zones de transport dans des configurations VDS avec plusieurs clusters, vérifiez que tous les clusters du VDS sélectionné sont inclus dans la zone de transport. Cela permet de s'assurer que le DLR est disponible sur tous les clusters dans lesquels des dvPortgroups VDS sont disponibles.

Le diagramme suivant présente une zone de transport alignée correctement sur la limite du VDS.

[ Cluster : Comp A ]

VTEP :192.168.250.51

esxcomp-01a

VTEP :192.168.250.52

esxcomp-02a

VTEP :192.168.250.53

esxcomp-01b

VTEP :192.168.250.54

esxcomp-02b

VTEP :192.168150.52

esx-01a

VTEP :192.168.150.51

esx-02a

5001

5002

5003

[ DVS : Compute_DVS ]

[ Cluster : Comp B ]

[ Zone de transport : Global-Transport-Zone ]

[ Cluster : Mgmt/Edge ]

[ DVS : Mgmt_Edge_DVS ]

web1 app1 web2 LB

db1

Si vous ne suivez pas cette recommandation, n'oubliez pas que si un VDS s'étend au-delà d'un cluster d'hôtes et que la zone de transport inclut uniquement l'un de ces clusters (ou un sous-ensemble), tous les commutateurs logiques compris dans cette zone de transport peuvent accéder aux machines virtuelles situées dans tous les clusters reliés par le VDS. Autrement dit, la zone de transport ne sera pas en mesure de limiter l'étendue du commutateur logique à un sous-ensemble des clusters. Si ce commutateur logique est ensuite connecté à un DLR, vous devez vous assurer que les instances du routeur sont créées uniquement dans le cluster inclus dans la zone de transport pour éviter des problèmes de couche 3.

Par exemple, lorsqu'une zone de transport n'est pas alignée sur la limite du VDS, l'étendue des commutateurs logiques (5001, 5002 et 5003) et des instances du DLR auxquels ces commutateurs logiques sont connectés se retrouve disjointe, ce qui a pour conséquence d'interrompre l'accès des machines virtuelles du cluster Comp A aux interfaces logiques du DLR (LIF).


VMware, Inc. 44

DLRmanquant !

DLRmanquant !

[ Cluster : Comp A ]

[ TZ/DVS non aligné correctement ]

VTEP :192.168.250.51

esxcomp-01a

VTEP :192.168.250.52

esxcomp-02a

VTEP :192.168.250.53

esxcomp-01b

VTEP :192.168.250.54

esxcomp-02b

VTEP :192.168150.52

esx-01a

VTEP :192.168.150.51

esx-02a

5001

5002

5003

[ DVS : Compute_DVS ]

[ Cluster : Comp B ]

[ Zone de transport : Global-Transport-Zone ]

[ Cluster : Mgmt/Edge ]

[ DVS : Mgmt_Edge_DVS ]

web1 app1 web2 LB

db1


n Comprendre les modes de réplication

n Ajouter une zone de transport

n Modifier une zone de transport

n Développement d'une zone de transport

n Réduire une zone de transport

n Mode CDO (Controller Disconnected Operation)

Comprendre les modes de réplication

Lorsque vous créez une zone de transport ou un commutateur logique, vous devez sélectionner un mode de réplication. Comprendre les différents modes peut vous aider à déterminer celui qui est le plus adapté à votre environnement.

Chaque hôte ESXi préparé pour NSX est configuré avec un point de terminaison de tunnel VXLAN (VTEP). Chaque point de terminaison de tunnel VXLAN dispose d'une adresse IP. Ces adresses IP peuvent être dans le même sous-réseau ou dans des sous-réseaux différents.

Lorsque deux machines virtuelles sur des hôtes ESXi différents communiquent directement, le trafic de monodiffusion encapsulé est échangé entre les deux adresses IP de VTEP, sans saturation nécessaire. Cependant, comme avec n'importe quel réseau de couche 2, il arrive que le trafic en provenance d'une machine virtuelle doive être saturé ou envoyé à toutes les


VMware, Inc. 45

autres machines virtuelles appartenant au même commutateur logique. Le trafic de diffusion, de monodiffusion inconnue et de multidiffusion de couche 2 sont collectivement appelés trafic BUM. Le trafic BUM à partir d'une machine virtuelle sur un hôte donné doit être répliqué vers tous les autres hôtes sur lesquels des machines virtuelles sont connectées au même commutateur logique. NSX Data Center for vSphere prend en charge trois modes de réplication différents :

n Mode de réplication Monodiffusion

n Mode de réplication Multidiffusion

n Mode de réplication Hybride

Résumé des modes de réplicationTableau 5-1. Résumé des modes de réplication

Mode de réplication

Méthode de réplication BUM vers les VTEP sur le même sous-réseau

Méthode de réplication BUM vers les VTEP sur un sous-réseau différent

Exigences en matière de réseau physique

Monodiffusion Monodiffusion Monodiffusion n Routage entre des sous-réseaux VTEP

Multidiffusion Multidiffusion de couche 2

Multidiffusion de couche 3 n Routage entre des sous-réseaux VTEP

n Multidiffusion de couche 2, IGMP

n Multidiffusion de couche 3, PIM

n Attribution de groupes de multidiffusion à des commutateurs logiques

Hybride Multidiffusion de couche 2

Monodiffusion n Routage entre des sous-réseaux VTEP

n Multidiffusion de couche 2, IGMP

Mode de réplication Monodiffusion

Le mode de réplication monodiffusion ne nécessite pas de réseau physique pour prendre en charge la multidiffusion de couche 2 ou de couche 3 afin de gérer le trafic BUM au sein d'un commutateur logique. L'utilisation du mode Monodiffusion dissocie les réseaux logiques du réseau physique. Le mode Monodiffusion réplique tout le trafic BUM localement sur l'hôte source et transfère le trafic BUM aux hôtes distants dans un paquet de monodiffusion. En mode Monodiffusion, vous pouvez avoir tous les VTEP dans un sous-réseau ou dans plusieurs sous-réseaux.


VMware, Inc. 46

Scénario d’un sous-réseau : si toutes les interfaces VTEP hôtes appartiennent à un seul sous-réseau, le VTEP source transfère le trafic BUM vers tous les VTEP distants. Cette action est appelée réplication de tête de réseau. La réplication de tête de réseau peut entraîner une capacité supplémentaire non souhaitée de l'hôte et une utilisation supérieure de bande passante. L'impact varie selon la quantité de trafic BUM et le nombre d'hôtes et de VTEP dans le sous-réseau.

Scénario de sous-réseau multiples : si les interfaces VTEP hôtes sont regroupées en plusieurs sous-réseaux IP, l'hôte source gère le trafic BUM en deux parties. Le VTEP source transfère le trafic BUM pour chaque VTEP dans le même sous-réseau (comme dans le scénario d’un sous-réseau). Pour les VTEP dans des sous-réseaux distants, le VTEP source transfère le trafic BUM vers un hôte dans chaque sous-réseau VTEP distant et définit le bit de réplication pour marquer ce paquet pour la réplication locale. Lorsqu'un hôte dans le sous-réseau distant reçoit ce paquet et détecte que le bit de réplication est défini, il envoie le paquet à tous les autres VTEP dans son sous-réseau sur lesquels le commutateur logique existe.

Par conséquent, le mode de réplication Monodiffusion évolue bien dans les architectures réseau ayant de nombreux sous-réseaux IP VTEP, car la charge est répartie entre plusieurs hôtes.

Mode de réplication Multidiffusion

Le mode de réplication Multidiffusion requiert que les multidiffusions de couche 2 et de couche 3 soient activées dans l'infrastructure physique. Pour configurer le mode Multidiffusion, l'administrateur réseau associe chaque commutateur logique à un groupe de multidiffusion IP. Pour les hôtes ESXi qui hébergent des machines virtuelles sur un commutateur logique spécifique, les VTEP associés rejoignent le groupe de multidiffusion à l'aide d'IGMP. Les routeurs suivent les jointures IGMP et créent une arborescence de distribution de multidiffusion entre eux à l'aide d'un protocole de routage de multidiffusion.

Lorsque les hôtes répliquent le trafic BUM vers des VTEP dans le même sous-réseau IP, ils utilisent la multidiffusion de couche 2. Lorsque les hôtes répliquent le trafic BUM vers des VTEP dans des sous-réseaux IP différents, ils utilisent la multidiffusion de couche 3. Dans les deux cas, la réplication du trafic BUM vers des VTEP distants est gérée par l'infrastructure physique.

Bien que la multidiffusion IP soit une technologie bien connue, le déploiement de la multidiffusion IP dans le centre de données est souvent considéré comme un obstacle, pour différentes raisons techniques, opérationnelles ou administratives. L'administrateur réseau doit faire preuve de prudence quant au nombre maximal d'états de multidiffusion pris en charge dans l'infrastructure physique pour activer le mappage un à un entre le commutateur logique et le groupe de multidiffusion. L'un des avantages de la virtualisation est que celle-ci permet la mise à l'échelle de l'infrastructure virtuelle sans exposer l'infrastructure physique à des états supplémentaires. Le mappage de commutateurs logiques à des les groupes de multidiffusion « physiques » rompt ce modèle.

Note En mode de réplication Multidiffusion, le cluster NSX Controller n'est pas utilisé pour la commutation logique.


VMware, Inc. 47

Mode de réplication Hybride

Le mode Hybride est un hybride entre les modes de réplication Multidiffusion et Monodiffusion. En mode de réplication Hybride, les VTEP hôtes utilisent la multidiffusion de couche 2 pour distribuer le trafic BUM aux VTEP homologue du même sous-réseau. Lorsque les VTEP hôtes répliquent le trafic BUM vers les VTEP de sous-réseaux différents, ils transfèrent le trafic sous forme de paquets de monodiffusion vers un seul hôte par sous-réseau VTEP. Cet hôte destinataire utilise à son tour la multidiffusion de couche 2 pour envoyer les paquets aux autres VTEP dans son sous-réseau.

La multidiffusion de couche 2 est plus courante dans les réseaux clients que la multidiffusion de couche 3, car elle est généralement plus facile à déployer. La réplication vers un VTEP différent du même sous-réseau est gérée dans le réseau physique. La réplication hybride peut représenter pour l'hôte source un soulagement significatif du trafic BUM s'il existe de nombreux VTEP homologues dans le même sous-réseau. Avec la réplication hybride, vous pouvez faire monter en puissance un environnement haute densité avec peu ou pas de segmentation.

Ajouter une zone de transport

Une zone de transport contrôle les hôtes qu'un commutateur logique peut atteindre. Elle peut s'étendre à un ou plusieurs clusters vSphere. Les zones de transport dictent quels clusters et, en conséquence, quelles machines virtuelles peuvent participer à l'utilisation d'un réseau donné. Les zones de transport universelles peuvent couvrir un cluster vSphere dans un environnement cross-vCenter NSX.

Il ne peut exister qu'une zone de transport universelle dans un environnement cross-vCenter NSX.

Conditions préalables

Déterminez l'instance de NSX Manager correspondante à laquelle apporter vos modifications.

n Dans un environnement vCenter NSX autonome ou unique, il n'existe qu'une seule instance de NSX Manager de sorte que n'ayez pas besoin d'en sélectionner une.

n Les objets universels doivent être gérés dans l'instance principale de NSX Manager.

n Les objets spécifiques à une instance de NSX Manager doivent être gérés depuis cette instance.

n Dans un environnement cross-vCenter NSX où le Enhanced Linked Mode n'est pas activé, les modifications relatives à la configuration doivent être réalisées depuis le vCenter lié à l'instance de NSX Manager que vous souhaitez modifier.

n Dans un environnement cross-vCenter NSXoù Enhanced Linked Mode est activé, vous pouvez effectuer des modifications relatives à la configuration pour n'importe quelle instance de NSX Manager depuis le vCenter lié de votre choix. Sélectionnez l'instance de NSX Manager appropriée dans le menu déroulant NSX Manager.


VMware, Inc. 48

Procédure

1 Accédez aux paramètres de réseau logique.

u Dans NSX 6.4.1 et versions ultérieures, accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Paramètres de réseau logique (Logical Network Settings).

u Dans NSX 6.4.0, accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Préparation du réseau logique (Logical Network Preparation).

2 Cliquez sur Zones de transport (Transport Zones), puis sur Ajouter (Add).

3 (Facultatif) Si vous souhaitez configurer cette zone de transport comme une zone de transport universelle, effectuez la sélection suivante.

n Dans NSX 6.4.1 et versions ultérieures, cliquez sur le bouton Synchronisation universelle (Universal Synchronization) pour activer le paramètre.

n Dans NSX 6.4.0, sélectionnez Marquer cet objet pour la synchronisation universelle (Mark this object for Universal Synchronization).

4 Sélectionnez le mode de réplication :

n Multidiffusion (Multicast) : la multidiffusion des adresses IP sur le réseau physique est utilisée pour le plan de contrôle. Ce mode est uniquement recommandé lors de la mise à niveau à partir d'anciens déploiements VXLAN. Nécessite PIM/IGMP sur le réseau physique.

n Monodiffusion (Unicast) : le plan de contrôle est géré par une instance de NSX Controller. Tout le trafic de monodiffusion exploite la réplication de tête de réseau optimisée. Aucune adresse IP multidiffusion ni aucune configuration réseau spéciale n'est requise.

n Hybride (Hybrid) : décharge la réplication du trafic local vers un réseau physique (multidiffusion de niveau 2). Ce mode nécessite une surveillance IGMP sur le commutateur de premier saut et un accès à une requête IGMP dans chaque sous-réseau VTEP, mais n'a pas besoin de PIM. Le commutateur de premier saut gère la réplication du trafic du sous-réseau.

Important Si vous créez une zone de transport universelle et que vous sélectionnez le mode de réplication hybride, vous devez vous assurer que l'adresse multidiffusion utilisée n'est pas en conflit avec d'autres adresses multidiffusion attribuées sur l'une des instances de NSX Manager dans l'environnement.

5 Sélectionnez les clusters à ajouter à la zone de transport.

Résultats

Transport-Zone est une zone de transport locale de l'instance de NSX Manager sur laquelle elle a été créée.


VMware, Inc. 49

Universal-Transport-Zone est une zone de transport universelle disponible sur toutes les instances de NSX Manager dans un environnement cross-vCenter NSX.

Étape suivante

Si vous avez ajouté une zone de transport, vous pouvez ajouter des commutateurs logiques.

Si vous avez ajouté une zone de transport universelle, vous pouvez ajouter des commutateurs logiques universels.

Si vous avez ajouté une zone de transport universelle, vous pouvez sélectionner les instances secondaires de NSX Manager et ajouter leurs clusters à la zone en question.

Modifier une zone de transport

Vous pouvez modifier le nom, la description et le mode de réplication d'une zone de transport.


VMware, Inc. 50

Procédure

u Pour modifier une zone de transport, effectuez les étapes suivantes.

Version de NSX Procédure

NSX 6.4.1 et versions ultérieures a Accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Paramètres de réseau logique (Logical Network Settings) > Zones de transport (Transport Zones).

b Sélectionnez la zone de transport et cliquez sur Modifier (Edit).

c Modifiez le nom, la description ou le mode de réplication de la zone de transport.

Note Si vous modifiez le mode de réplication de la zone de transport, sélectionnez Migrer les commutateurs logiques existants vers le nouveau mode de plan de contrôle (Migrate existing Logical Switches to the new control plane mode) pour modifier le mode de réplication des commutateurs logiques existants liés à cette zone de transport. Si vous ne cochez pas cette case, seuls les commutateurs logiques liés à cette zone de transport après la modification disposeront du nouveau mode de réplication.

d Cliquez sur ENREGISTRER (SAVE).

NSX 6.4.0 a Accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Préparation du réseau logique (Logical Network Preparation) > Zones de transport (Transport Zones).

b Sélectionnez la zone de transport, puis cliquez sur Actions > Toutes les actions du plug-in de l'interface utilisateur de NSX (All NSX User Interface Plugin Actions) > Modifier les paramètres (Edit Settings).

c Modifiez le nom, la description ou le mode de réplication de la zone de transport.

Note Si vous modifiez le mode de réplication de la zone de transport, sélectionnez Migrer les commutateurs logiques existants vers le nouveau mode de plan de contrôle (Migrate existing Logical Switches to the new control plane mode) pour modifier le mode de réplication des commutateurs logiques existants liés à cette zone de transport. Si vous ne cochez pas cette case, seuls les commutateurs logiques liés à cette zone de transport après la modification disposeront du nouveau mode de réplication.

d Cliquez sur OK.

Développement d'une zone de transport

Vous pouvez ajouter des clusters à une zone de transport. Toutes les zones de transport existantes deviennent alors disponibles sur les clusters venant d'être ajoutés.


L'infrastructure réseau est installée sur les clusters ajoutés à une zone de transport et ces derniers sont configurés pour VXLAN. Reportez-vous à Guide d'installation de NSX.


VMware, Inc. 51

Procédure

1 Accédez à la zone de transport.

u Dans NSX 6.4.1 et versions ultérieures, accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Paramètres de réseau logique (Logical Network Settings) > Zones de transport (Transport Zones).

u Dans NSX 6.4.0, accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Préparation du réseau logique (Logical Network Preparation) > Zones de transport (Transport Zones).

2 Cliquez dans la zone de transport que vous souhaitez développer.

3 Cliquez sur Connecter des clusters (Connect Clusters) ( ou sur ).

4 Sélectionnez les clusters que vous souhaitez ajouter à la zone de transport et cliquez sur OK ou sur Enregistrer (Save).

Réduire une zone de transport

Vous pouvez supprimer des clusters d'une zone de transport. La taille des zones de transport existantes est réduite pour s'adapter à l'étendue réduite.

Procédure

1 Accédez à la zone de transport.

u Dans NSX 6.4.1 et versions ultérieures, accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Paramètres de réseau logique (Logical Network Settings) > Zones de transport (Transport Zones).

u Dans NSX 6.4.0, accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Préparation du réseau logique (Logical Network Preparation) > Zones de transport (Transport Zones).

2 Cliquez sur la zone de transport que vous souhaitez réduire.

3 Cliquez sur Déconnecter des clusters (Disconnect Clusters) ( ou ).

4 Sélectionnez les clusters que vous souhaitez supprimer.

5 Cliquez sur OK ou sur Enregistrer (Save).

Mode CDO (Controller Disconnected Operation)

La fonctionnalité du mode CDO (Controller Disconnected Operation) est désormais étendue à plusieurs sites et est disponible au niveau de NSX Manager.

Pour plus de détails, voir Mode Controller Disconnected Operation pour plusieurs sites.


VMware, Inc. 52

Commutateurs logiques 6Un déploiement cloud ou un centre de données virtuel possède un grand nombre d'applications sur plusieurs locataires. Ces applications et ces locataires nécessitent d'être isolés les uns par rapport aux autres pour assurer la sécurité et l'isolement des pannes, et pour éviter les problèmes de chevauchement des adresses IP. Le commutateur logique NSX crée des domaines de diffusion logiques ou des segments auxquels une application ou une machine virtuelle locataire peuvent être câblées. Cela permet plus de flexibilité et de vitesse de déploiement tout en fournissant toutes les caractéristiques des domaines de diffusion des réseaux physiques (VLAN) sans les problèmes de prolifération ou de protocole Spanning Tree liés à la couche 2 physique.

Un commutateur logique est distribué et peut étendre arbitrairement des clusters de calcul de grande taille. Cela permet d'assurer la mobilité des machines virtuelles (vMotion) au sein du centre de données, tout en s'affranchissant des limites de la couche 2 physique (VLAN). L'infrastructure physique n'a pas à gérer les limites de la table MAC/FIB, car le logiciel du commutateur logique contient le domaine de diffusion.

Un commutateur logique est mappé sur un VXLAN unique, qui encapsule le trafic de machine virtuelle et le transporte sur le réseau IP physique.

VMware, Inc. 53

vSphere Distributed Switch

Commutateur logique 1

NSXManager

Clusterde contrôleurs

Commutateur logique 2

NSX Controller est le point de contrôle central de tous les commutateurs logiques figurant dans un réseau. Il gère également les informations de l'ensemble des machines virtuelles, des hôtes, des commutateurs logiques et des VXLAN. Le contrôleur prend en charge deux nouveaux modes de plan de contrôle de commutateur logique : monodiffusion et hybride. Ces modes dissocient NSX du réseau physique. Les réseaux VXLAN ne nécessitent plus que le réseau physique prenne en charge la multidiffusion pour gérer le trafic diffusion, monodiffusion inconnue et multidiffusion (BUM) au sein d'un commutateur logique. Le mode monodiffusion réplique tout le trafic BUM localement sur l'hôte et ne nécessite aucune configuration du réseau physique. En mode hybride, une partie de la réplication du trafic BUM est déchargée sur le commutateur physique de premier saut pour obtenir de meilleures performances. Ce mode nécessite que l'écoute IGMP soit activée sur le commutateur physique de premier saut. Les machines virtuelles au sein d'un commutateur logique peuvent utiliser et envoyer tous les types de trafic, notamment IPv6 et la multidiffusion.

Vous pouvez étendre un commutateur logique sur un périphérique physique en ajoutant un pont L2. Reportez-vous à la section Chapitre 8 Ponts L2.

Vous devez disposer des autorisations du rôle de super administrateur ou d'administrateur d'entreprise pour gérer les commutateurs logiques.



VMware, Inc. 54

n Ajouter un commutateur logique

n Connecter des machines virtuelles à un commutateur logique

n Tester la connectivité d'un commutateur logique

n Empêcher l'usurpation sur un commutateur logique

n Modifier un commutateur logique

n Scénario de commutateur logique

Ajouter un commutateur logique


n Vous disposez de l'autorisation du rôle de super administrateur ou d'administrateur d'entreprise pour configurer et gérer les commutateurs logiques.

n Le port UDP VXLAN est ouvert dans les règles de pare-feu (le cas échéant). Le port UDP VXLAN peut être configuré à l'aide de l'API.

n Le MTU de l'infrastructure physique doit comporter au moins 50 octets de plus que le MTU de la vNIC de la machine virtuelle.

n L'adresse IP gérée est définie pour chaque vCenter server dans les paramètres d'exécution de vCenter Server. Reportez-vous à la section Gestion de vCenter Server et des hôtes.

n DHCP est disponible sur les VLAN de transport de VXLAN si vous utilisez DHCP pour attribuer des adresses IP à des VMKNic.

n Un type de commutateur virtuel distribué (fournisseur, etc.) et une version de commutateur cohérents sont utilisés dans une zone de transport donnée. Des types de commutateurs incohérents peuvent entraîner un comportement imprévisible de votre commutateur logique.

n Vous avez configuré une stratégie d'association LACP adaptée et connecté des cartes réseau physiques aux ports. Pour plus d'informations sur les modes d'association, reportez-vous à la documentation VMware vSphere.

n La distribution par hachage 5 quintuples est activée pour LACP (Link Aggregation Control Protocol).

n Pour chacun des hôtes sur lesquels vous souhaitez utiliser LACP, vérifiez qu'un canal de port LACP séparé existe sur le commutateur virtuel distribué.

n Pour le mode multidiffusion, le routage de multidiffusion est activé si le trafic VXLAN traverse des routeurs. Vous avez acquis une plage d'adresses de multidiffusion auprès de votre administrateur réseau.

n Le port 1234 (port d'écoute du contrôleur par défaut) est ouvert sur le pare-feu pour que l'hôte ESXi communique avec des contrôleurs.


VMware, Inc. 55

n (Recommandé) pour les modes multidiffusion ou hybrides, vous avez activé l'écoute IGMP sur les commutateurs de niveau 2 auxquels sont liés les hôtes participant au VXLAN. Si l'écoute IGMP est activée sur le niveau 2, la requête IGMP doit être activée sur le routeur ou le commutateur de niveau 3 avec une connectivité avec les réseaux de multidiffusion.

Ajouter un commutateur logique

Un commutateur logique NSX reproduit la fonctionnalité de commutation (monodiffusion, multidiffusion et diffusion) dans un environnement virtuel dissocié du matériel sous-jacent. Les commutateurs logiques sont semblables aux VLAN en ce qu'ils fournissent des connexions réseau auxquelles vous pouvez associer des machines virtuelles. Les commutateurs logiques sont locaux dans un déploiement NSX à un seul vCenter. Dans un déploiement cross-vCenter NSX, vous pouvez créer des commutateurs logiques universels qui peuvent couvrir tous les systèmes vCenter. Le type de zone de transport détermine si le nouveau commutateur est un commutateur logique ou un commutateur logique universel.

Lorsque vous créez un commutateur logique, en plus de sélectionner une zone de transport et un mode de réplication, vous configurez deux options : la découverte d'adresses IP et l'apprentissage MAC.

La découverte d'adresses IP permet de limiter la saturation du trafic ARP dans les segments VXLAN individuels, c'est-à-dire entre les machines virtuelles connectées au même commutateur logique. La découverte d'adresses IP est activée par défaut.

Note Il n'est pas possible de désactiver la découverte d'adresses IP lorsque vous créez le commutateur logique universel. Cette fonction peut être désactivée via l'API après la création du commutateur. Ce paramètre est géré séparément sur chaque instance de NSX Manager. Reportez-vous à Guide de NSX API.

L'apprentissage MAC construit une table d'apprentissage VLAN/MAC sur chaque vNIC. Cette table est stockée avec les données dvfilter. Dans vMotion, dvfilter enregistre et restaure la table au nouvel emplacement. Puis, le commutateur génère des RARP pour toutes les entrées VLAN/MAC de la table. Vous voudrez peut-être activer l'apprentissage MAC si vous utilisez des cartes réseau virtuelles effectuant la jonction VLAN.


VMware, Inc. 56


Tableau 6-1. Conditions préalables à la création d'un commutateur logique ou d'un commutateur logique universel

Commutateur logique Commutateur logique universel

n vSphere Distributed Switches doivent être configurés.

n NSX Manager doit être installé.

n Les contrôleurs doivent être déployés.

n Les clusters d'hôtes doivent être préparés pour NSX.

n VXLAN doit être configuré.

n Un pool d'ID de segments doit être configuré.

n Une zone de transport doit être créée.

n vSphere Distributed Switches doivent être configurés.

n NSX Manager doit être installé.

n Les contrôleurs doivent être déployés.

n Les clusters d'hôtes doivent être préparés pour NSX.

n VXLAN doit être configuré.

n Une instance principale de NSX Manager doit être assignée.

n Un pool d'ID de segments universel doit être configuré.

n Une zone de transport universelle doit être créée.







Procédure

1 Accédez à Page d'accueil (Home) > Mise en réseau et sécurité (Networking & Security) > Commutateurs logiques (Logical Switches).

2 Sélectionnez l'instance de NSX Manager sur laquelle créer un commutateur logique. Pour créer un commutateur logique universel, vous devez sélectionner l'instance principale de NSX Manager.

3 Cliquez sur Ajouter (Add) ou sur l'icône Nouveau commutateur logique (New Logical Switch)

( ).

4 Tapez un nom et une description (facultative) pour le commutateur logique.


VMware, Inc. 57

5 Sélectionnez la zone de transport dans laquelle vous voulez créer le commutateur logique. Si vous sélectionnez une zone de transport universelle, un commutateur logique universel est créé.

Par défaut, le commutateur logique hérite du mode de réplication du plan de contrôle de la zone de transport. Vous pouvez changer cela et choisir l'un des autres modes disponibles. Les modes disponibles sont monodiffusion, hybride et multidiffusion.

Si vous créez un commutateur logique universel et que vous sélectionnez le mode de réplication hybride, vous devez vous assurer que l'adresse multidiffusion utilisée n'est pas en conflit avec d'autres adresses multidiffusion attribuées sur l'une des instances de NSX Manager dans l'environnement cross-vCenter NSX.

6 (Facultatif) Activez la découverte d'adresses IP pour activer la suppression d'ARP.

7 (Facultatif) Activez l'apprentissage MAC.

Exemple : Commutateur logique et commutateur logique universel

App est un commutateur logique connecté à une zone de transport. Il est uniquement disponible

sur l'instance de NSX manager sur laquelle il a été créé.

Universal-App est un commutateur logique universel connecté à une zone de transport

universelle. Il est disponible sur l'une des instances de NSX Manager présentes dans l'environnementcross-vCenter NSX.

Le commutateur logique et le commutateur logique universel ont des ID de segment de divers pools d'ID de segments.

Étape suivante

Ajoutez des machines virtuelles à un commutateur logique ou à un commutateur logique universel

Créez un routeur logique et associez-le à vos commutateurs logiques pour activer la connectivité entre les machines virtuelles connectées à différents commutateurs logiques.

Créez un routeur logique universel et liez-le à vos commutateurs logiques universels pour activer la connectivité entre les machines virtuelles connectées à différents commutateurs logiques universels.


VMware, Inc. 58

Connecter un commutateur logique à un dispositif NSX Edge

La connexion d'un commutateur logique à une passerelle NSX Edge Services Gateway ou à un routeur logique NSX Edge fournit un routage de trafic horizontal (entre les commutateurs logiques) ou vertical vers l'extérieur ou pour fournir des services avancés.

Procédure

Procédure

1 Dans Commutateurs logiques, sélectionnez le commutateur logique auquel vous souhaitez connecter un dispositif NSX Edge.

2 Cliquez sur Actions > Connecter un dispositif Edge (Connect Edge).

3 Sélectionnez le dispositif NSX Edge auquel vous souhaitez connecter le commutateur logique.

4 Sélectionnez l'interface que vous voulez connecter au commutateur logique.

Un réseau logique est généralement connecté à une interface interne.

5 Spécifiez les détails de l'interface du dispositif NSX Edge.

a Entrez le nom de l'interface du dispositif NSX Edge.

b Pour indiquer si cette interface est une interface interne ou externe (liaison montante), cliquez sur Interne (Internal) ou sur Liaison montante (Uplink).

c Sélectionnez l'état de connectivité de l'interface.

d Dans Configurer les sous-réseaux (Configure Subnets), cliquez sur Ajouter (Add) pour ajouter un sous-réseau pour l'interface.

Une interface peut avoir plusieurs sous-réseaux qui ne se chevauchent pas. Entrez une adresse IP principale et une liste séparée par des virgules de plusieurs adresses IP secondaires. NSX Edge considère l'adresse IP principale comme étant l'adresse source du trafic généré localement. Vous devez ajouter une adresse IP à une interface avant de l'utiliser sur une configuration des fonctionnalités.

Si, sur le dispositif NSX Edge auquel vous connectez le commutateur logique, Configuration HA manuelle (Manual HA Configuration) est sélectionnée, spécifiez deux adresses IP de gestion au format CIDR.

e Entrez la longueur de préfixe de sous-réseau ou le masque de sous-réseau de l'interface.

f Si vous utilisez NSX 6.4.4 ou version ultérieure, cliquez sur l'onglet Avancé (Advanced) et continuez avec les autres étapes de cette procédure. Si vous utilisez NSX 6.4.3 ou version antérieure, passez directement à l'étape suivante.


VMware, Inc. 59

g Modifiez la valeur de MTU par défaut, si nécessaire.

h Sous Options, spécifiez les options suivantes.

Option Description

ARP de proxy Prend en charge le transfert de réseaux se chevauchant entre différentes interfaces.

Envoyer ICMP Redirection Achemine les informations de routage aux hôtes.

Inverser le filtre des chemins Vérifiez l'accessibilité de l'adresse source dans les paquets transférés. En mode activé, le paquet doit être reçu sur l'interface que le routeur peut utiliser pour transférer le paquet de retour. En mode Loose, l'adresse source doit apparaître sur la table de routage.

6 Entrez les paramètres de délimitation.

Configurez des paramètres de délimitation lorsque vous souhaitez réutiliser des adresses IP et MAC dans différents environnements délimités. Par exemple, sur une plate-forme de gestion de Cloud (CMP), la délimitation vous permet d'exécuter plusieurs instances de Cloud simultanément avec les mêmes adresses IP et MAC isolées ou « délimitées ».

7 Cliquez sur Ajouter (Add) ou sur Terminer (Finish).

Déployer des services sur un commutateur logique

Vous pouvez déployer des services tiers sur un commutateur logique.


Un ou plusieurs dispositifs virtuels tiers doivent avoir été installés dans votre infrastructure.

Procédure

1 Dans Commutateurs logiques (Logical Switches), sélectionnez le commutateur logique sur lequel vous souhaitez déployer des services.

2 Cliquez sur l'icône Ajouter un profil de service (Add Service Profile) ( ).

3 Sélectionnez le service et le profil de service que vous souhaitez appliquer.

4 Cliquez sur OK.

Connecter des machines virtuelles à un commutateur logique

Vous pouvez connecter des machines virtuelles à un commutateur logique ou à un commutateur logique universel.


VMware, Inc. 60

Procédure

1 Dans Commutateurs logiques (Logical Switches), sélectionnez le commutateur logique auquel vous souhaitez ajouter des machines virtuelles.

2 Cliquez sur l'icône Ajouter une machine virtuelle (Add Virtual Machine) ( ou ).

3 Sélectionnez une ou plusieurs machines virtuelles que vous voulez ajouter au commutateur logique.

4 Sélectionnez une vNIC pour chaque VM que vous avez connectée au commutateur logique.

5 Passez en revue les VM et les vNIC que vous avez sélectionnées et cliquez sur Terminer (Finish).

Tester la connectivité d'un commutateur logique

Un test ping vérifie si deux hôtes d'un réseau de transport VXLAN peuvent se joindre mutuellement.

1 Dans Commutateurs logiques (Logical Switches), double-cliquez sur le commutateur logique à modifier pour tester la connectivité.

2 Cliquez sur l'onglet Surveiller (Monitor).

3 Cliquez sur l'onglet Ping ou Hôtes-Ping (Hosts-Ping).

4 Sélectionnez la machine hôte source.

5 Sélectionnez la taille du paquet test.

n Norme VXLAN (VXLAN Standard) : la taille standard est de 1 550 octets. Cette taille de paquet correspond à la MTU d'infrastructure physique sans fragmentation. Cette taille de paquet permet à NSX de contrôler la connectivité et de vérifier que l'infrastructure est préparée pour le trafic VXLAN.

n Minimum : cette taille de paquet autorise la fragmentation. Par conséquent, avec une taille de paquet réduite, NSX peut vérifier la connectivité, mais pas si l'infrastructure est prête pour une taille de trame plus grande.

6 Sélectionnez la machine hôte de destination.

7 Cliquez sur Démarrer le test (Start Test).

Les résultats du test de ping hôte à hôte s'affichent.

Empêcher l'usurpation sur un commutateur logique

Après la synchronisation avec vCenter Server, NSX Manager collecte les adresses IP de toutes les machines virtuelles invitées de vCenter à partir de VMware Tools sur chaque machine virtuelle ou à partir de la fonction de découverte d'adresses IP si celle-ci est activée. NSX n'approuve pas toutes les adresses IP fournies par VMware Tools ou la fonction de découverte d'adresses IP.


VMware, Inc. 61

Si une machine virtuelle a été compromise, l'adresse IP peut être usurpée et des transmissions malveillantes peuvent contourner les stratégies de pare-feu.

SpoofGuard permet d'autoriser les adresses IP signalées par VMware Tools ou la fonction de découverte d'adresses IP et de les modifier si nécessaire pour éviter l'usurpation. SpoofGuard fait confiance essentiellement aux adresses MAC des machines virtuelles recueillies dans les fichiers VMX et vSphere SDK. Du fait qu'il est séparé des règles App Firewall, vous pouvez utiliser SpoofGuard pour bloquer du trafic considéré comme usurpé.

Pour plus d'informations, consultez Chapitre 14 Utilisation de SpoofGuard.

Modifier un commutateur logique

Vous pouvez modifier le nom, la description et le plan de contrôle d'un commutateur logique.

Procédure

1 Dans Commutateurs logiques (Logical Switches), sélectionnez le commutateur logique à modifier.

2 Cliquez sur l'icône Modifier (Edit).

3 Effectuez les modifications souhaitées.

4 Cliquez sur Enregistrer (Save) ou sur OK.

Scénario de commutateur logique

Ce scénario présente une situation où la société ACME Enterprise possède plusieurs hôtes ESXi sur deux clusters dans un centre de données, ACME_Datacenter. Les départements Ingénierie (sur le groupe de ports PG-Ingénierie) et Finance (sur le groupe de ports PG-Finance) se trouvent sur Cluster1. Le département Marketing (PG-Marketing) se trouve sur Cluster2. Les deux clusters sont gérés par un seul vCenter Server.


VMware, Inc. 62

Figure 6-1. Réseau d'ACME Enterprise avant l'implémentation de commutateurs logiques

PG-Ingénierie

vDS1

Cluster 1

Ingénierie : VLAN10:10.10.1.0/24Finance : VLAN 20:10.20.1.0/24Marketing : VLAN 30:10.30.1.0/24

PG-Finance

Commutateurphysique

PG-Marketing

vDS2

Cluster 2

Commutateurphysique

ACME s'exécute mais manque d'espace sur Cluster1 tandis que Cluster2 est sous-utilisé. Le superviseur du réseau ACME demande à John Admin (administrateur de virtualisation d'ACME) de trouver un moyen d'étendre le département Ingénierie au Cluster2 de manière à ce que les machines virtuelles appartenant à Ingénierie sur les deux clusters puissent communiquer entre elles. Cela permettrait à ACME d'utiliser la capacité de calcul des deux clusters en étendant le niveau L2 d'ACME.

Si John Admin devait faire cela de la manière traditionnelle, il aurait besoin de connecter les VLAN séparés d'une manière spéciale afin que les deux clusters puissent se trouver dans le même domaine L2. Cela pourrait nécessiter qu'ACME achète un nouveau périphérique physique et entraîner des problèmes comme une prolifération de VLAN, des boucles de réseau et une capacité supplémentaire d'administration et de gestion.

John Admin se souvient avoir assisté à une démonstration de réseaux logiques chez VMworld, et décide d'évaluer NSX. Il en conclut que la création d'un commutateur logique dans dvSwitch1 et dvSwitch2 lui permettra d'étendre le niveau L2 d'ACME. Comme John peut exploiter NSX Controller, il n'aura pas besoin de toucher à l'infrastructure physique d'ACME, car NSX fonctionne par-dessus les réseaux IP existants.


VMware, Inc. 63

Figure 6-2. ACME Enterprise met en œuvre un commutateur logique

PG-Ingénierie PG-Ingénierie

vDS1

Cluster 1

Le commutateur logique s'étend sur plusieurs VLAN/sous-réseaux

Ingénierie : VXLAN5000:10.10.1.0/24Finance : VLAN 20:10.20.1.0/24Marketing : VLAN 30:10.30.1.0/24

PG-Finance

Commutateurphysique

PG-Marketing

vDS2

Cluster 2

Commutateurphysique

Lorsque John Admin crée un commutateur logique entre les deux clusters, il peut migrer par vMotion des machines virtuelles d'un cluster à un autre tout en les laissant associées au même commutateur logique.


VMware, Inc. 64

Figure 6-3. Migration vMotion sur un réseau logique

PG-Ingénierie PG-Ingénierie

vDS1

Plage vMotion Plage vMotion

Ingénierie : VXLAN5000:10.10.1.0/24Finance : VLAN 20:10.20.1.0/24Marketing : VLAN 30:10.30.1.0/24

PG-Finance

Commutateurphysique

vDS2

Commutateurphysique

PG-Marketing

Passons en revue les étapes que John Admin suit pour créer un réseau logique sur ACME Enterprise.

John Admin attribue un pool d'ID de segment à NSX Manager

John Admin doit spécifier le pool d'ID de segments qu'il a reçu pour isoler le trafic réseau de la société ABC.


1 John Admin vérifie que dvSwitch1 et dvSwitch2 sont des commutateurs vSphere Distributed Switches.

2 John Admin définit l'adresse IP gérée pour vCenter Server.

a SélectionnezAdministration > Paramètres de vCenter Server (vCenter Server Settings) > Paramètres d'exécution (Runtime Settings).

b Dans vCenter Server Managed IP, tapez 10.115.198.165.

c Cliquez sur OK.

3 John Admin installe les composants de virtualisation réseau sur Cluster1 et Cluster2. Reportez-vous à Guide d'installation de NSX.


VMware, Inc. 65

4 John Admin obtient un pool d'ID de segments (5000 à 5250) auprès de l'administrateur NSX Manager d'ACME. Étant donné qu'il exploite NSX Controller, il n'a pas besoin de la multidiffusion dans son réseau physique.

5 John Admin crée un pool IP afin de pouvoir attribuer une adresse IP statique aux VTEP VXLAN à partir de ce pool IP. Reportez-vous à la section Ajouter un pool IP.

Procédure

1 Dans vSphere Web Client, cliquez sur Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade).

2 Cliquez sur l'onglet Préparation du réseau logique (Logical Network Preparation), puis sur ID de segment (Segment ID).

3 Cliquez sur Modifier (Edit).

4 Dans le pool d'ID de segments, tapez 5000 - 5250.

5 Ne sélectionnez pas Activer les adresses multidiffusion (Enable multicast addressing).

6 Cliquez sur OK.

John Admin configure les paramètres de transport VXLAN

John Admin configure VXLAN sur Cluster 1 et Cluster 2, où il mappe chaque cluster sur un commutateur vSphere Distributed Switch. Lorsqu'il mappe un cluster sur un commutateur, chaque hôte de ce cluster est activé pour des commutateurs logiques.

Procédure

1 Cliquez sur l'onglet Préparation de l'hôte (Host Preparation).

2 Pour Cluster 1, sélectionnez Configurer (Configure) dans la colonne VXLAN.

3 Dans la boîte de dialogue Configuration de la mise en réseau VXLAN, sélectionnez dvSwitch1 comme commutateur vSphere Distributed Switch pour le cluster.

4 Tapez 10 pour dvSwitch1 à utiliser comme VLAN de transport d'ACME.

5 Dans Spécifier les attributs de transport, laissez 1600 comme Unités de transmission maximale (MTU) pour dvSwitch1.

Le MTU est la quantité maximale de données pouvant être transmises dans un paquet avant qu'il ne soit divisé en paquets de taille inférieure. John Admin sait que les trames du trafic du commutateur logique VXLAN ont une taille légèrement supérieure en raison de l'encapsulation, et le MTU de chaque commutateur doit, de ce fait, être fixé à au moins 1550.

6 Dans Adressage IP VMKNic (VMKNic IP Addressing), sélectionnez Utiliser le pool IP (Use IP Pool) et sélectionnez un pool IP.


VMware, Inc. 66

7 Pour Règles d'association VMKNic (VMKNic Teaming Policy), sélectionnez Basculement (Failover).

John Admin veut maintenir la qualité de service de son réseau en s'assurant que les performances des commutateurs logiques demeureront identiques dans des conditions normales aussi bien qu'en cas de défaillance. Il choisit donc Basculement comme règle d'association.

8 Cliquez sur Ajouter (Add).

9 Répétez les étapes 4 à 8 pour configurer VXLAN sur Cluster2.

Résultats

Dès lors que John Admin a mappé Cluster1 et Cluster2 au commutateur approprié, les hôtes situés sur ces clusters sont préparés pour les commutateurs logiques :

1 Un module de noyau VXLAN et une carte vmknic sont ajoutés à chaque hôte dans Cluster 1 et Cluster 2.

2 Un dvPortGroup spécial est créé sur le vSwitch associé au commutateur logique et la carte VMKNic y est connectée.

John Admin ajoute une zone de transport

Le réseau physique sur lequel repose un réseau logique se nomme une transport zone. Une zone de transport est constituée de l'ensemble des ordinateurs reliés par un réseau virtuel.

Procédure

1 Cliquez sur Préparation du réseau logique (Logical Network Preparation), puis sur Zones de transport (Transport Zones).

2 Cliquez sur l'icône Nouvelle zone de transport (New Transport Zone).

3 Dans Nom, tapez Zone ACME (ACME Zone).

4 Dans Description, tapez Zone contenant les clusters d'ACME (Zone containing ACME's clusters).

5 Sélectionnez Cluster 1 et Cluster 2 pour les ajouter à la zone de transport.

6 Dans Mode Plan de contrôle (Control Plane Mode), sélectionnez Monodiffusion (Unicast).

7 Cliquez sur OK.

John Admin crée un commutateur logique

Une fois que John Admin a configuré les paramètres de transport VXLAN, il est prêt à créer un commutateur logique.

Procédure

1 Cliquez sur Commutateurs logiques (Logical Switches), puis cliquez sur l'icône Nouveau réseau logique (New Logical Network).


VMware, Inc. 67

2 Dans Nom, tapez Réseau logique ACME.

3 Dans Description, tapez Réseau logique pour étendre le réseau ingénierie ACME à Cluster2.

4 Dans Zone de transport (Transport Zone), sélectionnez Zone ACME.

5 Cliquez sur OK.

NSX crée un commutateur logique fournissant une connectivité L2 entre dvSwitch1 et dvSwitch2.

Étape suivante

John Admin peut désormais connecter les machines virtuelles de production d'ACME au commutateur logique, et connecter ce dernier à un dispositif NSX Edge Services Gateway configuré en tant que passerelle de services ou routeur logique.


VMware, Inc. 68

Configuration de la passerelle matérielle 7La configuration de la passerelle matérielle mappe des réseaux physiques vers des réseaux virtuels. La configuration de mappage permet à NSX d'exploiter la base de données Open vSwitch Database (OVSDB).

La base de données OVSDB contient des informations sur le matériel physique et sur le réseau virtuel. Le matériel fournisseur héberge le serveur de base de données.

Les commutateurs de la passerelle matérielle dans les réseaux logiques NSX terminent les tunnels VXLAN. Pour le réseau virtuel, les commutateurs de passerelle matérielle sont connus sous le nom de VTEP matériel. Pour plus d'informations sur les VTEP, consultez les guides Installation de NSX et Conception de la virtualisation réseau de NSX.

Une topologie minimale avec une passerelle matérielle inclut les composants suivants :

n Serveur physique

n Commutateur de passerelle matérielle (port L2)

n Réseau IP

n Hyperviseurs, un minimum de quatre, dont deux clusters de réplication avec des VM

n Cluster de contrôleurs avec au moins trois nœuds

Dans l'exemple de topologie avec une passerelle matérielle, les hyperviseurs sont indiqués par HV1 et HV2. La machine virtuelle VM1 se trouve sur HV1. VTEP1 se trouve sur HV1, VTEP2 sur HV2 et VTEP3 sur la passerelle matérielle. La passerelle matérielle est située dans un sous-réseau différent 211, par rapport aux deux hyperviseurs qui se trouvent sur le même sous-réseau 221.

VMware, Inc. 69

VM 1

VLAN-Server

VLAN 160

Ethernet18

HV1VTEP1

VTEP2

VTEP3

10.114.221.196HV2

Commutateur logique WebServiceVNI 5000

10.114.221.199

Contrôleurs NSX10.114.221.132-134

Passerelle matérielle10.114.211.204

La configuration sous-jacente de la passerelle matérielle peut contenir l'un des composants suivants :

n Un commutateur

n Plusieurs commutateurs de bus physique avec différentes adresses IP

n Un contrôleur de commutateur matériel avec plusieurs commutateurs

NSX Controller communique avec la passerelle matérielle à l'aide de son adresse IP sur le port 6640. Cette connexion est utilisée pour envoyer et recevoir des transactions OVSDB depuis les passerelles matérielles.


n Scénario : Exemple de configuration de la passerelle matérielle

Scénario : Exemple de configuration de la passerelle matérielle

Ce scénario décrit les tâches classiques utilisées pour configurer un commutateur de passerelle matérielle avec un déploiement NSX. La séquence de tâches indique comment connecter la machine virtuelle VM1 au serveur physique et connecter le commutateur logique WebService à VLAN-Server VLAN 160 à l'aide de la passerelle matérielle.

L'exemple de topologie indique que la machine virtuelle VM1 et VLAN-Server sont configurés avec une adresse IP dans le sous-réseau 10. VM1 est liée au commutateur logique WebService. VLAN-Server est lié à VLAN 160 sur le serveur physique.


VMware, Inc. 70

Machine virtuelle

10.0.0.1/8 10.0.0.2/8

VLAN-Server

VLAN 160Commutateur logique WebService

VM 1

Important Dans un environnement cross-vCenter NSX, les configurations de commutateur de passerelle matérielle sont prises en charge sur les instances principale et secondaire de NSX Manager et sur plusieurs clusters de réplication. Toutefois, seules les passerelles matérielles sur une instance principale de NSX Manager peuvent utiliser le cluster de réplication par défaut. Sur l'instance secondaire de NSX Manager, de nouveaux clusters de réplication pour les passerelles matérielles doivent être créés. Les commutateurs de passerelle matérielle doivent être liés à des commutateurs logiques non universels.


n Lisez la documentation du fournisseur pour répondre aux exigences du réseau physique.

n Vérifiez que vous respectez les exigences de système et de matériel de NSX pour la configuration de la passerelle virtuelle. Reportez-vous à la section Chapitre 1 Configuration système requise pour NSX Data Center for vSphere.

n Vérifiez que les réseaux logiques sont correctement configurés. Consultez le guide Installation de NSX.

n Vérifiez que les mappages de paramètre de transport dans VXLAN sont exacts. Consultez le guide Installation de NSX.

n Récupérez le certificat du fournisseur pour votre passerelle matérielle.

n Vérifiez que le port VXLAN est défini sur 4789. Reportez-vous à la section Modifier le port VXLAN.

Procédure

1 Configurer un cluster de réplication

Un cluster de réplication est un ensemble d'hyperviseurs responsables du transfert du trafic envoyé depuis la passerelle matérielle. Le trafic peut être un trafic de diffusion, de monodiffusion inconnu ou de multidiffusion.

2 Connecter la passerelle matérielle aux instances de NSX Controller

Vous devez configurer la table de gestionnaire OVSDB sur le commutateur physique pour connecter la passerelle matérielle à l'instance de NSX Controller.

3 Ajouter un certificat de passerelle matérielle

Un certificat de passerelle matérielle doit être ajouté au périphérique matériel pour que la configuration fonctionne.


VMware, Inc. 71

4 Lier le commutateur logique au commutateur physique

Le commutateur logique WebService lié à la machine virtuelle VM1 doit communiquer avec la passerelle matérielle sur le même sous-réseau.

Configurer un cluster de réplication

Un cluster de réplication est un ensemble d'hyperviseurs responsables du transfert du trafic envoyé depuis la passerelle matérielle. Le trafic peut être un trafic de diffusion, de monodiffusion inconnu ou de multidiffusion.

Note Les hyperviseurs contenant les nœuds de réplication et les commutateurs de passerelle matérielle ne doivent pas se trouver sur le même sous-réseau IP. Cette restriction est due à la limitation du chipset utilisé dans la plupart des passerelles matérielles. La plupart des passerelles matérielles, si ce n'est toutes, utilisent le chipset Broadcom Trident II, qui présente une limitation établissant qu'un réseau sous-couche de couche 3 est requis entre la passerelle matérielle et les hyperviseurs.

Dans un environnement cross-vCenter NSX, les configurations de commutateur de passerelle matérielle sont prises en charge sur les instances principale et secondaire de NSX Manager et sur plusieurs clusters de réplication. Toutefois, seules les passerelles matérielles sur une instance principale de NSX Manager peuvent utiliser le cluster de réplication par défaut. Sur une instance secondaire de NSX Manager, de nouveaux clusters de réplication pour les passerelles matérielles doivent être créés.

Important Via l'interface utilisateur de NSX, vous pouvez afficher et gérer un cluster de réplication par défaut unique, mais pas plusieurs clusters de réplication. La prise en charge de plusieurs clusters de réplication est actuellement disponible via l'API. Reportez-vous à la section Utilisation d'un cluster de réplication de passerelle matérielle spécifique du Guide de NSX API.


Vérifiez que vous disposez d'hyperviseurs disponibles pour servir de nœuds de réplication.

Procédure

1 Connectez-vous à vSphere Web Client.

2 Sélectionnez Mise en réseau et sécurité (Networking & Security) > Définitions de service (Service Definitions).

3 Cliquez sur l'onglet Périphériques matériels (Hardware Devices).

4 Cliquez sur Modifier (Edit) dans la section Cluster de réplication pour sélectionner des hyperviseurs pour servir de nœuds de réplication dans ce cluster de réplication.


VMware, Inc. 72

5 Sélectionnez des hyperviseurs et cliquez sur la flèche bleue.

Les hyperviseurs sélectionnés passent dans la colonne des objets sélectionnés.

6 Cliquez sur OK.

Résultats

Les nœuds de réplication sont ajoutés au cluster de réplication. Au moins un hôte doit exister dans le cluster de réplication.

Connecter la passerelle matérielle aux instances de NSX Controller

Vous devez configurer la table de gestionnaire OVSDB sur le commutateur physique pour connecter la passerelle matérielle à l'instance de NSX Controller.

Le contrôleur écoute passivement la tentative de connexion depuis le commutateur physique. Par conséquent, la passerelle matérielle doit utiliser la table de gestionnaire OVSDB pour initier la connexion.


Des contrôleurs doivent être déployés pour que des instances de passerelle matérielle puissent être configurées. Si des contrôleurs ne sont pas déployés au préalable, le message d'erreur indiquant un « Échec de l'opération sur le contrôleur » s'affiche.

Procédure

1 Utilisez les commandes qui s'appliquent à votre environnement pour connecter la passerelle matérielle à l'instance de NSX Controller.

Exemples de commandes pour connecter la passerelle matérielle et l'instance de NSX Controller.

prmh-nsx-tor-7050sx-3#enableprmh-nsx-tor-7050sx-3#configure terminal


VMware, Inc. 73

prmh-nsx-tor-7050sx-3(config)#cvxprmh-nsx-tor-7050sx-3(config-cvx)#service hscprmh-nsx-tor-7050sx-3(config-cvx-hsc)#manager 172.16.2.95 6640prmh-nsx-tor-7050sx-3(config-cvx-hsc)#no shutdownprmh-nsx-tor-7050sx-3(config-cvx-hsc)#end

2 Définissez la table de gestionnaire OVSDB sur la passerelle matérielle.

3 Définissez le numéro de port OVSDB sur 6640.

4 (Facultatif) Vérifiez que la passerelle matérielle est connectée à l'instance de NSX Controller via le canal OVSDB.

n Vérifiez que l'état de la connexion est UP (actif).

n Exécutez une commande ping sur VM1 et VLAN 160 pour vérifier que la connexion est réussie.

5 (Facultatif) Vérifiez que la passerelle matérielle est connectée à la bonne instance de NSX Controller.

a Connectez-vous à vSphere Web Client.

b Sélectionnez Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Gestion (Management) > Nœuds NSX Controller (NSX Controller nodes).

Ajouter un certificat de passerelle matérielle

Un certificat de passerelle matérielle doit être ajouté au périphérique matériel pour que la configuration fonctionne.


Vérifiez que le certificat de passerelle matérielle de votre environnement est disponible.

Procédure


2 Sélectionnez Mise en réseau et sécurité (Networking & Security) > Définitions de service (Service Definitions).

3 Cliquez sur l'onglet Périphériques matériels (Hardware Devices).


VMware, Inc. 74

4 Cliquez sur l'icône Ajouter ( ) pour créer les détails de profil de la passerelle matérielle.

Option Description

Nom et description Spécifiez un nom pour la passerelle matérielle.

Vous pouvez ajouter des détails du profil dans la section de description.

Certificat Collez le certificat que vous avez extrait de votre environnement.

Activer BFD Le protocole BFD (Bidirectional Forwarding Detection) est activé par défaut.

Le protocole est utilisé pour synchroniser les informations de configuration de la passerelle matérielle.

5 Cliquez sur OK.

Un profil qui représente la passerelle matérielle est créé.

6 Actualisez l'écran pour voir si la passerelle matérielle est disponible et en cours d'exécution.

La connectivité doit être activée.

7 (Facultatif) Cliquez sur le profil de la passerelle matérielle et cliquez avec le bouton droit de la souris pour sélectionner Afficher l'état du tunnel BFD (View the BFD Tunnel Status) dans le menu déroulant.


VMware, Inc. 75

La boîte de dialogue affiche des détails sur l'état du tunnel de diagnostic à des fins de dépannage.

Lier le commutateur logique au commutateur physique

Le commutateur logique WebService lié à la machine virtuelle VM1 doit communiquer avec la passerelle matérielle sur le même sous-réseau.

Note Si vous liez plusieurs commutateurs logiques à des ports matériels, vous devez effectuer ces étapes pour chaque commutateur logique.


n Vérifiez que le commutateur logique WebService est disponible. Reportez-vous à la section Ajouter un commutateur logique.

n Vérifiez qu'un commutateur physique est disponible.

Procédure


2 Sélectionnez Mise en réseau et sécurité (Networking & Security) > Commutateurs logiques (Logical Switches).

3 Recherchez le commutateur logique WebService et cliquez dessus avec le bouton droit de la souris pour sélectionner Gérer les liaisons matérielles (Manage Harware Bindings) dans le menu déroulant.

4 Sélectionnez le profil de passerelle matérielle.

5 Cliquez sur l'icône Ajouter ( ) et sélectionnez le commutateur physique dans le menu déroulant.

Par exemple, AristaGW.

6 Cliquez sur Sélectionner (Select) pour choisir un port physique dans la liste Objets disponibles.

Par exemple, Ethernet 18.

7 Cliquez sur OK.


VMware, Inc. 76

8 Spécifiez le nom VLAN.

Par exemple, 160.

9 Cliquez sur OK.

Résultats

La liaison est terminée.

NSX Controller synchronise les informations de configuration physique et logique avec la passerelle matérielle.


VMware, Inc. 77

Ponts L2 8Vous pouvez créer un pont de niveau°2 (L2) entre un commutateur logique et un VLAN, ce qui vous permet de migrer les charges de travail virtuelles vers des périphériques physiques sans affecter les adresses IP.

Un pont de niveau 2 (L2) permet de connecter le réseau physique et le réseau virtuel en activant les machines virtuelles à connecter à un réseau ou à un serveur physique. Exemples de cas d'utilisation :

n Migration d'un réseau physique à un réseau virtuel, ou d'un réseau virtuel à un réseau virtuel L'établissement d'un pont L2 permet de maintenir la connectivité entre les charges de travail à l'intérieur de NSX et à l'extérieur de NSX sans nécessiter de réadressage IP.

n Insertion dans NSX d'un dispositif qui ne peut pas être virtualisé et qui requiert une connexion L2 avec ses clients. Cette situation est courante pour certains serveurs de bases de données physiques.

n Insertion de services. Un pont de niveau 2 permet l'intégration transparente de n'importe quel dispositif physique tel qu'un routeur, un équilibrage de charge ou un pare-feu, dans NSX

Un réseau logique peut exploiter une passerelle physique de niveau 3 et accéder à un réseau physique existant et aux ressources de sécurité en créant un pont entre le domaine de diffusion du commutateur logique et le domaine de diffusion VLAN. Le pont L2 s'exécute sur l'hôte qui possède la machine virtuelle de contrôle du DLR NSX. Une instance de pont L2 est mappée sur un VLAN unique, mais plusieurs instances de pont peuvent exister. Le groupe de ports VLAN et le commutateur logique VXLAN ponté doivent se trouver sur le même commutateur vSphere Distributed Switch (VDS) et ils doivent partager les mêmes cartes réseau physiques.

Le réseau VXLAN (VNI) et les groupes de ports VLAN doivent se trouver sur le même commutateur virtuel distribué (VDS).

VMware, Inc. 78

V

Rack de calcul

Charge de travailphysique

Passerellephysique

Machine virtuelle durouteur logique

NSX Edge

Sachez que vous ne devez pas utiliser un pont L2 pour connecter un commutateur logique à un autre commutateur logique, un réseau VLAN à un autre réseau VLAN, ou pour interconnecter des centres de données. En outre, vous ne pouvez pas utiliser un routeur logique universel pour configurer le pontage et vous ne pouvez pas ajouter un pont à un commutateur logique universel.


n Ajouter un pont de niveau 2

n Ajouter un pont de niveau 2 à un environnement doté d'un routeur logique

n Amélioration du débit de pontage

Ajouter un pont de niveau 2Vous pouvez ajouter un pont d'un commutateur logique à un groupe de ports virtuels distribués.


VMware, Inc. 79


Commutateur logique configuré et groupe de ports virtuels distribués reposant sur un réseau local virtuel (VLAN).

Le commutateur logique et le groupe de ports virtuels distribués reposant sur un réseau local virtuel entre lesquels un pont doit être établi doivent résider sur le même commutateur virtuel distribué (VDS).

Une VM de contrôle du DLR sur un hyperviseur où le VDS disposant du commutateur logique et du groupe de ports virtuels distribués basés sur un VLAN est instancié doit être déployée dans votre environnement.

Vous ne pouvez pas utiliser un routeur logique distribué universel pour configurer le pontage, ni ajouter de pont à un commutateur logique universel.

Attention Le trafic de pont accède à un hôte ESXi et le quitte via le port de liaison montante sur le commutateur DV utilisé pour le trafic VXLAN. La stratégie d'association ou de basculement VDS pour le VLAN n'est pas utilisée pour le trafic de pont.

Procédure


2 Cliquez sur Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).

3 Double-cliquez sur un routeur logique distribué.

4 Cliquez sur Gérer (Manage) > Pontage (Bridging).


6 Entrez le nom du pont.

Attention Le nom du pont ne doit pas dépasser 40 caractères. La configuration du pont échoue lorsque le nom dépasse 40 caractères.

7 Sélectionnez le commutateur logique pour lequel vous souhaitez créer un pont.

8 Sélectionnez le groupe de ports virtuels distribués auquel vous voulez relier le commutateur logique.

9 Cliquez sur Publier (Publish) pour appliquer les modifications.

Ajouter un pont de niveau 2 à un environnement doté d'un routeur logique

Vous pouvez relier un commutateur logique donné à un seul VLAN avec une instance de pont active unique. Un routeur logique peut compter plusieurs instances de pontage. Cependant, les mêmes VXLAN et VLAN ne peuvent pas se connecter à plusieurs instances de pont.


VMware, Inc. 80

Vous pouvez utiliser un commutateur logique pour participer à la fois au routage logique distribué et au pontage de la couche 2. Par conséquent, il n'est pas nécessaire d'acheminer le trafic du commutateur logique de pont via la machine virtuelle Edge centralisée. Le trafic du commutateur logique de pont peut être acheminé vers le réseau VLAN physique via l'instance de pont de couche 2. L'instance de pont est activée sur l'hôte ESXi sur lequel la VM de contrôle du DLR s'exécute.

Pour plus d'informations sur le pontage de couche 2 dans NSX, reportez-vous à la section « Intégration du routage distribué NSX et du pontage de couche 2 » du NSXGuide de conception de la virtualisation réseau à l'adresse https://communities.vmware.com/docs/DOC-27683.

Info-bulle Vous pouvez créer plusieurs ensembles d'instances de pontage de couche 2 et les associer à différents DLR. En suivant cette pratique, vous pouvez répartir la charge de pontage sur différents hôtes ESXi.


n Un routeur logique distribué NSX doit être déployé dans votre environnement.

n Vous ne pouvez pas utiliser un routeur logique universel pour configurer le pontage, ni ajouter de pont à un commutateur logique universel.

Procédure



3 Double-cliquez sur le routeur logique distribué que vous voulez utiliser pour le pontage.

Note L'instance de pont doit être créée dans la même instance de routage à laquelle le réseau VXLAN est connecté. Une instance de pont peut posséder un réseau VXLAN et un réseau VLAN, mais ceux-ci ne peuvent pas se chevaucher. Les mêmes réseaux VXLAN et VLAN ne peuvent pas se connecter à plusieurs instances de pont.

4 Cliquez sur Gérer (Manage) > Pontage (Bridging).


6 Entrez le nom du pont.

Attention Le nom du pont ne doit pas dépasser 40 caractères. La configuration du pont échoue lorsque le nom dépasse 40 caractères.

7 Sélectionnez le commutateur logique pour lequel vous souhaitez créer un pont.

8 Sélectionnez le groupe de ports virtuels distribués auquel vous voulez relier le commutateur logique.


VMware, Inc. 81


9 Cliquez sur Publier (Publish) pour que les modifications de la configuration de pontage prennent effet.

Le commutateur logique utilisé pour le pontage est associé à l'état Routage activé (Routing Enabled). Pour plus d'informations, reportez-vous à Ajouter un commutateur logique et Connecter des machines virtuelles à un commutateur logique.

Amélioration du débit de pontage

Vous pouvez améliorer le débit de pontage avec la mise à l'échelle côté réception. À partir de NSX 6.4.2, vous pouvez également utiliser la mise à l'échelle côté réception de logiciel pour améliorer le débit de pontage.

Avec la technologie de mise à l'échelle côté réception (RSS), vous pouvez répartir le trafic entrant dans différentes files d'attente de descripteur de réception. Si vous attribuez chaque file d'attente à un cœur de CPU différent, le trafic entrant peut être équilibré, ce qui améliore les performances.

Toutefois, RSS ne fonctionne pas correctement avec le trafic de monodiffusion et de multidiffusion inconnu. Ces paquets se retrouvent dans la file d'attente par défaut traitée par un seul cœur de CPU, ce qui entraîne un débit faible. La plupart des paquets reçus par l'hôte ESXi exécutant le pontage VLAN-VXLAN appartiennent à cette catégorie, donc le débit de pontage est faible.

Certains fournisseurs de cartes réseau physiques prennent en charge une fonctionnalité appelée Mise à l'échelle côté réception de file d'attente par défaut (DRSS). À l'aide de DRSS, vous pouvez configurer plusieurs files d'attente de matériel sauvegardant la file d'attente RX par défaut, en répartissant les flux VLAN-VXLAN sur plusieurs cœurs de CPU.

Pour les cartes réseau physiques qui ne prennent pas en charge DRSS (par exemple, ixgbe, ixgben), vous pouvez utiliser la mise à l'échelle côté réception de logiciel (SoftRSS) afin d'améliorer le débit réseau de pontage.

SoftRSS décharge le traitement des flux individuels à l'un des mondes de noyaux, donc le thread qui tire les paquets à partir de la carte réseau peut traiter plus de paquets. Comme RSS, l'amélioration du débit réseau lors de l'utilisation de SoftRSS a une corrélation linéaire avec l'utilisation du CPU.

Pour plus d'informations, consultez Activer la mise à l'échelle côté réception de logiciel.

Activer la mise à l'échelle côté réception de logiciel

Vous pouvez améliorer le débit de pontage VLAN-VXLAN à l'aide de la mise à l'échelle côté réception de logiciel (SoftRSS).


n Vérifiez que NSX 6.4.2 ou version ultérieure est installé.


VMware, Inc. 82

n Déterminez sur quels hôtes SoftRSS doit être activé.

n Activez SoftRSS sur les hôtes ESXi sur lesquels le pont actif/en veille existe (où les VM de contrôle du DLR sont hébergées). Si les machines virtuelles de contrôle peuvent être migrées à l'aide de vMotion, activez SoftRSS sur tous les hôtes du cluster.

n Si la mise à l'échelle côté réception de file d'attente par défaut (DRSS) est prise en charge sur la carte réseau physique de l'hôte, activez-la et n'activez pas SoftRSS. Utilisez esxcli system module parameters list -m [nic_module] pour vérifier si DRSS est pris en

charge.

Procédure

1 Activez SoftRSS sur un hôte.

La valeur recommandée pour le nombre de mondes pour une liaison montante 10G est de 4.

Vous pouvez augmenter le nombre de mondes jusqu'à un maximum de 16. Vous souhaiterez peut-être augmenter le nombre si la liaison montante peut prendre en charge un débit supérieur (à l'aide d'agrégation de liens) ou si vous remarquez une distribution inégale de flux pour les mondes en fonction de votre modèle de trafic.

net-dvs -s com.vmware.net.vdr.softrss=[number of worlds] -p hostPropList [dvs name]

2 (Facultatif) Si vous voulez désactiver SoftRSS, utilisez cette commande.

net-dvs -u com.vmware.net.vdr.softrss -p hostPropList [dvs name]


VMware, Inc. 83

Routage 9Vous pouvez spécifier un routage statique et dynamique pour chaque dispositif NSX Edge.

Le routage dynamique fournit les informations de transfert nécessaires entre des domaines de diffusion de la couche 2, vous permettant ainsi de diminuer les domaines de diffusion de la couche 2 et d'améliorer l'efficacité et l'échelle du réseau. NSX étend ces informations aux emplacements dans lesquels résident les charges de travail pour effectuer un routage horizontal. Cela permet une communication plus directe entre les machines virtuelles sans devoir procéder à une extension de sauts plus longue et plus coûteuse. En même temps, NSX fournit également une connectivité verticale, permettant ainsi aux locataires d'accéder aux réseaux publics.


n Ajouter un routeur logique distribué

n Ajouter un dispositif Edge Services Gateway (ESG)

n Spécifier une configuration globale

n Configuration de NSX Edge

n Ajouter une route statique

n Configurer le protocole OSPF sur un routeur logique (distribué) universel

n Configurer un protocole OSPF sur une passerelle Edge Services Gateway

n Configurer BGP

n Configurer la redistribution d'itinéraire

n Afficher l'ID de paramètres régionaux de NSX Manager

n Configurer un ID de paramètres régionaux sur un routeur (distribué) logique universel

n Configurer un ID de paramètres régionaux sur un hôte ou un cluster

n Prise en charge, limitations et topologie du routage multidiffusion

Ajouter un routeur logique distribué

Les modules du noyau du routeur logique distribué (DLR) de l'hôte assurent le routage entre les réseaux VXLAN, et entre les réseaux virtuels et physiques. Un dispositif NSX Edge Appliance fournit une possibilité de routage dynamique si nécessaire. Les routeurs logiques peuvent être

VMware, Inc. 84

créés sur les instances principales et secondaires de NSX Manager dans un environnement cross-vCenter NSX, mais les routeurs logiques universels distribués peuvent uniquement être créés sur l'instance principale de NSX Manager.

Note À partir de NSX Data Center 6.4.4, le terme « routeur logique » est remplacé par « routeur logique distribué » dans le vSphere Web Client. Dans la documentation, les deux termes sont utilisés de manière interchangeable. Cependant, ils font référence au même objet.

Lors du déploiement d'un nouveau routeur logique, prenez en compte les points suivants :

n Dans NSX Data Center for vSphere 6.2 et versions ultérieures, les interfaces logiques acheminées par un routeur logique peuvent être connectées à un VXLAN relié à un VLAN.

n Les interfaces de routeur logique et les interfaces de pontage ne peuvent pas être connectées à un dvPortgroup avec l'ID de VLAN définie sur 0.

n Une instance de routeur logique donnée ne peut pas être connectée aux commutateurs logiques se trouvant dans des zones de transport distinctes. Cela permet de s'assurer que tous les commutateurs logiques et instances de routeur logique sont alignés.

n Un routeur logique ne peut pas être connecté à des groupes de ports reposant sur VLAN si ce routeur logique est connecté à des commutateurs logiques s'étendant sur plusieurs VDS (vSphere Distributed Switch). Cela permet d'assurer un alignement correct des instances de routeur logique avec des dvPortgroups de commutateur logique entre les hôtes.

n Les interfaces de routeur logique ne doivent pas être créées sur deux groupes de ports distribués distincts (dvPortgroups) portant le même ID de VLAN si ces deux réseaux se trouvent dans le même commutateur vSphere Distributed Switch.

n Les interfaces de routeur logique ne doivent pas être créées sur deux dvPortgroups distincts portant le même ID de VLAN si ces deux réseaux se trouvent dans différents commutateurs vSphere Distributed Switches partageant des hôtes identiques. Autrement dit, les interfaces de routeur logique peuvent être créées sur deux réseaux distincts avec le même ID de VLAN si les deux dvPortgroups sont dans deux vSphere Distributed Switches distincts, tant que ceux-ci ne partagent pas d'hôte.

n Si VXLAN est configuré, les interfaces de routeur logique doivent être connectées à des groupes de ports distribués sur le commutateur vSphere Distributed Switch sur lequel VXLAN est configuré. Ne connectez pas les interfaces de routeur logique à des groupes de ports sur d'autres commutateurs vSphere Distributed Switch.

La liste suivante décrit la prise en charge de fonctionnalités par type d'interface (liaison montante et interne) sur le routeur logique :

n Les protocoles de routage dynamique (BGP et OSPF) sont pris en charge uniquement par des interfaces de liaison montante.

n Les règles de pare-feu s'appliquent uniquement aux interfaces de liaison montante et sont limitées au trafic de contrôle et de gestion destiné au dispositif virtuel Edge.


VMware, Inc. 85

n Pour plus d'informations sur l'interface de gestion du DLR, consultez l'article de la base de connaissances « Management Interface Guide: DLR Control VM - NSX » (Guide d'interface de gestion : VM de contrôle du DLR - NSX) http://kb.vmware.com/kb/2122060.

Important Si vous activez la haute disponibilité sur un dispositif NSX Edge dans un environnement cross-vCenter NSX, les dispositifs NSX Edge Appliance actifs et en veille doivent résider sur le même serveur vCenter Server. Si vous migrez un des dispositifs d'une paire NSX Edge HA vers un serveur vCenter Server différent, les deux dispositifs HA ne fonctionnent plus comme une paire HA, et vous pouvez rencontrer une interruption du trafic.

Attention vSphere Fault Tolerance est incompatible avec la VM de contrôle de routeur logique.


n Le rôle Administrateur d'entreprise ou Administrateur NSX doit vous être attribué.

n Vous devez créer un pool local d'ID de segments, même si vous ne prévoyez pas de créer des commutateurs logiques.

n Avant de créer ou de modifier une configuration de routeur logique, vérifiez que le cluster de contrôleurs est actif et disponible. Un routeur logique ne peut pas distribuer les informations de routage aux hôtes sans l'aide des instances de NSX Controller. Un routeur logique s'appuie sur les instances de NSX Controller pour fonctionner, au contraire des passerelles Edge Services Gateway.

n Si un routeur logique doit être connecté à des dvportGroups VLAN, vérifiez que tous les hôtes hyperviseurs avec un dispositif de routeur logique installé peuvent communiquer entre eux sur le port UDP 6999. La communication sur ce port est requise pour que le proxy ARP basé sur VLAN du routeur logique fonctionne.

n Déterminez l'emplacement où déployer le dispositif de routeur logique.

n L'hôte de destination doit appartenir à la même zone de transport que les commutateurs logiques connectés aux interfaces du nouveau routeur logique.

n Évitez de le placer sur le même hôte en tant que passerelle ESG en amont si vous utilisez ESG dans une configuration ECMP. Vous pouvez utiliser des règles anti-affinité de DRS pour appliquer cette pratique, ce qui permet de limiter l'impact d'une défaillance de l'hôte sur le transfert du routeur logique. Cette directive ne s'applique pas si vous avez une seule ESG en amont ou en mode HA. Pour plus d'informations, consultez le Guide de conception de virtualisation réseau NSX à l'adresse https://communities.vmware.com/docs/DOC-27683.


VMware, Inc. 86

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2122060



n Vérifiez que le cluster d'hôtes sur lequel vous installez le dispositif de routeur logique est préparé pour NSX Data Center for vSphere. Consultez « Préparer des clusters d'hôtes pour NSX » dans le Guide d'installation de NSX.

n Déterminez l'instance de NSX Manager correspondante à laquelle apporter vos modifications.






n Déterminez quel type de routeur logique vous voulez ajouter :

n Pour connecter un commutateur logique, ajoutez un routeur logique.

n Pour connecter un commutateur logique universel, ajoutez un routeur logique universel.

n Si vous ajoutez un routeur logique universel, définissez si vous avez besoin d'activer la sortie locale. La sortie locale vous permet d'envoyer sélectivement des routes à des hôtes. Vous pouvez souhaiter disposer de cette possibilité si votre déploiement NSX couvre plusieurs sites. Pour plus d'informations, reportez-vous à Topologies de Cross-vCenter NSX. Vous ne pouvez pas activer la sortie locale après la création du routeur logique universel.

Procédure

1 Dans vSphere Web Client, accédez à Page d'accueil (Home) > Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).

2 Sélectionnez l'instance de NSX Manager appropriée que vous souhaitez modifier. Si vous créez un routeur logique universel, vous devez sélectionner l'instance principale de NSX Manager.

3 Cliquez sur Ajouter (Add) et sélectionnez le type de routeur logique que vous voulez ajouter :

n Sélectionnez Routeur logique (distribué) (Logical (Distributed) Router) pour ajouter un routeur logique local par rapport à l'instance de NSX Manager sélectionnée.

n Sélectionnez Routeur logique universel (distribué) (Universal Logical (Distributed) Router) pour ajouter un routeur logique qui peut couvrir un environnement cross-vCenter


VMware, Inc. 87

NSX. Cette option est disponible seulement si une instance principale de NSX Manager est désignée et si vous réalisez les modifications depuis celle-ci. NSX Manager Si vous sélectionnez Routeur logique universel (distribué) (Universal Logical (Distributed) Router), vous pouvez également activer la sortie locale.

4 Entrez le nom, la description et d'autres détails du routeur logique.

Option Description

Nom Entrez un nom pour le routeur logique qui s'affichera dans l'inventaire vCenter.

Veillez à utiliser un nom unique au sein de tous les routeurs logiques d'un même locataire.

Nom d'hôte Facultative. Entrez un nom d'hôte que vous voulez afficher pour le routeur logique dans l'interface de ligne de commande.

Si vous n'entrez aucun nom d'hôte, l'ID du dispositif Edge, créé automatiquement, s'affiche dans l'interface de ligne de commande.

Description Facultative. Entrez une description du routeur logique.

Déployer un dispositif Edge Cette option est sélectionnée par défaut. Un dispositif Edge (également appelé dispositif virtuel de routeur logique) est requis pour le routage dynamique et le pare-feu du dispositif de routeur logique qui s'applique aux pings du routeur logique, à l'accès SSH et au trafic de routage dynamique.

Si vous n'avez besoin que d'itinéraires statiques, et que vous ne voulez pas déployer un dispositif Edge, désélectionnez cette option. Une fois le routeur logique créé, vous ne pouvez pas y ajouter de dispositif Edge.

Haute disponibilité Facultative. Par défaut, la haute disponibilité (HA) est désactivée. Sélectionnez cette option pour activer et configurer la HA sur le routeur logique.

Si vous prévoyez d'effectuer un routage dynamique, la HA est requise.

Journalisation HA Facultative. Par défaut, la journalisation HA est désactivée.

Lorsque la journalisation est activée, le niveau de journal par défaut est défini sur Infos. Si nécessaire, vous pouvez la modifier.

5 Spécifiez les paramètres d'interface de ligne de commande et d'autres paramètres du routeur

logique.

Option Description

Nom d'utilisateur Entrez un nom d'utilisateur que vous voulez utiliser pour la connexion à l'interface de ligne de commande Edge.

Mot de passe Entrez un mot de passe comprenant au moins 12 caractères et conforme aux règles suivantes :

n 255 caractères maximum

n Au moins une lettre majuscule et une lettre minuscule

n Au moins un chiffre

n Au moins un caractère spécial

n Ne doit pas contenir le nom d'utilisateur comme sous-chaîne

n Un caractère ne doit pas être répété 3 fois ou plus de suite.

Confirmer le mot de passe Entrez de nouveau le mot de passe pour le confirmer.


VMware, Inc. 88

Option Description

Accès SSH Facultative. Par défaut, l'accès SSH est désactivé. Si vous n'activez pas l'accès SSH, vous pouvez toujours accéder au routeur logique en ouvrant la console du dispositif virtuel.

L'activation de SSH entraîne l'exécution du processus SSH sur le routeur logique. Vous devez ajuster la configuration du pare-feu de routeur logique manuellement afin d'autoriser l'accès SSH à l'adresse du protocole du routeur logique. L'adresse du protocole est configurée au moment de la configuration du routage dynamique sur le routeur logique.

Mode FIPS Facultative. Par défaut, le mode FIPS est désactivé.

Lorsque le mode FIPS est activé, toutes les communications sécurisées en provenance ou à destination du dispositif NSX Edge utilisent des protocoles ou des algorithmes cryptographiques qui sont autorisés par FIPS.

Journalisation du niveau de contrôle Edge

Facultative. Par défaut, le niveau de journal est Infos.

6 Configurez le déploiement du dispositif NSX Edge Appliance.

u Si vous n'avez pas sélectionné Déployer un dispositif Edge (Deploy Edge Appliance), vous ne pouvez pas ajouter un dispositif. Cliquez sur Suivant (Next) pour poursuivre la configuration.

u Si vous avez sélectionné Déployer un dispositif Edge (Deploy Edge Appliance), entrez les paramètres du dispositif virtuel de routeur logique.

Par exemple :

Option Valeur

Cluster/Pool de ressources Gestion et Edge

Banque de données ds-1

Hôte esxmgt-01a.corp.local

Réservation de ressources Géré par le système

Reportez-vous à la section « Gestion des réservations de ressources du dispositif NSX Edge » dans Guide d'administration de NSX pour plus d'informations sur la réservation de ressources.

7 Configurez la connexion à l'interface HA et éventuellement une adresse IP.

Si vous avez sélectionné Déployer un dispositif Edge (Deploy Edge Appliance), vous devez connecter l'interface HA à un groupe de ports distribués ou à un commutateur logique. Si vous utilisez cette interface comme une interface haute disponibilité uniquement, utilisez un commutateur logique. Un sous-réseau /30 est alloué à partir de la plage locale de lien 169.254.0.0/16. Il est utilisé pour fournir une adresse IP à chacun des deux dispositifs NSX Edge.


VMware, Inc. 89

Si vous souhaitez utiliser cette interface pour vous connecter à NSX Edge, vous pouvez définir une adresse IP et un préfixe supplémentaires pour l'interface HA.

Note Dans les versions antérieures à NSX Data Center for vSphere 6.2, l'interface HA était appelée interface de gestion. Vous ne pouvez pas établir une connexion SSH à une interface HA si vous ne vous trouvez pas sur le même sous-réseau IP que l'interface HA. Vous ne pouvez pas configurer d'itinéraire statique pointant vers l'interface HA, ce qui signifie que RPF refusera le trafic entrant. Toutefois, en théorie, vous pouvez désactiver RPF, mais cette action est contre-productive pour la haute disponibilité. Pour l'accès SSH, vous pouvez aussi utiliser l'adresse du protocole du routeur logique qui est configurée ultérieurement lors de la configuration du routage dynamique.

Dans NSX Data Center for vSphere 6.2 et versions ultérieures, l'interface HA d'un routeur logique est automatiquement exclue de la redistribution d'itinéraire.

Par exemple, le tableau suivant montre un exemple de configuration d'interface HA sur laquelle l'interface HA est connectée à un dvPortgroup de gestion.

Option Description

Connecté à Mgmt_VDS-Mgmt

Adresse IP 192.168.110.60*

Longueur du préfixe du sous-réseau 24


VMware, Inc. 90

8 Configurez les interfaces de l'instance de NSX Edge.

a Spécifiez le nom, le type et d'autres détails de l'interface de base.

Option Description

Nom Entrez le nom de l'interface.

Type Sélectionnez Interne ou Liaison montante.

Les interfaces internes sont conçues pour les connexions aux commutateurs qui autorisent la communication entre VM (parfois appelée horizontale). Les interfaces internes sont créées en tant que pseudo vNIC sur le dispositif virtuel de routeur logique. Les interfaces de liaison montante sont conçues pour la communication verticale et elles sont créées en tant que vNIC sur le dispositif virtuel de routeur logique.

Une interface de liaison montante de routeur logique peut se connecter à une passerelle Edge Services Gateway ou à une machine virtuelle de routeur tierce. Pour que le routage dynamique fonctionne, vous devez disposer d'au moins une interface de liaison montante.

Connecté à Sélectionnez le groupe de ports virtuels distribués ou le commutateur logique auquel vous voulez connecter cette interface.

b Configurez les sous-réseaux de l'interface.

Option Description

Adresse IP principale Sur les routeurs logiques, seul l'adressage IPv4 est pris en charge.

La configuration de l'interface que vous entrez ici peut être modifiée ultérieurement. Vous pouvez ajouter, supprimer et modifier les interfaces une fois qu'un routeur logique est déployé.

Longueur du préfixe du sous-réseau

Entrez le masque de sous-réseau de l'interface.

c (Facultatif) Si nécessaire, modifiez la valeur de MTU par défaut. La valeur par défaut de la

liaison montante et de l'interface interne est 1 500.

Le tableau indique également un exemple de deux interfaces internes (application et Web) et une interface de liaison montante (vers ESG).

Tableau 9-1. Exemple : interfaces de NSX Edge

Nom Adresse IP

Longueur du préfixe du sous-réseau Connecté à

application 172.16.20.1* 24 application

Web 172.16.10.1* 24 Web

vers ESG 192.168.10.2* 29 transit


VMware, Inc. 91

9 Configurez les paramètres de la passerelle par défaut.

Par exemple :

Option Valeur

vNIC Liaison montante

Adresse IP de la passerelle 192.168.10.1

MTU 1 500

10 Vérifiez que les passerelles par défaut des machines virtuelles connectées aux commutateurs

logiques sont définies correctement sur les adresses IP de l'interface du routeur logique.

Résultats

Dans l'exemple de topologie suivant, la passerelle par défaut de la machine virtuelle d'application est 172.16.20.1. la passerelle par défaut de la machine virtuelle Web est 172.16.10.1. Vérifiez que les machines virtuelles peuvent exécuter une commande ping sur leurs passerelles par défaut et entre elles.

172.16.20.10 172.16.10.10

172.16.20.1 172.16.10.1

Routeurlogique

Commutateurlogique d'app

Commutateurlogique Web

AppVM

WebVM

Connectez-vous à NSX Manager à l'aide de SSH ou de la console, puis exécutez les commandes suivantes :

n Répertoriez toutes les informations de l'instance de routeur logique.

nsxmgr-l-01a> show logical-router list allEdge-id Vdr Name Vdr id #Lifsedge-1 default+edge-1 0x00001388 3


VMware, Inc. 92

n Répertoriez les hôtes ayant reçu les informations de routage du routeur logique de la part du cluster de contrôleurs.

nsxmgr-l-01a> show logical-router list dlr edge-1 hostID HostName host-25 192.168.210.52 host-26 192.168.210.53 host-24 192.168.110.53

La sortie inclut tous les hôtes de tous les clusters d'hôtes configurés en tant que membres de la zone de transport dont fait partie le commutateur logique connecté au routeur logique spécifié (edge-1 dans cet exemple).

n Répertoriez les informations de la table de routage communiquées aux hôtes par le routeur logique. Les entrées de la table de routage doivent être homogènes sur tous les hôtes.

nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 route

VDR default+edge-1 Route TableLegend: [U: Up], [G: Gateway], [C: Connected], [I: Interface]Legend: [H: Host], [F: Soft Flush] [!: Reject] [E: ECMP]

Destination GenMask Gateway Flags Ref Origin UpTime Interface----------- ------- ------- ----- --- ------ ------ ---------0.0.0.0 0.0.0.0 192.168.10.1 UG 1 AUTO 4101 138800000002172.16.10.0 255.255.255.0 0.0.0.0 UCI 1 MANUAL 10195 13880000000b172.16.20.0 255.255.255.0 0.0.0.0 UCI 1 MANUAL 10196 13880000000a192.168.10.0 255.255.255.248 0.0.0.0 UCI 1 MANUAL 10196 138800000002192.168.100.0 255.255.255.0 192.168.10.1 UG 1 AUTO 3802 138800000002

n Répertoriez les informations sur le routeur du point de vue de l'un des hôtes. Cela permet d'apprendre quel contrôleur communique avec l'hôte.

nsx-mgr-l-01a> show logical-router host host-25 dlr edge-1 verbose

VDR Instance Information :---------------------------

Vdr Name: default+edge-1Vdr Id: 0x00001388Number of Lifs: 3Number of Routes: 5State: EnabledController IP: 192.168.110.203Control Plane IP: 192.168.210.52


VMware, Inc. 93

Control Plane Active: YesNum unique nexthops: 1Generation Number: 0Edge Active: No

Vérifiez le champ Adresse IP du contrôleur dans les résultats de la commande show logical-router host host-25 dlr edge-1 verbose.

Connectez-vous via SSH à un contrôleur et exécutez les commandes suivantes pour afficher les informations sur l'état que vous avez apprises sur le contrôleur (VNI, VTEP, MAC et ARP).

n 192.168.110.202 # show control-cluster logical-switches vni 5000VNI Controller BUM-Replication ARP-Proxy Connections5000 192.168.110.201 Enabled Enabled 0

Les résultats sur VNI 5000 n'affichent aucune connexion et répertorient le contrôleur 192.168.110.201 comme propriétaire de VNI 5000. Connectez-vous à ce contrôleur pour réunir des informations supplémentaires pour VNI 5000.

192.168.110.201 # show control-cluster logical-switches vni 5000VNI Controller BUM-Replication ARP-Proxy Connections5000 192.168.110.201 Enabled Enabled 3

Les résultats sur 192.168.110.201 affichent trois connexions. Vérifiez les VNI supplémentaires.



Du fait que 192.168.110.201 possède les trois connexions VNI, nous nous attendons à ce que l'autre contrôleur, 192.168.110.203, n'ait aucune connexion.


n Avant de vérifier les tables MAC et ARP, exécutez une commande ping de l'une des machines virtuelles à l'autre.

De la machine virtuelle d'application à la machine virtuelle Web :

vmware@app-vm$ ping 172.16.10.10PING 172.16.10.10 (172.16.10.10) 56(84) bytes of data.64 bytes from 172.16.10.10: icmp_req=1 ttl=64 time=2.605 ms64 bytes from 172.16.10.10: icmp_req=2 ttl=64 time=1.490 ms64 bytes from 172.16.10.10: icmp_req=3 ttl=64 time=2.422 ms


VMware, Inc. 94

Vérifiez les tables MAC.

192.168.110.201 # show control-cluster logical-switches mac-table 5000VNI MAC VTEP-IP Connection-ID5000 00:50:56:a6:23:ae 192.168.250.52 7

192.168.110.201 # show control-cluster logical-switches mac-table 5001VNI MAC VTEP-IP Connection-ID5001 00:50:56:a6:8d:72 192.168.250.51 23

Vérifiez les tables ARP.

192.168.110.201 # show control-cluster logical-switches arp-table 5000VNI IP MAC Connection-ID5000 172.16.20.10 00:50:56:a6:23:ae 7

192.168.110.201 # show control-cluster logical-switches arp-table 5001VNI IP MAC Connection-ID5001 172.16.10.10 00:50:56:a6:8d:72 23

Vérifiez les informations sur le routeur logique. Chaque instance de routeur logique est desservie par l'un des nœuds de contrôleur.

La sous-commande instance de la commande show control-cluster logical-routers affiche une liste de routeurs logiques connectés à ce contrôleur.

La sous-commande interface-summary affiche les LIF apprises par le contrôleur auprès de

l'instance de NSX Manager. Ces informations sont envoyées aux hôtes situés dans les clusters d'hôtes gérés dans la zone de transport.

La sous-commande routes affiche la table de routage envoyée à ce contrôleur par le dispositif

virtuel du routeur logique (également appelé machine virtuelle de contrôle). Contrairement aux hôtes ESXi, la table de routage n'inclut pas les sous-réseaux connectés directement, car ces informations sont fournies par la configuration de LIF. Les informations d'itinéraires sur les hôtes ESXi incluent les sous-réseaux connectés directement, car dans ce cas, il s'agit d'une table de transfert utilisée par le chemin d'accès aux données de l'hôte ESXi.

n Répertoriez tous les routeurs logiques connectés à ce contrôleur.

controller # show control-cluster logical-routers instance allLR-Id LR-Name Universal Service-Controller Egress-Locale0x1388 default+edge-1 false 192.168.110.201 local

Prenez note de l'ID du routeur logique et utilisez-le dans la commande suivante.

n controller # show control-cluster logical-routers interface-summary 0x1388Interface Type Id IP[]13880000000b vxlan 0x1389 172.16.10.1/2413880000000a vxlan 0x1388 172.16.20.1/24138800000002 vxlan 0x138a 192.168.10.2/29


VMware, Inc. 95

n controller # show control-cluster logical-routers routes 0x1388Destination Next-Hop[] Preference Locale-Id Source192.168.100.0/24 192.168.10.1 110 00000000-0000-0000-0000-000000000000 CONTROL_VM0.0.0.0/0 192.168.10.1 0 00000000-0000-0000-0000-000000000000 CONTROL_VM

[root@comp02a:~] esxcfg-route -lVMkernel Routes:Network Netmask Gateway Interface10.20.20.0 255.255.255.0 Local Subnet vmk1192.168.210.0 255.255.255.0 Local Subnet vmk0default 0.0.0.0 192.168.210.1 vmk0

n Affichez les connexions du contrôleur au VNI spécifique.

192.168.110.203 # show control-cluster logical-switches connection-table 5000Host-IP Port ID192.168.110.53 26167 4192.168.210.52 27645 5192.168.210.53 40895 6

192.168.110.202 # show control-cluster logical-switches connection-table 5001Host-IP Port ID192.168.110.53 26167 4192.168.210.52 27645 5192.168.210.53 40895 6

Les adresses IP d'hôtes sont des interfaces vmk0, pas des VTEP. Les connexions entre hôtes ESXi et contrôleurs sont créées sur le réseau de gestion. Les numéros de port sont des ports TCP éphémères alloués par ma pile d'adresses IP de l'hôte ESXi lorsque l'hôte établit une connexion avec le contrôleur.

n Sur l'hôte, vous pouvez afficher la connexion réseau du contrôleur associée au numéro de port.

[[email protected]:~] #esxcli network ip connection list | grep 26167tcp 0 0 192.168.110.53:26167 192.168.110.101:1234 ESTABLISHED 96416 newreno netcpa-worker

n Affichez les VNI actifs sur l'hôte. Observez les différences de résultat entre les hôtes. Tous les VNI ne sont pas actifs sur tous les hôtes. Un VNI est actif sur un hôte si celui-ci a une machine virtuelle connectée au commutateur logique.

[[email protected]:~] # esxcli network vswitch dvs vmware vxlan network list --vds-name Compute_VDSVXLAN ID Multicast IP Control Plane Controller Connection Port Count MAC Entry Count ARP Entry Count VTEP Count-------- ------------------------- ----------------------------------- --------------------- ---------- --------------- --------------- ----------


VMware, Inc. 96

5000 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.203 (up) 1 0 0 0 5001 N/A (headend replication) Enabled (multicast proxy,ARP proxy) 192.168.110.202 (up) 1 0 0 0

Note Pour activer l'espace de nom vxlan dans vSphere 6.0 et versions ultérieures, exécutez la commande /etc/init.d/hostd restart.

Pour les commutateurs logiques en mode hybride ou monodiffusion, la commande esxcli network vswitch dvs vmware vxlan network list --vds-name <vds-name> contient

la sortie suivante :

n Le plan de contrôle est activé.

n Le proxy de multidiffusion et le proxy ARP sont répertoriés. Le proxy AARP est répertorié, même si vous avez désactivé la découverte d'adresses IP.

n Une adresse IP de contrôleur valide est répertoriée et la connexion est active.

n Si un routeur logique est connecté à l'hôte ESXi, le nombre de ports est d'au moins 1, même s'il n'y a aucune machine virtuelle sur l'hôte connecté au commutateur logique. Ce port est me vdrPort, qui est un dvPort spécial connecté au module de noyau du routeur logique sur l'hôte ESXi.

n Exécutez d'abord la commande ping d'une machine virtuelle à une autre sur un sous-réseau différent, puis affichez la table des adresses MAC. Notez que l'adresse MAC interne correspond à l'entrée de la machine virtuelle, tandis que les adresses IP et MAC externes renvoient au VTEP.

~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-id=5000Inner MAC Outer MAC Outer IP Flags----------------- ----------------- -------------- --------00:50:56:a6:23:ae 00:50:56:6a:65:c2 192.168.250.52 00000111

~ # esxcli network vswitch dvs vmware vxlan network mac list --vds-name=Compute_VDS --vxlan-id=5001Inner MAC Outer MAC Outer IP Flags----------------- ----------------- -------------- --------02:50:56:56:44:52 00:50:56:6a:65:c2 192.168.250.52 0000010100:50:56:f0:d7:e4 00:50:56:6a:65:c2 192.168.250.52 00000111

Étape suivante

Lorsque vous installez un dispositif NSX Edge Appliance, NSX permet le démarrage/arrêt automatique des VM sur l'hôte si vSphere HA est désactivé sur le cluster. Si les VM du dispositif sont par la suite migrées vers d'autres hôtes du cluster, le mécanisme de démarrage/arrêt automatique des VM peut ne pas être activé sur ces nouveaux hôtes. C'est la raison pour laquelle, lorsque vous installez des dispositifs NSX Edge sur des clusters où vSphere HA est désactivé,


VMware, Inc. 97

vous devez de préférence vérifier tous les hôtes du cluster pour vous assurer que le démarrage/arrêt automatique des machines virtuelles est activé. Dans Administration d'une machine virtuelle vSphere, consultez la section « Modifier les paramètres de démarrage et d'arrêt d'une machine virtuelle ».

Une fois le routeur logique déployé, double-cliquez sur l'ID du routeur logique pour configurer des paramètres supplémentaires, comme les interfaces, le routage, le pare-feu, le pontage et le relais DHCP.

Ajouter un dispositif Edge Services Gateway (ESG)

Vous pouvez installer plusieurs dispositifs virtuels Services Gateway NSX Edge dans un centre de données. Chaque dispositif NSX Edge Appliance peut disposer d'un total de dix interfaces réseau internes et de liaison montante. Les interfaces internes se connectent à des groupes de ports sécurisés et font office de passerelle pour toutes les machines virtuelles protégées du groupe de ports. Le sous-réseau attribué à l'interface interne peut être un espace d'adresses IP routé publiquement ou un espace privé NAT/routé défini par la RFC 1918. Les règles de pare-feu et les autres services NSX Edge sont appliqués au trafic entre les interfaces.

Les interfaces de liaison montante d'une ESG se connectent à des groupes de ports de liaison montante ayant accès à un réseau d'entreprise partagé ou à un service qui propose la mise en réseau avec couche d'accès.

La liste suivante décrit la prise en charge de fonctionnalités par type d'interface (liaison montante et interne) sur une passerelle ESG.

n DHCP : non pris en charge sur les interfaces de liaison montante. Reportez-vous à la remarque après cette liste à puces.

n Redirecteur DNS : non pris en charge sur les interfaces de liaison montante.

n HA : non prise en charge sur les interfaces de liaison montante, nécessite au moins une interface interne.

n VPN SSL : l'adresse IP de l'écouteur doit faire partie d'une interface de liaison montante.

n VPN IPsec : l'adresse IP locale doit faire partie d'une interface de liaison montante.

n VPN de niveau 2 : seuls des réseaux internes peuvent être étendus.

Note Par conception, le service DHCP est pris en charge sur les interfaces internes d'un dispositif NSX Edge. Cependant, dans certaines situations, vous pouvez choisir de configurer DHCP sur une interface de liaison montante du dispositif Edge et de ne configurer aucune interface interne. Dans ce cas, le dispositif Edge peut écouter les demandes du client DHCP sur l'interface de liaison montante et attribuer dynamiquement des adresses IP aux clients DHCP. Par la suite, si vous configurez une interface interne sur le même dispositif Edge, le service DHCP cesse de fonctionner, car le dispositif Edge commence à écouter les demandes du client DHCP sur l'interface interne.


VMware, Inc. 98

La figure suivante montre un exemple de topologie. L'interface de liaison montante des passerelles Edge Service Gateway est connectée à l'infrastructure physique via le vSphere Distributed Switch. L'interface interne des passerelles Edge Service Gateway est connectée à un routeur logique via un commutateur de transit logique.


VMware, Inc. 99

Architecture physique

172.16.20.10 172.16.10.10

172.16.20.1 Type de lien : interne

172.16.10.1Type de lien : interne

Routeurlogique

Commutateur logique d'app

Commutateur logique

Web

AppVM

WebVM

192.168.10.2Type de lien : liaison montanteAdresse de protocole : 192.168.10.3

Commutateur logique de

transit


EdgeServicesGateway

192.168.100.3Type de lien : liaison montante 192.168.100.1

vSphereDistributed

Switch


VMware, Inc. 100

Vous pouvez configurer plusieurs adresses IP externes pour les services d'équilibrage de charge, de VPN site-à-site et NAT.

Important Si vous activez la haute disponibilité sur un dispositif NSX Edge dans un environnement cross-vCenter NSX, les dispositifs NSX Edge Appliance actifs et en veille doivent résider sur le même serveur vCenter Server. Si vous migrez un des dispositifs d'une paire NSX Edge HA vers un serveur vCenter Server différent, les deux dispositifs HA ne fonctionnent plus comme une paire HA, et vous pouvez rencontrer une interruption du trafic.


n Le rôle Administrateur d'entreprise ou Administrateur NSX doit vous être attribué.

n Vérifiez que la capacité du pool de ressources est suffisante pour que le dispositif virtuel de la passerelle ESG (Edge Services Gateway) puisse être déployé. Pour les ressources nécessaires à chaque taille de dispositif, consultez la section Chapitre 1 Configuration système requise pour NSX Data Center for vSphere.

n Vérifiez que les clusters d'hôtes sur lesquels le dispositif NSX Edge Appliance sera installé sont préparés pour NSX. Consultez la section « Préparer des clusters d'hôtes pour NSX » dans le Guide d'installation de NSX.

n Déterminez si vous souhaitez activer DRS. Si vous créez une passerelle Edge Services Gateway sur laquelle HA et DRS sont activés, les règles d'anti-affinité pour DRS sont créées afin d'empêcher le déploiement des dispositifs sur le même hôte. Si DRS n'est pas activé au moment de la création des dispositifs, les règles ne sont pas créées et les dispositifs peuvent être déployés ou déplacés vers le même hôte.

Procédure

1 Connectez-vous à vSphere Web Client et accédez à Page d'accueil (Home) > Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).

2 Cliquez sur Ajouter (Add), puis sur Edge Services Gateway.

3 Entrez le nom, la description et d'autres détails de la passerelle ESG.

Option Description

Nom Entrez un nom pour la passerelle ESG qui s'affichera dans l'inventaire vCenter.

Veillez à utiliser un nom unique au sein de toutes les passerelles ESG d'un même locataire.

Nom d'hôte Facultatif. Entrez un nom d'hôte que vous voulez afficher pour cette passerelle ESG dans l'interface de ligne de commande.

Si vous n'entrez aucun nom d'hôte, l'ID du dispositif Edge, créé automatiquement, s'affiche dans l'interface de ligne de commande.

Description Facultative. Saisissez une description de la passerelle ESG.


VMware, Inc. 101

Option Description

Déployer NSX Edge Facultatif. Sélectionnez cette option pour créer une machine virtuelle NSX Edge Appliance.

Si vous ne sélectionnez pas cette option, la passerelle ESG ne fonctionne pas tant qu'une machine virtuelle n'est pas déployée.

Haute disponibilité Facultative. Sélectionnez cette option pour activer et configurer la haute disponibilité sur la passerelle ESG.

n Si vous devez exécuter des services avec état sur une passerelle ESG, tels que l'équilibreur de charge, NAT, DHCP, etc., vous pouvez activer HA sur le dispositif Edge. HA permet de minimiser le temps de basculement vers un dispositif Edge en veille en cas de panne d'un dispositif Edge actif. L'activation de HA déploie un dispositif Edge autonome sur un hôte différent dans un cluster. Vous devez donc vous assurer que vous disposez de ressources suffisantes dans votre environnement.

n Si vous n'exécutez pas de services avec état sur la passerelle ESG et que votre passerelle ESG est utilisée uniquement pour le routage nord-sud, il est recommandé d'activer ECMP. ECMP utilise un protocole de routage dynamique pour apprendre le tronçon suivant vers une destination finale et converger en cas de panne.

La configuration ECMP peut augmenter considérablement la bande passante en équilibrant la charge du trafic sur plusieurs chemins et en fournissant la tolérance de panne pour les chemins en échec. Dans cette configuration, la panne du plan de données est limitée à un sous-ensemble du trafic uniquement. Vous avez également la possibilité d'activer HA sur chaque passerelle ESG pour fournir un basculement plus rapide plutôt que de vous reposer sur vSphere HA. Dans une configuration ECMP également, vous devez vous assurer de disposer de ressources suffisantes dans votre environnement.

Vous pouvez activer ECMP sur le dispositif Edge lors de la configuration du routage global, et pas lors du déploiement du dispositif Edge dans votre réseau.

4 Spécifiez les paramètres d'interface de ligne de commande et d'autres paramètres de la

passerelle ESG.

Option Description

Nom d'utilisateur Entrez un nom d'utilisateur que vous voulez utiliser pour la connexion à l'interface de ligne de commande Edge.

Mot de passe Entrez un mot de passe comprenant au moins 12 caractères et conforme aux règles suivantes :







Confirmer le mot de passe Entrez de nouveau le mot de passe pour le confirmer.


VMware, Inc. 102

Option Description

Accès SSH Facultatif. Activez l'accès SSH à la passerelle ESG. Par défaut, l'accès SSH est désactivé.

Généralement, l'accès SSH est recommandé à des fins de dépannage.

Mode FIPS Facultatif. Par défaut, le mode FIPS est désactivé.

Lorsque le mode FIPS est activé, toutes les communications sécurisées en provenance ou à destination du dispositif NSX Edge utilisent des protocoles ou des algorithmes cryptographiques qui sont autorisés par FIPS.

Génération automatique de règles Facultative. Cette option est activée par défaut. Cette option permet la création automatique de règles de pare-feu, de NAT et de la configuration de routage, ce qui contrôle le trafic de certains services NSX Edge, notamment l'équilibrage de charge et VPN.

Si vous désactivez la génération automatique de règles, vous devez ajouter manuellement les règles et les configurations. La génération automatique de règles ne crée pas de règles pour le trafic du canal de données.

Journalisation du niveau de contrôle Edge

Facultative. Par défaut, le niveau de journal est Infos.


VMware, Inc. 103

5 Configurez le déploiement du dispositif NSX Edge Appliance.

a Sélectionnez la taille du dispositif selon votre environnement.

Taille du dispositif Description

Compacte Convient uniquement pour les environnements de laboratoire ou de validation technique.

Grande Dispose d'une ressource de CPU plus puissante, d'une plus grande capacité mémoire et d'un plus grand espace disque que la taille Compacte, et elle prend en charge un plus grand nombre d'utilisateurs VPN-Plus SSL simultanés.

Super grande Convient lorsque vous avez besoin d'un haut débit et d'une vitesse de connexion élevée.

Extra grande Convient aux environnements bénéficiant de l'équilibrage de charge gérant des millions de sessions simultanées.

Pour les ressources nécessaires à chaque taille de dispositif, consultez la section Chapitre 1 Configuration système requise pour NSX Data Center for vSphere.

b Ajoutez un dispositif NSX Edge Appliance et spécifiez les détails de la ressource pour le déploiement de la VM.

Par exemple :

Option Valeur

Cluster/Pool de ressources Gestion et Edge

Banque de données ds-1

Hôte esxmgt-01a.corp.local

Réservation de ressources Géré par le système

Reportez-vous à la section « Gestion des réservations de ressources du dispositif NSX Edge » dans Guide d'administration de NSX pour plus d'informations sur la réservation de ressources.

Si vous avez activé HA, vous pouvez ajouter deux dispositifs. Si vous ajoutez un dispositif unique, NSX Edge réplique sa configuration pour le dispositif en veille. Pour que HA fonctionne correctement, vous devez déployer les deux dispositifs sur une banque de données partagée.


VMware, Inc. 104

6 Configurez les interfaces de la passerelle ESG.

a Spécifiez le nom, le type et d'autres détails de l'interface de base.

Option Description

Nom Entrez le nom de l'interface.

Type Sélectionnez Interne ou Liaison montante. Pour que la haute disponibilité fonctionne, un dispositif Edge doit avoir au moins une interface interne.

Connecté à Sélectionnez le groupe de ports ou le commutateur logique auquel vous voulez connecter cette interface.

b Configurez les sous-réseaux de l'interface.

Option Description

Adresse IP principale Sur une passerelle ESG, les adresses IPv4 et IPv6 sont prises en charge. Une interface peut avoir une adresse IP principale, plusieurs adresses IP secondaires et plusieurs sous-réseaux qui ne se chevauchent pas.

Si vous entrez plusieurs adresses IP pour l'interface, vous pouvez sélectionner l'adresse IP principale.

Seule une adresse IP principale est autorisée par interface et le dispositif Edge utilise l'adresse IP principale comme adresse source du trafic généré localement, par exemple syslog distant et des pings initiés par l'opérateur.

Adresses IP secondaires Saisissez l'adresse IP secondaire. Pour entrer plusieurs adresses IP, utilisez une liste séparée par des virgules.

Longueur préfixe sous-réseau Entrez le masque de sous-réseau de l'interface.

c Spécifiez les options suivantes pour l'interface.

Option Description

Adresses MAC Facultative. Vous pouvez entrer une adresse MAC pour chaque interface.

Si vous modifiez l'adresse MAC à l'aide d'un appel API ultérieurement, vous devez redéployer le dispositif Edge après la modification de l'adresse MAC.

MTU La valeur par défaut pour la liaison montante et l'interface interne est 1 500. Pour l'interface de jonction, la valeur par défaut est 1 600. Vous pouvez modifier la valeur par défaut, si nécessaire. Pour les sous-interfaces sur la jonction, la valeur par défaut est 1 500. Assurez-vous que la valeur de MTU de l'interface de jonction est égale ou supérieure à la valeur de MTU de la sous-interface.

ARP de proxy Sélectionnez cette option si vous voulez que la passerelle ESG réponde aux demandes ARP destinées aux autres machines virtuelles.

Cette option est utile notamment lorsque vous disposez du même sous-réseau de part et d'autre d'une connexion WAN.

Envoyer ICMP Redirection Sélectionnez cette option si vous voulez que la passerelle ESG achemine des informations de routage aux hôtes.

Inverser le filtre des chemins Cette option est activée par défaut. Lorsqu'elle est activée, elle vérifie l'accessibilité de l'adresse source dans les paquets transférés.


VMware, Inc. 105

Option Description

En mode activé, le paquet doit être reçu sur l'interface que le routeur peut utiliser pour transférer le paquet de retour.

En mode Loose, l'adresse source doit apparaître sur la table de routage.

Paramètres de clôture Configurez des paramètres de délimitation si vous souhaitez réutiliser des adresses IP et MAC dans différents environnements délimités.

Par exemple, sur une plate-forme de gestion de Cloud (CMP), la délimitation vous permet d'exécuter plusieurs instances de Cloud simultanément avec les mêmes adresses IP et MAC isolées ou « délimitées ».

Le tableau suivant montre un exemple de deux interfaces NSX Edge. L'interface de liaison montante joint la passerelle ESG à l'environnement extérieur au moyen d'un groupe de ports de liaison montante sur un commutateur vSphere Distributed Switch. L'interface interne joint la passerelle ESG à un commutateur de transit logique auquel un routeur logique distribué est également associé.

Tableau 9-2. Exemple : interfaces de NSX Edge

vNIC n° Nom Adresse IPLongueur préfixe sous-réseau Connecté à

0 Liaison montante 192.168.100.30 24 Mgmt_VDS-HQ_Uplink

1 Interne 192.168.10.1* 29 transit-switch

Important NSX 6.4.4 et une version antérieure prend en charge la multidiffusion sur une interface de liaison montante unique de la passerelle ESG. À partir de NSX 6.4.5, la multidiffusion est prise en charge sur un maximum de deux interfaces de liaison montante de la passerelle ESG. Dans un scénario de déploiement de plusieurs instances de vCenter, si un dispositif NSX Edge est à la version 6.4.4 ou à une version antérieure, vous ne pouvez activer la multidiffusion que sur une seule interface de liaison montante. Pour activer la multidiffusion sur deux interfaces de liaison montante, vous devez mettre à niveau le dispositif Edge vers 6.4.5 ou vers une version ultérieure.

7 Configurez les paramètres de la passerelle par défaut.

Par exemple :

Option Valeur

vNIC Liaison montante

Adresse IP de la passerelle 192.168.100.2

MTU 1 500

Note Vous pouvez modifier la valeur de MTU, mais elle ne peut pas être supérieure à la valeur de MTU configurée sur l'interface.


VMware, Inc. 106

8 Configurez la stratégie de pare-feu par défaut.

Attention Si vous ne configurez pas la stratégie de pare-feu, la stratégie par défaut est définie pour refuser l'ensemble du trafic. Toutefois, le pare-feu est activé sur la passerelle ESG pendant le déploiement, par défaut.

9 Configurez la journalisation de la passerelle ESG et les paramètres HA.

a Activez ou désactivez la journalisation sur le dispositif NSX Edge Appliance.

Par défaut, les journaux sont activés sur tous les nouveaux dispositifs NSX Edge. Le niveau de journalisation par défaut est Infos. Si des journaux sont stockés localement sur la passerelle ESG, la journalisation peut générer un volume trop important de journaux, ce qui a une incidence sur les performances de votre dispositif NSX Edge. Pour cette raison, vous devez de préférence configurer des serveurs Syslog distants et transférer tous les journaux à un collecteur centralisé à des fins d'analyse et de surveillance.

b Si vous avez activé la haute disponibilité, configurez les paramètres HA suivants.

Option Description

vNIC Sélectionnez l'interface interne pour laquelle vous voulez configurer des paramètres HA. Par défaut, HA sélectionne automatiquement une interface interne et attribue automatiquement des adresses IP de liens locaux.

Si vous sélectionnez TOUTES pour l'interface, mais qu'aucune interface interne n'est configurée, l'interface utilisateur affiche une erreur. Deux dispositifs Edge sont créés, mais du fait qu'aucune interface interne n'est configurée, le nouveau dispositif NSX Edge reste en veille et HA est désactivée. Une fois une interface interne configurée, HA est activée sur le dispositif NSX Edge.

Déclarer un temps mort Entrez la période, exprimée en secondes, au cours de laquelle si le dispositif de sauvegarde ne reçoit pas de signal de pulsation du dispositif principal, ce dernier est considéré comme étant inactif et le dispositif de sauvegarde prend le relais.

L'intervalle par défaut est de 15 secondes.

Adresses IP de gestion Facultatif : vous pouvez entrer deux adresses IP de gestion au format CIDR pour remplacer les adresses IP de liens locaux attribuées aux machines virtuelles HA.

Assurez-vous que les adresses IP de gestion ne chevauchent pas les adresses IP utilisées pour toute autre interface et n'interfèrent pas avec le routage du trafic. N'utilisez pas l'une des adresses IP de votre réseau, même si ce réseau n'est pas directement rattaché au dispositif.

Les adresses IP de gestion doivent se trouver dans le même sous-réseau L2 et doivent pouvoir communiquer entre elles.

10 Passez en revue tous les paramètres de la passerelle ESG avant de déployer le dispositif.


VMware, Inc. 107

Résultats

Une fois la passerelle ESG déployée, accédez à la vue Hôtes et clusters et ouvrez la console du dispositif virtuel NSX Edge. Dans la console, assurez-vous de pouvoir exécuter une commande ping sur les interfaces connectées.

Étape suivante

Lorsque vous installez un dispositif NSX Edge Appliance, NSX permet le démarrage/arrêt automatique des VM sur l'hôte si vSphere HA est désactivé sur le cluster. Si les VM du dispositif sont par la suite migrées vers d'autres hôtes du cluster, le mécanisme de démarrage/arrêt automatique des VM peut ne pas être activé sur ces nouveaux hôtes. C'est la raison pour laquelle, lorsque vous installez des dispositifs NSX Edge sur des clusters où vSphere HA est désactivé, vous devez de préférence vérifier tous les hôtes du cluster pour vous assurer que le démarrage/arrêt automatique des machines virtuelles est activé. Dans Administration d'une machine virtuelle vSphere, consultez la section « Modifier les paramètres de démarrage et d'arrêt d'une machine virtuelle ».

Vous pouvez à présent configurer le routage afin d'autoriser la connectivité entre des périphériques externes et vos machines virtuelles.

Spécifier une configuration globale

Vous pouvez configurer la passerelle par défaut pour les itinéraires statiques et spécifier les détails de routage dynamique pour une passerelle Edge Services Gateway ou un routeur logique distribué.

Vous devez disposer d'une instance de NSX Edge opérationnelle avant de pouvoir configurer le routage sur celle-ci. Pour obtenir des informations sur la configuration de NSX Edge, reportez-vous à Configuration de NSX Edge.

Procédure



3 Double-cliquez sur une instance de NSX Edge.

4 Cliquez sur Routage (Routing), puis sur Configuration globale (Global Configuration).


VMware, Inc. 108

5 Pour activer le routage Equal-Cost Multi-Path (ECMP), en regard de ECMP, cliquez sur Démarrer (Start).

ECMP est une stratégie de routage qui autorise la transmission des paquets au prochain saut vers une destination unique sur plusieurs meilleurs chemins. Ces meilleurs chemins peuvent être ajoutés sous forme d'itinéraires statiques ou découler des calculs métriques effectués par des protocoles de routage dynamique comme OSPF ou BGP. Plusieurs chemins pour les itinéraires statiques peuvent être ajoutés en indiquant plusieurs saut consécutifs séparés par des virgules dans la boîte de dialogue Itinéraires statiques. Pour plus d'informations, consultez Ajouter une route statique.

La passerelle Edge Services Gateway utilise l'implémentation de pile réseau Linux, un algorithme « round-robin » avec un composant aléatoire. Une fois un prochain saut sélectionné pour une paire d'adresses IP source/destination particulière, le cache de l'itinéraire stocke le prochain saut sélectionné. Tous les paquets de ce flux sont acheminés vers le prochain saut sélectionné. Le délai d'expiration par défaut du cache de l'itinéraire IPv4 est 300 secondes (gc_timeout). Si une entrée est inactive pendant ce délai, elle est autorisée à être supprimée du cache de l'itinéraire. La suppression réelle a lieu lorsque le temporisateur de nettoyage de mémoire est activé (gc_interval = 60 secondes).

Le routeur logique distribué utilise un algorithme XOR pour déterminer le prochain saut à partir d'une liste de prochains sauts ECMP possibles. Cet algorithme utilise les adresses IP source et de destination sur le paquet sortant comme sources d'entropie.

Les services avec état tels que l'équilibrage de charge, VPN, NAT et le pare-feu ESG ne fonctionnent pas avec ECMP. En revanche, à partir de NSX 6.1.3 et version ultérieure, ECMP et le pare-feu distribué sont compatibles.

6 (Uniquement pour UDLR) : pour modifier ID des paramètres régionaux (Locale ID) sur un routeur logique distribué universel, en regard de Configuration du routage (Routing Configuration), cliquez sur Modifier (Edit). Entrez un ID de paramètres régionaux et cliquez sur Enregistrer ou OK.

Par défaut, l'ID de paramètres régionaux est défini sur l'UUID de NSX Manager. Cependant, vous pouvez remplacer l'ID de paramètres régionaux en activant la sortie locale au moment de la création du routeur logique distribué universel. L'ID de paramètres régionaux permet de configurer des itinéraires de manière sélective dans un environnement cross-vCenter NSX ou multi-site. Pour plus d'informations, reportez-vous à Topologies de Cross-vCenter NSX.

L'ID de paramètres régionaux doit être au format UUID. Par exemple, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, où chaque X est remplacé par un chiffre de base 16 (0 à F).

7 Pour spécifier la passerelle par défaut, cliquez sur Modifier (Edit) en regard de Passerelle par défaut (Default Gateway).

a Sélectionnez une interface à partir de laquelle il est possible d'atteindre le prochain tronçon vers le réseau de destination.

b Tapez l'adresse IP de la passerelle.


VMware, Inc. 109

c (Facultatif) Tapez l'ID de paramètres régionaux. L'ID de paramètres régionaux est disponible uniquement pour les routeurs logiques universels.

d (Facultatif) Modifiez le MTU.

e À l'invite, tapez la Distance Admin (Admin Distance).

Choisissez une valeur comprise entre 1 et 255. La distance admin est utilisée pour choisir l'itinéraire à utiliser en cas d'itinéraires multiples pour un réseau donné. Plus la distance admin est courte, plus les préférences d'itinéraire doivent être élevées.

Tableau 9-3. Distances Admin par défaut

Source d'itinéraire Distance admin par défaut

Connecté 0

Statique 1

BGP externe 20

OSPF intrazone 30

OSPF interzone 110

BGP interne 200

f (Facultatif) Tapez la description de la passerelle par défaut.

g Cliquez sur Enregistrer (Save).

8 Pour configurer le routage dynamique, cliquez sur Modifier (Edit) en regard de Configuration de routage dynamique (Dynamic Routing Configuration).

a ID de routeur (Router ID) affiche la première adresse IP de liaison montante de l'instance de NSX Edge qui envoie des itinéraires au noyau pour un routage dynamique.

b N'activez aucun protocole ici.

c Sélectionnez Activer la journalisation (Enable Logging) pour enregistrer des informations de journalisation et sélectionner le niveau de journal.

Note Si le service VPN IPSec est configuré dans votre environnement, vous ne devez pas utiliser le routage dynamique.

9 Cliquez sur Publier les modifications (Publish Changes).

Étape suivante

Pour supprimer la configuration du routage, cliquez sur Réinitialiser (Reset). Toutes les configurations du routage sont supprimées (par défaut, statiques, configurations OSPF et BGP, ainsi que redistribution d'itinéraire).


VMware, Inc. 110

Configuration de NSX Edge

Une fois que vous avez installé un dispositif NSX Edge opérationnel (c'est-à-dire ajouté un ou plusieurs dispositifs et interfaces, puis configuré la passerelle par défaut, la stratégie de pare-feu et la haute disponibilité), vous pouvez commencer à utiliser les services NSX Edge.

Utilisation des certificats

NSX Edge prend en charge les certificats auto-signés, les certificats signés par une autorité de certification (CA) et les certificats générés et signés par une CA.

Configurer un certificat signé par une autorité de certification

Vous pouvez générer une demande de signature de certificat et la faire signer par une autorité de certification. Si vous générez une demande de signature de certificat au niveau global, celle-ci est disponible pour l'ensemble des dispositifs NSX Edge de votre inventaire.

Procédure

1 Utilisez l'une des méthodes suivantes :

n Générez une demande de signature de certificat globale pour NSX Manager.

1 Connectez-vous au dispositif virtuel NSX Manager.

2 Cliquez sur Gérer les paramètres des dispositifs (Manage Appliance Settings), puis sur Certificats SSL (SSL Certificates).

3 Cliquez sur Générer une CSR (Generate CSR).

n Générez une demande de signature de certificat pour un dispositif NSX Edge.


2 Accédez à Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).


4 Cliquez sur Gérer (Manage) > Paramètres (Settings) > Certificats (Certificates).

5 Cliquez sur Actions de CSR (CSR Actions) ou sur Actions, puis cliquez sur Générer une CSR (Generate CSR).

2 Tapez votre nom et celui de votre unité d'organisation.

3 Tapez la localité, la rue, l'État et le pays de votre organisation.

4 Sélectionnez l'algorithme de chiffrement pour la communication entre les hôtes.

Attention VPN-Plus SSL prend uniquement en charge les certificats RSA.

5 Modifiez la taille de la clé par défaut, si nécessaire.

6 Tapez une description pour le certificat.


VMware, Inc. 111

7 Cliquez sur OK.

La CSR est générée et s'affiche dans la liste des certificats.

8 Faites signer cette demande de signature de certificat par une autorité de certification en ligne.


n Importez un certificat au niveau global dans le dispositif virtuel NSX Manager.

1 Cliquez sur Gérer les paramètres des dispositifs (Manage Appliance Settings), puis sur Certificats SSL (SSL Certificates).

2 Cliquez sur Importer (Import).

3 Dans la boîte de dialogue Importer un certificat SSL, cliquez sur Choisir un fichier (Choose File) et accédez au fichier de certificat signé.


n Importez un certificat pour le dispositif NSX Edge.

1 Copiez le contenu du certificat signé que vous avez reçu de la part de l'autorité de certification.

2 Dans vSphere Web Client, double-cliquez sur le dispositif NSX Edge.

3 Cliquez sur Actions de CSR (CSR Actions) ou sur Actions, puis cliquez sur Importer le certificat (Import Certificate).

4 Dans la boîte de dialogue Importer le certificat, collez le contenu du certificat signé.

5 Cliquez sur OK.

Le certificat signé par une autorité de certification apparaît dans la liste des certificats.

Ajouter un certificat d'autorité de certification

En ajoutant un certificat d'autorité de certification, vous pouvez devenir une autorité de certification intermédiaire pour votre entreprise. Vous avez alors l'autorité pour signer vos propres certificats.

Procédure




4 Accédez à Gérer (Manage) > Paramètres (Settings) > Certificats (Certificates).

5 Cliquez sur Ajouter (Add), puis sur Certificat d'autorité de certification (CA Certificate.).

6 Copiez et collez le contenu du certificat dans la zone de texte Contenu de certificat (Certificate Contents).


VMware, Inc. 112

7 Entrez une description pour le certificat de l'autorité de certification.

8 Cliquez sur Ajouter (Add) ou sur OK.

Vous pouvez désormais signer vos propres certificats.

Ajouter un certificat de serveur

Pour ajouter un certificat de serveur, vous collez le contenu du fichier de certificat PEM et le contenu de la clé privée du serveur.

Procédure





5 Cliquez sur Ajouter (Add), puis sur Certificat (Certificate).

6 Dans la zone de texte Contenu de certificat (Certificates Contents), collez le contenu du fichier de certificat PEM.

Le texte doit inclure « -----BEGIN xxx----- » et « -----END xxx----- ». Par exemple :

-----BEGIN CERTIFICATE----- Server cert-----END CERTIFICATE-----

7 Dans la zone de texte Clé privée (Private Key), collez le contenu de la clé privée du serveur.

Voici un exemple du contenu de la clé privée :

-----BEGIN RSA PRIVATE KEY-----XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX-----END RSA PRIVATE KEY-----

8 Entrez le mot de passe du fichier de clé privée et entrez de nouveau le mot de passe pour confirmer.

9 (Facultatif) Entrez une description pour le certificat de serveur.


Ajouter un certificat chaîné

Pour ajouter un certificat de serveur chaîné avec les certificats d'autorité de certification intermédiaire et racine, vous avez besoin d'un certificat de serveur (fichier PEM), d'une clé privée pour le serveur, d'un certificat intermédiaire et d'un certificat racine.


VMware, Inc. 113

Procédure





5 Cliquez sur Ajouter (Add), puis sur Certificat (Certificate).

6 Dans la zone de texte Contenu de certificat (Certificates Contents), collez le contenu du fichier cert.pem du serveur, puis ajoutez le contenu des certificats intermédiaires et du certificat racine.

Dans la chaîne de certificats, l'ordre des certificats doit être le suivant :

n Certificat de serveur

n Tout nombre de certificats d'autorité de certification intermédiaires

n Certificat d'autorité de certification racine

Chaque certificat doit inclure les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----, comme indiqué dans l'exemple suivant :

-----BEGIN CERTIFICATE----- Server cert-----END CERTIFICATE----------BEGIN CERTIFICATE----- Intermediate cert-----END CERTIFICATE----------BEGIN CERTIFICATE----- Root cert-----END CERTIFICATE-----

7 Dans la zone de texte Clé privée (Private Key), collez le contenu de la clé privée du serveur.



8 Entrez le mot de passe pour la clé privée du serveur et entrez de nouveau le mot de passe pour confirmer.

9 (Facultatif) Entrez une description pour le certificat chaîné.



VMware, Inc. 114

Résultats

Une fois le certificat ajouté, le certificat de serveur chaîné avec ses certificats intermédiaires s'affiche dans les détails du certificat.

Pour afficher les détails des certificats :

n Dans NSX 6.4.4 et versions ultérieures, dans le tableau Certificats, cliquez sur le texte dans la colonne Délivré à. Les détails du certificat s'affichent dans une fenêtre contextuelle.

n Dans NSX 6.4.3 et versions antérieures, sélectionnez un certificat dans la grille. Le volet Détails du certificat sous la grille affiche les détails du certificat.

Configurer un certificat autosigné

Vous pouvez créer, installer et gérer des certificats de serveur auto-signés.


Vous devez disposer d'une autorité de certification qui peut signer votre demande de signature de certificat.

Procédure





5 Générez une demande de signature de certificat pour un dispositif NSX Edge. Pour plus d'informations, reportez-vous aux étapes 1 à 7 de la section Configurer un certificat signé par une autorité de certification.

6 Vérifiez que la demande de signature de certificat que vous avez générée est sélectionnée.

7 Cliquez sur Actions de CSR (CSR Actions) ou sur Actions, puis cliquez sur Auto-signer le certificat (Self Sign Certificate).

8 Tapez le nombre de jours pendant lequel vous souhaitez que ce certificat auto-signé soit valide.

9 Cliquez sur OK.

Utilisation des certificats clients

Après la génération d'un certificat client, vous pouvez distribuer ce certificat à vos utilisateurs distants, qui peuvent l'installer sur leur navigateur Web.


VMware, Inc. 115

L'implémentation de certificats clients a pour principal avantage de permettre à l'équilibrage de charge NSX Edge de demander au client son certificat client et de le valider avant de transférer ses demandes Web aux serveurs principaux. Si un certificat client est révoqué car il a été perdu ou parce que le client ne travaille plus dans la société, NSX Edge atteste que le client certificat n'appartient pas à la liste de révocation de certificats.

Les certificats NSX Edge Client sont configurés dans le profil d'application.

Pour plus d'informations sur la génération de certificats clients, reportez-vous à la section Scénario : client SSL et authentification serveur.

Ajouter une liste de révocation de certificats

Une liste de révocation de certificats (CRL) est une liste des abonnés et de leur état, qui est fournie et signée par Microsoft.

La liste contient les éléments suivants :

n Les certificats révoqués et les motifs de la révocation.

n Les dates d'émission des certificats.

n Les entités ayant émis les certificats.

n Une date proposée pour la prochaine version.

Lorsqu'un utilisateur potentiel tente d'accéder à un serveur, le serveur autorise ou refuse l'accès en fonction de l'entrée CRL pour cet utilisateur particulier.

Procédure





5 Cliquez sur Ajouter (Add), puis sur CRL.

6 Dans la zone de texte Contenu de certificat (Certificate Contents), collez la liste.

7 (Facultatif) Entrez une description.


Mode FIPS

Lorsque vous activez le mode FIPS, toute communication sécurisée vers et en provenance du dispositif NSX Edge utilise des protocoles ou des algorithmes cryptographiques autorisés par FIPS (United States Federal Information Processing Standards). Le mode FIPS active les suites de chiffrement conformes aux FIPS.


VMware, Inc. 116

Si vous configurez des composants qui ne sont pas compatibles FIPS sur un dispositif Edge compatible FIPS, ou si vous activez FIPS sur un dispositif Edge présentant un mécanisme de chiffrement ou d'authentification qui n'est pas compatible FIPS, NSX Manager n'effectuera pas l'opération et fournira un message d'erreur valide.

Différence de fonctionnalité entre le mode FIPS et le mode non FIPS

Composant Fonctionnalité Mode FIPS Mode non FIPS

VPN SSL Authentification RADIUS Non disponible Disponible

VPN SSL Authentification RSA Non disponible Disponible

Protocole TLS TLSv1.0 Non disponible Disponible

Routage OSPF, BGP - Authentification de mot de passe MD5

Non disponible Disponible

VPN IPSec Authentification PSK Non disponible Disponible

VPN IPSec Groupes DH2 et DH5 Non disponible Disponible

VPN IPSec Groupes DH14, DH15 et DH16 Disponible Disponible

VPN IPSec Algorithme AES-GCM Non disponible Disponible

Modifier le mode FIPS sur NSX Edge

Le mode FIPS active les suites de chiffrement conformes aux FIPS. Toutes les communications sécurisées en provenance ou à destination du dispositif NSX Edge utilisent alors des protocoles ou des algorithmes cryptographiques qui sont autorisés par FIPS.

Attention La modification du mode FIPS entraîne le redémarrage du dispositif NSX Edge avec une interruption de trafic temporaire. Cela est valable que la haute disponibilité soit activée ou non.

Selon vos besoins, vous pouvez activer FIPS sur tout ou partie de vos dispositifs NSX Edge. Les dispositifs NSX Edge avec FIPS peuvent communiquer avec les dispositifs NSX Edge sans FIPS.

Si un routeur logique (distribué) est déployé sans dispositif NSX Edge, vous ne pouvez pas modifier le mode FIPS. Le routeur logique prend automatiquement le mode FIPS comme le cluster NSX Controller. Sur les clusters NSX Controller avec NSX 6.3.0 ou ultérieure, FIPS est activé.

Pour modifier le mode FIPS sur un routeur logique universel (distribué) dans un environnement cross-vCenter NSX avec plusieurs dispositifs NSX Edge déployés sur les instances principale et secondaire de NSX Manager, vous devez modifier le mode FIPS sur tous les dispositifs NSX Edge associés au routeur logique universel (distribué) sur l'instance principale de NSX Manager.

Si vous modifiez le mode FIPS sur des dispositifs NSX Edge haute disponibilité, FIPS sera activé sur tous les dispositifs qui seront redémarrés l'un après l'autre.


VMware, Inc. 117

Pour changer le mode FIPS sur un dispositif Edge autonome, exécutez la commande fips enable ou fips disable. Pour plus d'informations, consultez la Référence de l'interface de ligne de commandes de NSX.


n Vérifiez que des solutions de partenaire sont certifiées pour le mode FIPS. Reportez-vous au Guide de compatibilité de VMware à l'adresse http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.

n Si vous avez procédé à une mise à niveau d'une version antérieure de NSX, n'activez pas le mode FIPS avant la fin de la mise à niveau vers NSX 6.3.0. Consultez la rubrique relative au mode FIPS et à la mise à niveau de NSX dans le guide Guide de mise à niveau de NSX.

n La version de NSX Manager doit être NSX 6.3.0 ou une version ultérieure.

n La version du cluster NSX Controller doit être NSX 6.3.0 ou une version ultérieure.

n Tous les clusters d'hôtes qui utilisent des charges de travail NSX doivent être préparés pour NSX 6.3.0 ou une version ultérieure.

n Vérifiez que la version de tous les dispositifs NSX Edge sur lesquels vous voulez activer FIPS est la version 6.3.0 ou ultérieure.

n Vérifiez que le statut de l'infrastructure de messagerie est VERT. Utilisez la méthode API GET /api/2.0/nwfabric/status?resource={resourceId}, avec resourceId comme

MOID vCenter d'un hôte ou d'un cluster. Cherchez le statut correspondant à l'identifiant featureId de com.vmware.vshield.vsm.messagingInfra dans le texte de la réponse :

<nwFabricFeatureStatus> <featureId>com.vmware.vshield.vsm.messagingInfra</featureId> <updateAvailable>false</updateAvailable> <status>GREEN</status> <installed>true</installed> <enabled>true</enabled> <allowConfiguration>false</allowConfiguration> </nwFabricFeatureStatus>

Procédure



3 Sélectionnez le dispositif Edge ou le routeur adéquat, cliquez sur Actions (Actions) ( ) et sélectionnez Modifier le mode FIPS (Change FIPS mode).

La boîte de dialogue Modifier le mode FIPS (Change FIPS mode) s'affiche.


VMware, Inc. 118



4 Cochez ou décochez la case Activer FIPS (Enable FIPS). Cliquez sur OK.

Le dispositif NSX Edge redémarre et FIPS est activé.

Étape suivante

Vous pouvez éventuellement Modifier le mode FIPS et les paramètres TLS sur NSX Manager.

Gestion des dispositifs NSX Edge

Vous pouvez ajouter, modifier ou supprimer des dispositifs NSX Edge. Une instance NSX Edge reste hors ligne jusqu'à ce qu'au moins un dispositif ait été ajouté à celle-ci.

Ajouter un dispositif Edge

Vous devez ajouter au moins un dispositif à NSX Edge avant de le déployer.

Procédure




4 Accédez à un dispositif NSX Edge Appliance.

Version Procédure

NSX 6.4.4 et versions ultérieures a Gérer (Manage) > Paramètres (Settings) > Paramètres du dispositif (Appliance Settings).

b Accédez à la section VM de dispositif Edge.

NSX 6.4.3 et versions antérieures a Cliquez sur Gérer (Manage) > Paramètres (Settings) > Configuration.

b Accédez au volet Dispositifs NSX Edge (NSX Edge Appliances).

5 Cliquez sur Ajouter une VM de dispositif Edge (Add Edge Appliance VM) ou sur l'icône

Ajouter (Add) ( ).

6 Sélectionnez le cluster ou le pool de ressources et la banque de données du dispositif.

7 (Facultatif) Sélectionnez l'hôte sur lequel vous voulez ajouter le dispositif.


VMware, Inc. 119

8 (Facultatif) Sélectionnez le dossier vCenter dans lequel le dispositif doit être ajouté.


Résultats

n Dans NSX 6.4.4 ou version ultérieure, les détails du dispositif NSX Edge Appliance s'affichent sous forme de carte dans la section VM de dispositif Edge (Edge Appliance VMs). Une carte indique les paramètres d'une VM de dispositif Edge.

n Dans NSX 6.4.3 ou version antérieure, les détails du dispositif NSX Edge Appliance s'affichent sous forme de grille dans le volet Dispositifs NSX Edge.

Modifier un dispositif Edge

Vous pouvez modifier un dispositif NSX Edge.

Procédure





Version Procédure





5 Modifiez les paramètres du dispositif NSX Edge Appliance.

Version Procédure

NSX 6.4.4 et versions ultérieures a Dans la section VM de dispositif Edge, accédez à la VM du dispositif Edge que vous voulez modifier.

b Cliquez sur et sur Modifier (Edit).

c Effectuez les modifications appropriées et cliquez sur Enregistrer (Save).

NSX 6.4.3 et versions antérieures a Sélectionnez le dispositif que vous voulez modifier, puis cliquez sur l'icône

Modifier (Edit) ( ).

b Effectuez les modifications appropriées et cliquez sur OK.

Supprimer un dispositif Edge

Vous pouvez supprimer un dispositif NSX Edge.


VMware, Inc. 120

Procédure





Version Procédure





5 Supprimez un dispositif NSX Edge.

u Dans NSX 6.4.4 et versions ultérieures, accédez au dispositif NSX Edge Appliance, cliquez

sur , puis cliquez sur Supprimer (Delete).

u Dans NSX 6.4.3 et versions antérieures, sélectionnez un dispositif NSX Edge Appliance

dans la grille et cliquez sur l'icône Supprimer (Delete) ( ).

Gestion des réservations de ressources du dispositif NSX Edge

NSX Data Center for vSphere utilise l'allocation de ressources vSphere afin de réserver des ressources pour les dispositifs NSX Edge. La réservation des ressources de CPU et de mémoire pour NSX Edge garantit que le dispositif dispose de suffisamment de ressources pour fonctionner correctement.

Il existe trois méthodes de réservation de ressources : Géré par le système, Personnalisé ou Pas de réservation

Important Si vous utilisez NSX 6.4.3 ou une version antérieure, et que vous sélectionnez les réservations Personnalisé ou Pas de réservation pour un dispositif NSX Edge, vous ne pouvez pas revenir à Géré par le système.

Réservation de ressources gérées par le système

Si vous sélectionnez Géré par le système, le système réserve des ressources de CPU et de mémoire pour le nouveau dispositif NSX Edge. Les ressources réservées sont égales à la configuration système requise pour la taille du dispositif, modifiée par n'importe quel pourcentage spécifié à l'aide de l'API de configuration de réglage.


VMware, Inc. 121

Lorsque vous installez, mettez à niveau ou redéployez une instance de NSX Edge, les dispositifs NSX Edge associés sont déployés. Si un dispositif dispose de la réservation de ressources Géré par le système, la réservation est appliquée sur le pool de ressources après la mise sous tension du dispositif. Si les ressources sont insuffisantes, la réservation échoue et génère un événement système, mais le déploiement du dispositif réussit. La réservation est tentée la prochaine fois que le dispositif est déployé (lors de la mise à niveau ou du redéploiement).

Avec les réservations de ressources Géré par le système, si vous modifiez la taille du dispositif, le système met à jour la réservation de ressources afin de correspondre à la configuration système requise de la nouvelle taille de dispositif.

Réservation de ressources personnalisées

Si vous sélectionnez Personnalisé, vous déterminez les réservations de ressources pour le dispositif NSX Edge.

Lorsque vous installez, mettez à niveau ou redéployez un dispositif NSX Edge, les dispositifs NSX Edge associés sont déployés. Si un dispositif dispose de la réservation de ressources Personnalisé, la réservation est appliquée sur le pool de ressources avant la mise sous tension du dispositif. Si les ressources sont insuffisantes, le dispositif ne parvient pas à se mettre sous tension et le déploiement du dispositif échoue.

Vous pouvez appliquer les réservations Personnalisé à un dispositif NSX Edge existant. Si le pool de ressources ne dispose pas de ressources suffisantes, la modification de la configuration échoue.

Avec des réservations de ressources Personnalisé, le système ne gère pas de réservations de ressources pour le dispositif. Si vous modifiez la taille du dispositif, la configuration système requise du dispositif change, mais le système ne met pas à jour la réservation de ressources. Vous devez modifier la réservation de ressources pour refléter la configuration système requise de la nouvelle taille du dispositif.

Aucune réservation de ressources

Si vous sélectionnez Pas de réservation, aucune ressource n'est réservée pour le dispositif NSX Edge. Vous pouvez déployer des dispositifs NSX Edge sur des hôtes qui ne disposent pas de ressources suffisantes, mais les dispositifs peuvent ne pas fonctionner correctement s'il existe un conflit entre les ressources.

Configuration des réservations de ressources du dispositif NSX Edge

Vous définissez la réservation de ressources lors de la création d'un dispositif NSX Edge. Vous pouvez également mettre à jour la réservation sur un dispositif NSX Edge existant. Vous pouvez utiliser vSphere Web Client ou l'API pour ces tâches. Pour plus d'informations sur l'utilisation de l'API, reportez-vous au Guide de NSX API.


VMware, Inc. 122

Opération vSphere Web Client API

Créer un dispositif NSX Edge Accédez à Mise en réseau et sécurité > Dispositifs NSX Edge, puis cliquez sur Ajouter. L'assistant vous guide à travers les étapes de création d'un dispositif NSX Edge. Vous pouvez ajouter un dispositif NSX Edge dans l'étape Configurer le déploiement. Vous sélectionnez la méthode de réservation dans le menu déroulant Réservation de ressources.

Utiliser POST /api/4.0/edges

Mettre à jour un dispositif NSX Edge existant

Accédez à Mise en réseau et sécurité > Dispositifs NSX Edge > Instance de NSX Edge > Gérer > Paramètres, puis modifiez la VM du dispositif afin de sélectionner une valeur différente pour Réservation de ressources.

Utiliser PUT /api/4.0/edges/{edgeId}/appliances

Utilisez les paramètres cpuReservation > reservation et memoryReservation > reservation pour configurer la réservation de ressources du dispositif NSX Edge à l'aide de l'API.

Méthode de réservation de ressources Valeurs des paramètres de réservation

Géré par le système Ne spécifiez pas de valeurs pour cpuReservation > reservation et memoryReservation > reservation.

Personnalisé Spécifiez les valeurs souhaitées dans cpuReservation > reservation et memoryReservation > reservation.

Pas de réservation Définissez cpuReservation > reservation et

memoryReservation > reservation sur 0.

La configuration système requise des dispositifs NSX Edge dépend de la taille du dispositif : Compacte, Grande, Super grande ou Extra grande. Ces valeurs sont utilisées pour la réservation de ressources Géré par le système par défaut.

Taille du dispositif Réservation de CPU Réservation de mémoire

Compacte 1000 MHz 512 Mo

Grande 2000 MHz 1 Go

Super grande 4000 MHz 2 Go

Extra grande 6000 MHz 8 Go


VMware, Inc. 123

Modification de la réservation de ressources gérées par le système à l'aide de la configuration de réglage

Lorsqu'il manque des ressources, vous pouvez désactiver temporairement les réservations de ressources Géré par le système ou diminuer la valeur par défaut. Vous pouvez modifier le pourcentage de réservation en configurant des valeurs pour les paramètres edgeVCpuReservationPercentage et edgeMemoryReservationPercentage dans l'API de

configuration de réglage, PUT /api/4.0/edgePublish/tuningConfiguration. La valeur par défaut

des deux paramètres est 100. Cette modification affecte les nouveaux déploiements de dispositifs

NSX Edge, mais pas les dispositifs existants. Les pourcentages modifient le CPU et la mémoire par défaut réservés pour la taille de dispositif NSX Edge appropriée. Pour désactiver la réservation de ressources, définissez les valeurs sur 0. Reportez-vous à Guide de NSX API pour plus de détails.

Remplacement de la méthode de réservation de ressources de Personnalisé par Géré par le système

Si vous utilisez NSX 6.4.3 ou une version antérieure, et que vous sélectionnez les réservations Personnalisé ou Pas de réservation pour un dispositif NSX Edge, vous ne pouvez pas revenir aux réservations Géré par le système.

À partir de NSX 6.4.4, vous pouvez utiliser l'API pour revenir aux réservations Géré par le système à l'aide de POST /api/4.0/edges/{edgeId}/appliances?action=applySystemResourceReservation. Reportez-vous à Guide de NSX API pour plus de

détails.

À partir de NSX 6.4.6, vous pouvez utiliser vSphere Web Client pour modifier la VM du dispositif NSX Edge et revenir aux réservations Géré par le système.

Utilisation des interfaces

Une passerelle de services NSX Edge peut disposer au maximum de dix interfaces internes, de liaison montante ou de jonction. Un routeur NSX Edge peut disposer de huit interfaces de liaison montante et de mille interfaces internes maximum.

Un dispositif NSX Edge doit disposer d'au moins une interface interne avant de pouvoir être déployé.

Configurer une interface

Les interfaces internes sont généralement réservées au trafic est-ouest, alors que les interfaces de liaison sont destinées au trafic nord-sud.

Une passerelle de services NSX Edge peut disposer au maximum de 10 interfaces internes, de liaison montante ou de jonction. Ces limites sont appliquées par NSX Manager. Lorsqu'un routeur logique (DLR) est connecté à une passerelle Edge Services Gateway (ESG), l'interface du routeur est une interface de liaison montante alors que l'interface de la passerelle ESG est une interface interne. Une interface de jonction NSX s'applique aux réseaux internes, pas aux réseaux externes. L'interface de jonction permet la jonction de plusieurs réseaux internes (VLAN ou VXLAN).


VMware, Inc. 124

Un déploiement NSX Data Center peut disposer d'un maximum de 1 000 instances de routeur logique distribué sur un seul hôte ESXi. Sur un seul routeur logique, vous pouvez configurer jusqu'à huit interfaces de liaison montante et 991 interfaces internes. Ces limites sont appliquées par NSX Manager. Pour plus d'informations sur la mise à l'échelle de l'interface dans un déploiement NSX Data Center, consultez le Guide de conception de virtualisation réseau NSX à l'adresse https://communities.vmware.com/docs/DOC-27683.

Note Les adresses multidiffusion IPv6 ne sont pas prises en charge sur les interfaces NSX ESG dans NSX Data Center for vSphere 6.2.x, 6.3.x et 6.4.x.

Procédure




4 Accédez aux paramètres de l'interface de NSX Edge en cliquant sur Gérer (Manage) > Paramètres (Settings) > Interfaces.

5 Sélectionnez une interface et cliquez sur l'icône Modifier (Edit) ( ou ).

6 Dans la boîte de dialogue Modifier une interface Edge, entrez le nom de l'interface.

7 Pour indiquer si cette interface est une interface interne ou externe (liaison montante), cliquez sur Interne (Internal) ou sur Liaison montante (Uplink).

Sélectionnez Relier (Trunk) lorsque vous créez une sous-interface. Pour plus d'informations, consultez Ajouter une sous-interface.

8 Sélectionnez le groupe de ports ou le commutateur logique auquel vous voulez connecter cette interface.

a En regard de la zone de texte Connecté à (Connected To), cliquez sur ou sur Modifier (Change).

b Selon ce que vous voulez connecter à l'interface, cliquez sur l'onglet Commutateur logique (Logical Switch), Groupe de ports standard (Standard Port Group) ou Groupe de ports virtuels distribués (Distributed Virtual Port Group).

c Sélectionnez le commutateur logique ou le groupe de ports approprié et cliquez sur OK.

9 Sélectionnez l'état de connectivité de l'interface.


VMware, Inc. 125


10 Dans Configurer les sous-réseaux (Configure Subnets), cliquez sur Ajouter (Add) pour ajouter un sous-réseau pour l'interface.


11 Entrez la longueur de préfixe de sous-réseau ou le masque de sous-réseau de l'interface.

12 Si vous utilisez NSX 6.4.4 ou version ultérieure, cliquez sur l'onglet Avancé (Advanced) et continuez avec les autres étapes de cette procédure. Si vous utilisez NSX 6.4.3 ou version antérieure, passez à l'étape suivante.

13 Modifiez la valeur de MTU par défaut, si nécessaire.

14 Sous Options, spécifiez les options suivantes.

Option Description

ARP de proxy Prend en charge le transfert de réseaux se chevauchant entre différentes interfaces.

Envoyer ICMP Redirection Achemine les informations de routage aux hôtes.

Inverser le filtre des chemins Vérifiez l'accessibilité de l'adresse source dans les paquets transférés. En mode activé, le paquet doit être reçu sur l'interface que le routeur peut utiliser pour transférer le paquet de retour. En mode Loose, l'adresse source doit apparaître sur la table de routage.

15 Entrez les paramètres de délimitation.

Configurez des paramètres de délimitation si vous souhaitez réutiliser des adresses IP et MAC dans différents environnements délimités. Par exemple, sur une plate-forme de gestion de Cloud (CMP), la délimitation vous permet d'exécuter plusieurs instances de Cloud simultanément avec les mêmes adresses IP et MAC isolées ou « délimitées ».


Supprimer une interface

Vous pouvez supprimer une interface NSX Edge.

Procédure






VMware, Inc. 126

5 Sélectionnez une interface à supprimer.

6 Cliquez sur l'icône Supprimer (Delete) ( ou ).

Activer une interface

Une interface doit être activée ou son état doit être connecté pour qu'un dispositif NSX Edge isole les machines virtuelles dans cette interface (groupe de ports ou commutateur logique).

Procédure





5 Sélectionnez une interface à connecter.

6 Cliquez sur l'icône Connecter (Connect) ( ou ).

Désactiver une interface

Vous pouvez désactiver ou déconnecter une interface sur un dispositif NSX Edge.

Procédure





5 Sélectionnez une interface à désactiver ou à déconnecter.

6 Cliquez sur l'icône Déconnecter (Disconnect) ( ou ).


VMware, Inc. 127

Modifier la stratégie de formation du trafic

Vous pouvez modifier la stratégie de formation du trafic sur vSphere Distributed Switch pour une interface NSX Edge.

Note À partir de NSX Data Center 6.4.4, la terminologie de certaines fonctionnalités dans l'interface utilisateur a été modifiée. Le tableau suivant fournit la liste des termes modifiés.

Tableau 9-4. Termes modifiés

NSX 6.4.3 ou version antérieure NSX 6.4.4 ou version ultérieure

Stratégie de formation du trafic Qualité de service (QoS)

Stratégie de formation interne Stratégie de formation entrante

Stratégie de formation externe Stratégie de formation sortante

Procédure





5 Sélectionnez une interface pour laquelle vous voulez configurer la qualité de service.


n Dans NSX 6.4.4 et versions ultérieures, cliquez sur Configurer QoS (Configure QoS).

n Dans NSX 6.4.3 et versions antérieures, cliquez sur Actions > Configurer la stratégie de formation du trafic (Configure Traffic Shaping Policy).

7 Effectuez les modifications nécessaires.

Pour plus d'informations sur les options de formation de la stratégie de trafic, reportez-vous à la section Stratégie de formation du trafic.


Ajouter une sous-interface

Vous pouvez ajouter une sous-interface sur une carte réseau virtuelle de jonction et utiliser cette sous-interface dans plusieurs services NSX Edge.


VMware, Inc. 128

https://docs.vmware.com/fr/VMware-vSphere/6.7/com.vmware.vsphere.networking.doc/GUID-D3A091C0-0D0D-480D-ACE3-62524E2E0D0A.html

Sous-interface1

Sous-interface2

Edge

Sous-interface3

vNIC 0 vNIC 10

Les interfaces de jonction peuvent être de l'un des types suivants :

n La jonction VLAN est standard et fonctionne avec toutes les versions d'ESXi. Ce type d'interface permet d'acheminer le trafic VLAN balisé dans Edge.

n La jonction VXLAN fonctionne avec NSX 6.1 et versions ultérieures. Ce type d'interface permet d'acheminer le trafic VXLAN dans Edge.

Les services Edge suivants peuvent utiliser une sous-interface :

n DHCP

n Routage (BGP et OSPF)

n Équilibreur de charge

n VPN IPSec : Vous pouvez configurer un VPN IPSec uniquement comme une interface de liaison montante. Utilisez les sous-interfaces lorsque vous voulez que le trafic privé traverse le tunnel IPSec. Si une stratégie IPSec est configurée pour le trafic privé, la sous-interface agit comme passerelle pour le sous-réseau local privé.

n VPN de couche 2

n NAT

. Une sous-interface ne peut pas être utilisée pour HA ou un pare-feu logique. Toutefois, vous pouvez utiliser l'adresse IP de la sous-interface dans une règle de pare-feu Edge.

Procédure





5 Sélectionnez une interface et cliquez sur l'icône Modifier (Edit) ( ou ).

6 Dans la boîte de dialogue Modifier une interface Edge, entrez le nom de l'interface.


VMware, Inc. 129

7 Dans Type, sélectionnez Jonction (Trunk).

8 Sélectionnez le groupe de ports standard ou le groupe de ports distribués auquel cette interface doit être connectée.

a En regard de la zone de texte Connecté à (Connected To), cliquez sur ou sur Modifier (Change).

b Selon ce que vous voulez connecter à l'interface, cliquez sur l'onglet Groupe de ports standard (Standard Port Group) ou Groupe de ports distribués (Distributed Port Group).

c Sélectionnez le groupe de ports approprié et cliquez sur OK.

9 Sélectionnez l'état de connectivité de l'interface.

10 Dans Sous-interfaces, cliquez sur Ajouter (Add).

11 Assurez-vous que la sous-interface est activée et entrez un nom pour la sous-interface.

12 Dans ID de tunnel, entrez un nombre entre 1 et 4 094.

L'ID de tunnel permet de connecter les réseaux en cours d'étirement. Cette valeur doit être identique sur les sites du client et du serveur.

13 Dans Type de support, sélectionnez l'une des options suivantes pour indiquer le support réseau de la sous-interface.

Option Description

VLAN Entrez l'ID de VLAN du réseau local virtuel que doit utiliser votre sous-interface. Les ID de VLAN vont de 0 à 4 094.

Réseau Sélectionnez le groupe de ports distribués ou le commutateur logique. NSX Manager extrait l'ID de VLAN et l'utilise pour la configuration de la jonction.

aucune Utilisez cette option pour créer une sous-interface sans spécifier de réseau ni d'ID de VLAN. Cette sous-interface est interne à NSX Edge et permet d'acheminer des paquets entre un réseau étendu et un réseau non étendu (non balisé).

14 Dans Configurer les sous-réseaux, cliquez sur Ajouter (Add) pour ajouter des sous-réseaux à

la sous-interface.

15 Entrez l'adresse IP.


16 Entrez la longueur de préfixe de sous-réseau.


VMware, Inc. 130

17 Modifiez la valeur de MTU pour la sous-interface au besoin.

La valeur de MTU par défaut pour la sous-interface est de 1 500. La valeur de MTU pour la sous-interface doit être égale ou inférieure à la valeur de MTU la plus basse parmi les interfaces de jonction du dispositif NSX Edge.

18 Activez l'option Envoyer Rediriger (Send Redirect) pour acheminer les informations de routage aux hôtes.

19 Activez ou désactivez l'option Inverser le filtre des chemins (Reverse Path Filter).

Le filtre de chemin inverse vérifie l'accessibilité de l'adresse source dans les paquets transférés. En mode activé, le paquet doit être reçu sur l'interface que le routeur peut utiliser pour transférer le paquet de retour. En mode Loose, l'adresse source doit apparaître sur la table de routage.

20 Pour revenir aux paramètres d'interface de jonction, cliquez sur OK.

21 Si vous utilisez NSX Data Center 6.4.4 ou version ultérieure, cliquez sur l'onglet Avancé (Advanced) pour continuer avec les autres étapes de cette procédure.

22 Entrez l'adresse MAC de l'interface, si nécessaire. Entrez deux adresses MAC, si HA est activé pour la passerelle ESG.

Si non requis, les adresses MAC sont générées automatiquement.

23 Modifiez la valeur de MTU pour l'interface de jonction, si nécessaire.

La valeur de MTU par défaut pour une interface de jonction est 1 600 et la valeur de MTU par défaut pour une sous-interface est 1 500. La valeur de MTU de l'interface de jonction doit être égale ou supérieure à la valeur de MTU de la sous-interface.


Résultats

Vous pouvez désormais utiliser la sous-interface pour les services Edge.

Étape suivante

Configurez une jonction VLAN si la sous-interface ajoutée à une vNIC de jonction est sauvegardée par un groupe de ports standard. Reportez-vous à la section Configurer une jonction VLAN .

Configurer une jonction VLAN

Lorsque vous ajoutez des sous-interfaces sur la carte réseau virtuelle de jonction d'un dispositif Edge connecté à un groupe de ports distribués, les jonctions VLAN et VXLAN sont prises en charge. Lorsque vous ajoutez des sous-interfaces sur la carte réseau virtuelle de jonction d'un dispositif Edge connecté à un groupe de ports standard, seules les jonctions VLAN sont prises en charge.


VMware, Inc. 131


Vérifiez qu'une sous-interface avec une vNIC de jonction sauvegardée par un groupe de ports standard est disponible. Reportez-vous à la section Ajouter une sous-interface.

Procédure

1 Connectez-vous à vCenter Web Client.

2 Cliquez sur Mise en réseau (Networking).

3 Sélectionnez le groupe de ports standard et cliquez sur Modifier les paramètres (Edit Settings).

4 Cliquez sur l'onglet VLAN.

5 Dans Type de VLAN, sélectionnez Jonction VLAN et tapez les ID de VLAN à relier.

6 Cliquez sur OK.

Modifier la configuration de la règle automatique

Si la génération automatique de règles est activée, NSX Edge ajoute un pare-feu, une NAT (traduction d'adresses réseau) et des itinéraires de routage pour permettre au trafic de contrôle de ces services de passer. Si la génération automatique de règles n'est pas activée, vous devez ajouter manuellement une configuration de pare-feu, de NAT et de routage afin d'autoriser le trafic du canal de contrôle pour les services NSX Edge tels que l'équilibrage de charge, le VPN, etc.

Procédure



3 Sélectionnez un dispositif NSX Edge.

4 Cliquez sur Actions > Modifier la configuration de la règle automatique (Change Auto Rule Configuration).

5 Effectuez les modifications appropriées et cliquez sur OK.

Modifier les informations d'identification de l'interface de ligne de commande

Vous pouvez modifier les informations d'identification à utiliser pour se connecter à l'interface de ligne de commande de NSX Edge.

Procédure



VMware, Inc. 132


3 Sélectionnez un dispositif NSX Edge.

4 Cliquez sur Actions > Modifier les informations d'identification CLI (Change CLI Credentials).

5 Entrez et confirmez le nouveau mot de passe, puis cliquez sur OK.

À propos de la haute disponibilité

High Availability (HA) garantit que les services fournis par les dispositifs NSX Edge sont disponibles même lorsqu'une défaillance matérielle ou logicielle rend un dispositif non disponible. NSX Edge HA limite le temps d'interruption de basculement au lieu de n'en fournir aucun, car le basculement entre les dispositifs peut nécessiter le redémarrage de certains services.

Par exemple, NSX Edge HA synchronise le dispositif de suivi de connexion du pare-feu avec état ou les informations avec état détenues par l'équilibrage de charge. Le temps requis pour la sauvegarde de tous les services n'est pas nul. Des exemples d'impacts connus de redémarrage de service incluent un temps d'interruption non nul avec un routage dynamique lorsqu'un dispositif NSX Edge fonctionne en tant que routeur.

Parfois, les deux dispositifs NSX Edge HA ne peuvent pas communiquer et ils décident unilatéralement de s'activer. Ce comportement est censé maintenir la disponibilité des services NSX Edge actifs si le dispositif NSX Edge en veille n'est pas disponible. Si l'autre dispositif existe toujours, lorsque la communication est rétablie, les deux dispositifs NSX Edge HA renégocient l'état actif et en veille. Si cette négociation ne se termine pas et si les deux dispositifs déclarent qu'ils sont actifs lorsque la connectivité est rétablie, un comportement inattendu est observé. Cette condition, connue sous le nom Split-brain, est observée en raison des conditions environnementales suivantes :

n Problèmes de connectivité du réseau physique, notamment une partition de réseau.

n Contention de CPU ou de mémoire sur le dispositif NSX Edge.

n Problèmes de stockage éphémères pouvant entraîner la non-disponibilité d'au moins une VM NSX Edge HA.

Par exemple, une amélioration de la stabilité de NSX Edge HA et des performances est observée lorsque les VM sont déplacées à partir d'un stockage surprovisionné. En particulier, lors d'importantes sauvegardes nocturnes, de grands pics dans la latence de stockage peuvent affecter la stabilité de NSX Edge HA.

n Congestion sur l'adaptateur réseau physique ou virtuel impliqué dans l'échange de paquets.

En plus des problèmes environnementaux, une condition Split-brain est observée lorsque le moteur de configuration HA passe dans un mauvais état ou lorsque le démon HA échoue.


VMware, Inc. 133

Haute disponibilité avec état

Le dispositif NSX Edge principal est dans l'état actif et le dispositif secondaire est dans l'état de veille. NSX Manager réplique la configuration du dispositif principal pour le dispositif en veille ou vous pouvez ajouter manuellement deux dispositifs. Créez le dispositif principal et le dispositif secondaire sur des banques de données et des pools de ressources distincts. Si vous créez le dispositif principal et le dispositif secondaire sur la même banque de données, celle-ci doit être partagée entre tous les hôtes du cluster pour que la paire de dispositifs HA soit déployée sur des hôtes ESXi différents. Si la banque de données est un stockage local, les deux machines virtuelles sont déployées sur le même hôte.

Tous les services NSX Edge s'exécutent sur le dispositif actif. Le dispositif principal maintient un signal de pulsation avec le dispositif en veille et envoie les mises à jour du service via une interface interne.

Si le dispositif principal n'émet pas de signal de pulsation dans l'intervalle de temps spécifié (la valeur par défaut est 15 secondes), le dispositif principal est déclaré inactif. Le dispositif en veille passe à l'état actif, reprend la configuration d'interface du dispositif principal et démarre les services NSX Edge qui étaient en cours d'exécution sur le dispositif principal. Au moment de la commutation, un événement système s'affiche dans l'onglet Événements système (System Events) de la fenêtre Paramètres et rapports. Étant donné que les services Équilibrage de charge et VPN doivent rétablir la connexion TCP avec NSX Edge, le service est brièvement perturbé. Les connexions de commutateur logique et les sessions de pare-feu sont synchronisées entre les dispositifs principaux et en veille. Toutefois, le service est interrompu au moment du basculement lorsque le dispositif en veille s'active et prend le relais.

Si le dispositif NSX Edge échoue et si un mauvais état est signalé, HA force la synchronisation du dispositif qui a échoué pour le relancer. Une fois celui-ci relancé, HA se charge de configurer le dispositif désormais actif et reste à l'état de veille. Si le dispositif NSX Edge est inactif, vous devez le supprimer et en ajouter un nouveau.

NSX Edge fait en sorte que les deux machines virtuelles NSX Edge HA ne se trouvent pas sur le même hôte ESXi, même après que vous avez utilisé DRS et vMotion (sauf si vous les migrez manuellement avec vMotion sur le même hôte). Deux machines virtuelles sont déployées sur vCenter dans le même pool de ressources et la même banque de données que le dispositif que vous avez configuré. Des adresses IP de liens locaux sont attribuées aux machines virtuelles HA dans NSX Edge HA pour que ces dernières puissent communiquer. Vous pouvez indiquer des adresses IP de gestion pour remplacer les liens locaux.

Si des serveurs Syslog sont configurés, les journaux sur le dispositif actif sont envoyés aux serveurs Syslog.


VMware, Inc. 134

Haute disponibilité dans un environnement cross-vCenter NSX

Si vous activez la haute disponibilité sur un dispositif NSX Edge dans un environnement cross-vCenter NSX, les dispositifs NSX Edge Appliance actifs et en veille doivent résider sur le même serveur vCenter Server. Si vous migrez un des dispositifs d'une paire NSX Edge HA vers un serveur vCenter Server différent, les deux dispositifs HA ne fonctionnent plus comme une paire HA, et vous pouvez rencontrer une interruption du trafic.

vSphere High Availability

NSX Edge HA est compatible avec vSphere HA. Si l'hôte exécutant une instance de NSX Edge devient inactif, le dispositif NSX Edge est relancé sur l'hôte en veille, garantissant ainsi la disponibilité de la paire NSX Edge HA pour permettre un autre basculement.

Si vSphere HA n'est pas activé, la paire NSX Edge HA en veille active survivra à un basculement. Cependant, si un autre basculement se produit avant la restauration de la seconde paire HA, la disponibilité de NSX Edge peut être compromise.

Pour plus d'informations sur vSphere HA, reportez-vous à Disponibilité vSphere.

Modifier la configuration High Availability

Vous pouvez modifier la configuration HA spécifiée lors de l'installation de NSX Edge.

Note Dans NSX 6.2.3 et versions ultérieures, l'activation de la haute disponibilité sur un dispositif Edge existant échoue lorsque des ressources suffisantes ne peuvent pas être réservées pour la seconde VM de dispositif Edge. La configuration reviendra à la dernière configuration correcte connue.

Procédure





VMware, Inc. 135

4 Accédez aux paramètres de configuration HA du dispositif Edge.

Version Procédure

NSX 6.4.4 et versions ultérieures a Cliquez sur Gérer (Manage) > Paramètres (Settings) > Haute disponibilité (High Availability).

b Suivez la procédure.

n Pour modifier les paramètres de configuration HA, en regard de Configuration de haute disponibilité, cliquez sur Modifier (Edit).

n Pour modifier les paramètres d'interface HA de gestion d'un dispositif DLR, en regard d'Interface de gestion/haute disponibilité, cliquez sur Modifier (Edit).


b Suivez la procédure :

n Pour modifier les paramètres de configuration HA, accédez au volet Configuration HA (HA Configuration) et cliquez sur Modifier (Change).

n Pour modifier les paramètres d'interface HA de gestion d'un dispositif DLR, accédez au volet Configuration de l'interface HA (HA Interface Configuration) et cliquez sur Modifier (Change).

5 Modifiez les paramètres de configuration HA. Consultez les tableaux suivants pour voir une

description de toutes les options de configuration HA.

Tableau 9-5. Options communes de configuration HA

Option Description

Déclarer un temps mort Entrez la période, exprimée en secondes, au cours de laquelle si le dispositif de sauvegarde ne reçoit pas de signal de pulsation du dispositif principal, ce dernier est considéré comme étant inactif et le dispositif de sauvegarde prend le relais. L'intervalle par défaut est de 15 secondes.

Journalisation Activez ou désactivez la journalisation sur le dispositif.

Niveau de journal Sélectionnez le niveau d'informations de journalisation que vous voulez collecter pour le dispositif.


VMware, Inc. 136

Tableau 9-6. Options de configuration HA pour le dispositif NSX Edge Services Gateway

Option Description

vNIC Sélectionnez l'interface interne pour laquelle vous voulez configurer des paramètres HA.

Si vous sélectionnez TOUTES pour l'interface, mais qu'aucune interface interne n'est configurée, l'interface utilisateur affiche une erreur. Deux dispositifs Edge sont créés, mais du fait qu'aucune interface interne n'est configurée, le nouveau dispositif NSX Edge reste en veille et HA est désactivée. Une fois une interface interne configurée, HA est activée sur le dispositif NSX Edge.

Adresses IP de gestion Facultatif : vous pouvez entrer deux adresses IP de gestion au format CIDR pour remplacer les adresses IP de liens locaux attribuées aux machines virtuelles HA. Assurez-vous que les adresses IP de gestion ne chevauchent pas les adresses IP utilisées pour toute autre interface et n'interfèrent pas avec le routage du trafic. N'utilisez pas l'une des adresses IP de votre réseau, même si ce réseau n'est pas directement rattaché au dispositif.

Tableau 9-7. Options de configuration HA pour le dispositif DLR

Option Description

Connecté à Connectez-vous à l'interface HA d'un groupe de ports distribués ou d'un commutateur logique. Si vous utilisez cette interface comme une interface haute disponibilité uniquement, utilisez un commutateur logique. Un sous-réseau /30 est alloué à partir de la plage locale de lien 169.254.0.0/16. Il est utilisé pour fournir une adresse IP à chacun des deux dispositifs NSX Edge.

Adresse IP (disponible dans NSX Data Center for vSphere 6.4.3 ou version antérieure)

Facultatif : pour utiliser l'interface HA pour vous connecter à NSX Edge, vous pouvez définir une adresse IP et un préfixe supplémentaires pour l'interface HA.

Note Si vous configurez le VPN de niveau 2 sur ce dispositif Edge avant que HA soit activée, au moins deux interfaces internes doivent être configurées. Si une seule interface est configurée sur ce dispositif Edge déjà utilisé par VPN de niveau 2, HA est désactivée sur le dispositif Edge.


Force la synchronisation de NSX Edge avec NSX Manager

Vous pouvez envoyer une demande de synchronisation de NSX Manager à NSX Edge.


VMware, Inc. 137

Exécutez la synchronisation forcée lorsque vous voulez synchroniser la configuration Edge connue comme NSX Manager pour tous les composants.

Note Pour NSX Data Center 6.2 ou version ultérieure, la synchronisation forcée empêche la perte de données pour le routage horizontal. Toutefois, le routage et le pontage verticaux peuvent subir une interruption.

Dans NSX 6.4.3 ou version antérieure, NSX Manager effectue les actions suivantes lors de l'opération de synchronisation forcée :

n Supprime la configuration des dispositifs Edge, en commençant par Index 0, puis Index 1.

n Redémarre les dispositifs Edge. Index 0 et Index 1 sont redémarrés en même temps. Cette action entraîne une interruption de service importante.

n Publie ou applique la configuration la plus récente aux dispositifs Edge.

n Ferme la connexion à l'hôte.

n Si l'instance de NSX Manager est principale ou autonome et que le dispositif Edge est un routeur distribué logique, le cluster de contrôleurs est synchronisé.

n Envoie un message à tous les hôtes concernés pour synchroniser l'instance de routeur distribué.

À partir de NSX 6.4.4, NSX Manager effectue les actions suivantes lors de l'opération de synchronisation forcée :

n Si les dispositifs Edge sont dans un état défectueux, NSX Manager supprime la configuration Edge, redémarre les dispositifs Edge défectueux et publie la configuration la plus récente sur les dispositifs Edge.

n Si les dispositifs Edge ne sont pas dans un état défectueux, NSX Manager ne redémarre pas les dispositifs Edge et publie directement la configuration la plus récente sur les dispositifs Edge. En éliminant le redémarrage inutile des dispositifs Edge, l'interruption de service est réduite.

n Ferme la connexion à l'hôte.

n Si l'instance de NSX Manager est principale ou autonome et que le dispositif Edge est un routeur distribué logique, le cluster de contrôleurs est synchronisé.

n Envoie un message à tous les hôtes concernés pour synchroniser l'instance de routeur distribué.

Important Dans un environnement cross-vCenter NSX, vous devez d'abord exécuter la synchronisation forcée sur une instance de NSX Edge sur l'instance principale de NSX Manager. Lorsque cette opération est terminée, forcez la synchronisation de l'instance de NSX Edge sur les instances secondaires de NSX Manager.

Procédure



VMware, Inc. 138


3 Sélectionnez une instance de NSX Edge.

4 Cliquez sur Actions ( ) et sélectionnez Forcer la synchronisation (Force Sync).

Configurer les serveurs Syslog pour NSX Edge

Vous pouvez configurer un ou deux serveurs syslog distants. Les événements et les journaux NSX Edge associés aux événements du pare-feu qui circulent à partir des dispositifs NSX Edge sont envoyés aux serveurs syslog.

Procédure




4 Naviguez pour configurer les paramètres du serveur Syslog.

Version Procédure

NSX 6.4.4 et versions ultérieures a Cliquez sur Gérer (Manage) > Paramètres (Settings) > Paramètres du dispositif (Appliance Settings).

b En regard de Configuration, cliquez sur , puis cliquez sur Modifier la configuration Syslog (Change Syslog Configuration).


b Dans le volet Détails (Details), en regard de Serveurs Syslog, cliquez sur Modifier (Change).

5 Entrez une adresse IP pour les deux serveurs syslog distants.

6 Sélectionnez un protocole et cliquez sur OK.

Afficher l'état des services NSX Edge

Vous pouvez afficher l'état de tous les services sur le dispositif NSX Edge depuis un emplacement unique et actualiser la fenêtre pour vérifier l'état à tout moment.

Procédure





VMware, Inc. 139

4 Naviguez pour afficher l'état de tous les services Edge.

Version Procédure

NSX 6.4.4 et versions ultérieures Cliquez sur Gérer (Manage) > Paramètres (Settings) > Services.


b Affichez le volet Services pour voir l'état de tous les services Edge.

Redéploiement de NSX Edge

Si les services NSX Edge ne fonctionnent pas comme prévu après un force sync, vous pouvez redéployer l'instance NSX Edge.

Note Le redéploiement est une action perturbatrice. Commencez par appliquer une synchronisation forcée et vérifiez si le problème est résolu. Il est conseillé de télécharger le bundle de support technique pour le dispositif Edge et de résoudre le problème. Si le problème n'est toujours pas résolu, redéployez.

Le redéploiement d'une instance de NSX Edge a les effets suivants :

n Les dispositifs Edge sont supprimés, puis déployés avec la configuration la plus récente.

n Les routeurs logiques sont supprimés du contrôleur, puis recréés avec la configuration la plus récente.

n Les instances de routeur logique distribué situées sur les hôtes sont supprimées, puis recréées avec la configuration la plus récente.

Les contiguïtés OSPF sont retirées lors du redéploiement si un redémarrage normal n'est pas activé.

Les bonnes pratiques suivantes peuvent vous aider à empêcher la perte de trafic lors du redéploiement de dispositifs Edge :

n Activer le redémarrage normal lorsque les temporisateurs OSPF ou BGP sont volumineux et que High Availability (HA) est activé sur les deux routeurs logiques distribués (DLR) et les passerelles Edge Services Gateway (ESG).

n Utilisez des valeurs de temporisateurs OSPF ou BGP agressives et des routes statiques flottantes lorsqu'un DLR dans HA est lié à plusieurs passerelles ESG (ECMP).

Important Dans un environnement cross-vCenter NSX, vous devez d'abord démarrer l'instance de NSX Edge sur le NSX Manager principal. Lorsque cette opération est terminée, redéployez l'instance de NSX Edge sur les instances secondaires de NSX Manager. Il faut que les instances de NSX Edge sur les dispositifs principaux et secondaires de NSX Manager soient redéployées.


VMware, Inc. 140


n Vérifiez que les hôtes disposent de ressources suffisantes pour déployer des dispositifs NSX Edge Services Gateway supplémentaires lors du redéploiement. Reportez-vous à la section Chapitre 1 Configuration système requise pour NSX Data Center for vSphere pour voir les ressources requises pour la taille de chaque dispositif NSX Edge.

n Pour une instance unique de NSX Edge, deux dispositifs NSX Edge de la bonne taille ont l'état poweredOn lors du redéploiement.

n Pour une instance de NSX Edge avec la haute disponibilité activée, les deux dispositifs de remplacement sont déployés avant le remplacement des anciens dispositifs. Cela signifie que quatre dispositifs NSX Edge de la bonne taille ont l'état poweredOn lors de la mise à niveau d'un dispositif NSX Edge donné. Une fois l'instance de NSX Edge redéployée, un dispositif HA peut devenir actif.

n Vérifiez que les clusters d'hôtes répertoriés dans l'emplacement configuré et l'emplacement en direct pour les dispositifs NSX Edge que vous redéployez sont préparés pour NSX et que l'état de leur infrastructure de messagerie est GREEN.

Vérifiez que les clusters d'hôtes répertoriés dans l'emplacement configuré et l'emplacement en direct pour tous les dispositifs NSX Edge sont préparés pour NSX et que l'état de leur infrastructure de messagerie est GREEN. Si l'état est vert, les hôtes utilisent l'infrastructure de

messagerie pour communiquer avec NSX Manager au lieu de VIX.

Si l'emplacement configuré n'est pas disponible, par exemple, car le cluster a été supprimé depuis la création du dispositif NSX Edge, vérifiez uniquement l'emplacement en direct.

n Obtenez l'identifiant de l'emplacement d'origine configuré (configuredResourcePool > id) et de l'emplacement en direct actuel (resourcePoolId) avec la demande d'API GET https://NSX-Manager-IP-Address/api/4.0/edges/{edgeId}/appliances.

n Trouvez l'état de préparation de l'hôte et l'état de l'infrastructure de messagerie de ces clusters avec la demande d'API GET https://NSX-Manager-IP-Address/api/2.0/nwfabric/status?resource={resourceId}, où resourceId correspond à l'ID des

emplacements configuré et en direct des dispositifs NSX Edge trouvés précédemment.

n Recherchez l'état correspondant à l'identifiant featureId de com.vmware.vshield.vsm.nwfabric.hostPrep dans le texte de la réponse. L'état

doit être GREEN.

<nwFabricFeatureStatus> <featureId>com.vmware.vshield.vsm.nwfabric.hostPrep</featureId> <featureVersion>6.3.1.5124716</featureVersion> <updateAvailable>false</updateAvailable> <status>GREEN</status> <installed>true</installed> <enabled>true</enabled> <allowConfiguration>false</allowConfiguration></nwFabricFeatureStatus>


VMware, Inc. 141

n Recherchez l'état correspondant à l'identifiant featureId de com.vmware.vshield.vsm.messagingInfra dans le texte de la réponse. L'état doit

être GREEN.

<nwFabricFeatureStatus> <featureId>com.vmware.vshield.vsm.messagingInfra</featureId> <updateAvailable>false</updateAvailable <status>GREEN</status> <installed>true</installed> <enabled>true</enabled> <allowConfiguration>false</allowConfiguration></nwFabricFeatureStatus>

Si les hôtes ne sont pas préparés pour NSX, procédez comme suit :

n Accédez à Installation et mise à niveau (Installation and Upgrade) > Préparation de l'hôte (Host Preparation) et préparez les hôtes pour NSX.

n Vérifiez que l'infrastructure de messagerie est GREEN.

n Redéployez les dispositifs NSX Edge sur l'hôte.

Procédure




4 Cliquez sur Actions > Redéployer (Redeploy).

Il est conseillé de télécharger le bundle de support technique pour le dispositif Edge et de résoudre le problème. Si le problème persiste, redéployez le dispositif Edge.


VMware, Inc. 142

Résultats

La machine virtuelle NSX Edge est remplacée par une nouvelle machine virtuelle et tous les services sont restaurés. En cas d'échec du redéploiement, mettez hors tension la machine virtuelle NSX Edge et redéployez à nouveau NSX Edge.

Note Le redéploiement peut ne pas fonctionner dans les cas suivants.

n Le pool de ressources sur lequel NSX Edge a été installé n'est plus dans l'inventaire vCenter ou son MOID (identifiant dans vCenter Server) a changé.

n La banque de données sur laquelle NSX Edge a été installé est corrompue/démontée ou est inaccessible.

n Les dvportGroups sur lesquels les interfaces NSX Edge ont été connectées ne sont plus dans l'inventaire vCenter ou leur MOID (identifiant dans vCenter Server) a changé.

Si l'un des cas ci-dessus est vrai, vous devez mettre à jour le MOID du pool de ressources, de la banque de données ou de dvPortGroup à l'aide d'un appel REST API. Reportez-vous à la section Guide de NSX API.

Si le mode FIPS est activé sur NSX Edge et qu'un problème survient, NSX Manager n'autorise pas le redéploiement du dispositif NSX Edge. Vous devez résoudre les problèmes d'infrastructure pour les échecs de communication au lieu de redéployer le dispositif Edge.

Télécharger les journaux du support technique de NSX Edge

Vous pouvez télécharger les journaux du support technique pour chaque instance NSX Edge. Si la haute disponibilité est activée pour l'instance NSX Edge, les journaux du support des deux machines virtuelles NSX Edge sont téléchargés. Vous pouvez également collecter les données de bundle de support pour NSX Edge à l'aide de l'outil de collecte Bundle de support (Support Bundle). Pour plus de détails, consultez le Guide d'administration de NSX.

Procédure




4 Cliquez sur Actions > Télécharger les journaux de support technique (Download Tech Support Logs).

5 Après avoir généré les journaux du support technique, cliquez sur Télécharger (Download).

Ajouter une route statique

Vous pouvez ajouter un itinéraire statique pour un sous-réseau ou un hôte de destination.


VMware, Inc. 143

Procédure

1 Dans vSphere Client, accédez à Mise en réseau et sécurité > Dispositifs NSX Edge.

2 Cliquez sur un dispositif NSX Edge.

3 Cliquez sur Routage > Itinéraires statiques.


5 Entrez le Réseau (Network) dans la notation CIDR.

6 Entrez l'adresse IP du Tronçon suivant (Next Hop).

Le routeur doit pouvoir atteindre le tronçon suivant directement. Si ECMP est activé, vous pouvez entrer plusieurs tronçons suivants sous forme de liste d'adresses IP séparées par des virgules.

n Dans NSX 6.4.4 ou version antérieure, le tronçon suivant est obligatoire. À partir de NSX 6.4.5, le tronçon suivant est facultatif pour ESG. Vous pouvez spécifier le tronçon suivant ou l'interface. Lorsque vous spécifiez le tronçon suivant, l'interface ne peut pas être sélectionnée et inversement.

n Lorsque le trafic de multidiffusion est envoyé via une interface de tunnel GRE sur la passerelle ESG, vous devez spécifier l'adresse IP du point de terminaison du tunnel GRE distant dans le tronçon suivant lors de la configuration des routes statiques.

n Pour le DLR et l'UDLR, le tronçon suivant est obligatoire.

7 Sélectionnez l'interface sur laquelle vous voulez ajouter une route statique.

Le menu déroulant Interface n'affiche pas les interfaces de tunnel GRE.

8 Pour MTU, modifiez la valeur de transmission maximale pour les paquets de données, si nécessaire.

Le MTU ne peut pas être supérieur au MTU défini sur l'interface de NSX Edge.

9 À l'invite, entrez la distance Admin (Admin Distance).

Choisissez une valeur comprise entre 1 et 255. La distance admin est utilisée pour choisir l'itinéraire à utiliser en cas d'itinéraires multiples pour un réseau donné. Plus la distance admin est courte, plus les préférences d'itinéraire doivent être élevées.

Tableau 9-8. Distances Admin par défaut


Connecté 0

Statique 1

BGP externe 20

OSPF intrazone 30


VMware, Inc. 144

Tableau 9-8. Distances Admin par défaut (suite)


OSPF interzone 110

BGP interne 200

Avec une distance administrative de 255, la route statique est exclue de la table de routage (RIB) et du plan de données. Elle n'est par conséquent pas utilisée.

10 (Facultatif) Entrez l'ID de paramètres régionaux (Locale ID).

Par défaut, les itinéraires ont les mêmes ID de paramètres régionaux que l'instance de NSX Manager. L'ID de paramètres régionaux spécifié ici associe l'itinéraire à cet ID de paramètres régionaux. Ces itinéraires ne sont envoyés qu'aux hôtes dont l'ID de paramètres régionaux correspond. Pour plus d'informations, reportez-vous à Topologies de Cross-vCenter NSX.

11 (Facultatif) Entrez une description pour l'itinéraire statique.

12 Cliquez sur OK.

Configurer le protocole OSPF sur un routeur logique (distribué) universel

La configuration d'un protocole OSPF sur un routeur logique permet d'activer la connectivité d'une machine virtuelle entre les routeurs logiques ainsi qu'entre les routeurs logiques et les passerelles ESG (Edge Services Gateway).

Les stratégies de routage OSPF mettent en œuvre un processus dynamique d'équilibrage de charge du trafic entre des itinéraires à coût égal.

Un réseau OSPF est divisé en zones de routage afin d'optimiser le flux de trafic et de limiter la taille des tables de routage. Une zone est une collection logique de réseaux, de routeurs et de liaisons OSPF qui disposent tous de la même identification de zone.

Les zones sont identifiées par un ID de zone.


L'ID du routeur doit être configuré comme décrit dans Protocole OSPF configuré sur le routeur (distribué) logique.

Lorsque vous activez un ID de routeur, la zone de texte est renseignée par défaut avec l'interface de liaison montante du routeur logique.

Procédure




VMware, Inc. 145

3 Double-cliquez sur un routeur logique.

4 Cliquez sur Gérer (Manage) > Routage (Routing) > OSPF.

5 Activez OSPF.

a En regard de Configuration d'OSPF (OSPF Configuration), cliquez sur Modifier (Edit), puis cliquez sur Activer OSPF (Enable OSPF).

b Dans Adresse de transfert (Forwarding Address), tapez une adresse IP devant être utilisée par le module du chemin d'accès aux données du routeur dans les hôtes afin de transférer des paquets de chemins d'accès aux données.

c Dans Adresse de protocole (Protocol Address), tapez une adresse IP unique au sein du même sous-réseau que l'Adresse de transfert (Forwarding Address). L'adresse du protocole est utilisée par le protocole pour former des combinaisons avec ses homologues.

d (Facultatif) Activez Redémarrage normal (Graceful Restart) pour que le transfert de paquets soit ininterrompu pendant le redémarrage des services OSPF.

6 Configurez les zones OSPF.

a (Facultatif) Supprimez la zone 51 NSSA (not-so-stubby area) configurée par défaut.///

b Dans Définitions de zone (Area Definitions), cliquez sur Ajouter (Add).

c Entrez un ID de zone. NSX Edge prend en charge un ID de zone sous la forme d'un nombre décimal. Les valeurs valides sont comprises entre 0 et 4294967295.

d Dans Type, sélectionnez Normal ou NSSA.

Les NSSA empêchent la saturation des annonces d'états de liens externes à l'AS (LSA) dans les NSSA. Elles reposent sur du routage par défaut vers des destinations externes. En conséquence, les NSSA doivent être placées en périphérie d'un domaine de routage OSPF. Une NSSA peut importer des itinéraires externes dans le domaine de routage OSPF, ce qui leur permet de fournir un service de transit à de petits domaines de routage ne faisant pas partie du domaine de routage OSPF.

7 (Facultatif) Sélectionnez le type d'authentification (Authentication). OSPF effectue une authentification au niveau de la zone.

Tous les routeurs de la zone doivent avoir la même authentification et le mot de passe correspondant configuré. Pour garantir le fonctionnement de l'authentification MD5, les routeurs de réception et de transmission doivent avoir la même clé MD5.

a Aucune (None) : aucune authentification n'est requise (valeur par défaut).

b Mot de passe (Password) : dans cette méthode d'authentification, un mot de passe est inclus dans le paquet transmis.


VMware, Inc. 146

c MD5 : Cette méthode d'authentification utilise le chiffrement MD5 (Message Digest type 5). Un total de contrôle MD5 est inclus dans le paquet transmis.

d Dans Mot de passe (Password) ou le type d'authentificationMD5, tapez le mot de passe ou la clé MD5.

Important n Si NSX Edge est configuré pour la haute disponibilité avec le redémarrage normal

d'OSPF activé et que MD5 est utilisé pour l’authentification, OSPF ne parvient pas à redémarrer normalement. Des contiguïtés sont formées uniquement après l’expiration du délai de grâce sur les nœuds auxiliaires d'OSPF.

n Vous ne pouvez pas configurer l'authentification MD5 lorsque le mode FIPS est activé.

n NSX Data Center for vSphere utilise toujours une valeur d'ID de clé égale à 1. Tout dispositif non géré par NSX Data Center for vSphere homologue avec une passerelle Edge Services Gateway ou un routeur logique distribué doit être configuré pour utiliser un ID de clé de valeur 1 lorsque l’authentification MD5 est utilisée. Sinon, une session OSPF ne peut pas être établie.

8 Mappez des interfaces sur les zones.

a Dans Zone de mappage d'interface (Area to Interface Mapping), cliquez sur Ajouter (Add) pour mapper l'interface appartenant sur la zone OSPF.

b Sélectionnez l'interface que vous souhaitez mapper et la zone OSPF sur laquelle vous souhaitez la mapper.

9 (Facultatif) Modifiez les paramètres OSPF par défaut.

Dans la plupart des cas, il est recommandé de conserver les paramètres OSPF par défaut. Si vous modifiez les paramètres, assurez-vous que les homologues OSPF ont les mêmes paramètres.

a Intervalle de salutation (Hello Interval) affiche l'intervalle par défaut entre les paquets de salutation qui sont envoyés sur l'interface.

b Intervalle d'inactivité (Dead Interval) affiche l'intervalle par défaut pendant lequel au moins un paquet de salutation doit être reçu d'un voisin avant que le routeur ne déclare ce voisin inactif.

c Priorité (Priority) affiche la priorité par défaut de l'interface. L'interface disposant de la priorité la plus élevée est le routeur désigné.

d Coût (Cost) d'une interface affiche la charge supplémentaire par défaut requise pour envoyer des paquets sur cette interface. Le coût d'une interface est inversement proportionnel à la bande passante de cette interface. Plus la bande passante est grande, moins le coût est élevé.



VMware, Inc. 147

Exemple : Protocole OSPF configuré sur le routeur (distribué) logiqueL'illustration suivante présente un scénario NSX simple utilisant OSPF dans lequel un routeur logique (DLR) et une passerelle ESG (Edge Services Gateway) sont voisins de protocole OSPF.


VMware, Inc. 148

Figure 9-1. Topologie NSX Data Center for vSphere

172.16.20.10 172.16.10.10



Routeurlogique


Commutateur logique

Web

AppVM

WebVM


Commutateur logique

de transit


EdgeServicesGateway


VMware, Inc. 149

Sur la page Configuration globale, les paramètres de configuration sont les suivants :

n Adresse IP de la passerelle (Gateway IP) : 192.168.10.1. La passerelle par défaut du routeur logique est l'adresse IP de l'interface interne de l'ESG (192.168.10.1).

n ID de routeur (Router ID) : 192.168.10.2. L'ID de routeur est l'interface de liaison montante du routeur logique. En d'autres termes, l'adresse IP qui fait face à la passerelle ESG.

Sur la page Configuration d'OSPF, les paramètres de configuration sont les suivants :

n Adresse de transfert (Forwarding Address) : 192.168.10.2

n Adresse de protocole (Protocol Address) : 192.168.10.3. L'adresse de protocole peut être n'importe quelle adresse IP se trouvant sur le même sous-réseau et qui n'est utilisée nulle part ailleurs. Dans le cas présent, 192.168.10.3 est configuré.

n Définition de zone (Area Definition) :

n ID de zone : 0

n Type : normal

n Authentification : aucune

L'interface de liaison montante (l'interface faisant face à la passerelle ESG) est mappée à la zone, comme suit :

n Interface : vers ESG

n ID de zone : 0

n Intervalle de salutation (en secondes) : 10

n Intervalle d'inactivité (en secondes) : 40

n Priorité : 128

n Coût : 1

Étape suivante

Vérifiez que la redistribution d'itinéraire et la configuration du pare-feu permettent l'annonce d'itinéraires corrects.

Dans cet exemple, les itinéraires connectés du routeur logique (172.16.10.0/24 et 172.16.20.0/24) sont annoncés dans OSPF. Pour vérifier les itinéraires redistribués, dans le panneau de navigation de gauche, cliquez sur Redistribution d'itinéraire (Route Redistribution) et vérifiez les paramètres suivants :

n Statut de redistribution d'itinéraire (Route Redistribution Status) montre qu'OSPF est activé.

n Table de redistribution d'itinéraire (Route Redistribution Table) montre ce qui suit :

n Apprenant : OSPF

n De : connecté

n Préfixe : quelconque


VMware, Inc. 150

n Action : autoriser

Si vous avez activé SSH quand vous avez créé le routeur logique, vous devez également configurer un filtre de pare-feu autorisant l'accès SSH à l'adresse du protocole du routeur logique. Par exemple, vous pouvez créer une règle de filtre de pare-feu avec les paramètres suivants :

n Nom : ssh

n Type : utilisateur

n Source : quelconque

n Destination : adresse de protocole avec la valeur : 192.168.10.3

n Service : SSH

Configurer un protocole OSPF sur une passerelle Edge Services Gateway

La configuration d'un protocole OSPF sur une passerelle ESG (Edge Services Gateway) active l'apprentissage et l'annonce d'itinéraires dans la passerelle ESG. L'application la plus courante du protocole OSPF sur une passerelle ESG se situe sur le lien entre la passerelle ESG et un routeur (distribué) logique. Cela permet à la passerelle ESG d'enregistrer des informations sur les interfaces logiques (LIF) connectées au routeur logique. Cet objectif peut être atteint avec les protocoles OSPF, IS-IS, BGP ou un routage statique.

Les stratégies de routage OSPF mettent en œuvre un processus dynamique d'équilibrage de charge du trafic entre des itinéraires à coût égal.

Un réseau OSPF est divisé en zones de routage afin d'optimiser le flux de trafic et de limiter la taille des tables de routage. Une zone est une collection logique de réseaux, de routeurs et de liaisons OSPF qui disposent tous de la même identification de zone.

Les zones sont identifiées par un ID de zone.


L'ID du routeur doit être configuré comme décrit dans Protocole OSPF configuré sur la passerelle Edge Services Gateway.

Lorsque vous activez un ID de routeur, la zone de texte est renseignée par défaut avec l'adresse IP de l'interface de liaison montante de la passerelle ESG.

Procédure



3 Double-cliquez sur une passerelle ESG.

4 Cliquez sur Gérer (Manage) > Routage (Routing) > OSPF.


VMware, Inc. 151

5 Activez OSPF.

a En regard de Configuration d'OSPF (OSPF Configuration), cliquez sur Modifier (Edit), puis cliquez sur Activer OSPF (Enable OSPF).

b (Facultatif) Cliquez sur Activer le redémarrage normal (Enable Graceful Restart) pour que le transfert de paquets soit ininterrompu pendant le redémarrage des services OSPF.

c (Facultatif) Cliquez sur Activer la provenance par défaut (Enable Default Originate) pour autoriser la passerelle ESG à s'annoncer en tant que passerelle par défaut à ses homologues.

6 Configurez les zones OSPF.

a (Facultatif) Supprimez la zone 51 NSSA (not-so-stubby area) configurée par défaut.///

b Dans Définitions de zone (Area Definitions), cliquez sur Ajouter (Add).

c Entrez un ID de zone. NSX Edge prend en charge un ID de zone sous la forme d'un nombre décimal. Les valeurs valides sont comprises entre 0 et 4294967295.

d Dans Type, sélectionnez Normal ou NSSA.

Les NSSA empêchent la saturation des annonces d'états de liens externes à l'AS (LSA) dans les NSSA. Elles reposent sur du routage par défaut vers des destinations externes. En conséquence, les NSSA doivent être placées en périphérie d'un domaine de routage OSPF. Une NSSA peut importer des itinéraires externes dans le domaine de routage OSPF, ce qui leur permet de fournir un service de transit à de petits domaines de routage ne faisant pas partie du domaine de routage OSPF.

7 (Facultatif) Lorsque vous sélectionnez le type de zone NSSA, Rôle Traducteur NSSA (NSSA Translator Role) s'affiche. Cochez la case Toujours (Always) pour traduire des LSA de type 7 en LSA de type 5. Tous les LSA de type 7 sont traduits en LSA de type 5 par la NSSA.

8 (Facultatif) Sélectionnez le type d'authentification (Authentication). OSPF effectue une authentification au niveau de la zone.

Tous les routeurs de la zone doivent avoir la même authentification et le mot de passe correspondant configuré. Pour garantir le fonctionnement de l'authentification MD5, les routeurs de réception et de transmission doivent avoir la même clé MD5.

a Aucune (None) : aucune authentification n'est requise (valeur par défaut).

b Mot de passe (Password) : dans cette méthode d'authentification, un mot de passe est inclus dans le paquet transmis.


VMware, Inc. 152

c MD5 : Cette méthode d'authentification utilise le chiffrement MD5 (Message Digest type 5). Un total de contrôle MD5 est inclus dans le paquet transmis.

d Dans Mot de passe (Password) ou le type d'authentification MD5, entrez le mot de passe ou la clé MD5.

Important n Si NSX Edge est configuré pour la haute disponibilité avec le redémarrage normal d'OSPF

activé et que MD5 est utilisé pour l’authentification, OSPF ne parvient pas à redémarrer normalement. Des contiguïtés sont formées uniquement après l’expiration du délai de grâce sur les nœuds auxiliaires d'OSPF.

n Vous ne pouvez pas configurer l'authentification MD5 lorsque le mode FIPS est activé.

n NSX Data Center for vSphere utilise toujours une valeur d'ID de clé égale à 1. Tout dispositif non géré par NSX Data Center for vSphere homologue avec une passerelle Edge Services Gateway ou un routeur logique distribué doit être configuré pour utiliser un ID de clé de valeur 1 lorsque l’authentification MD5 est utilisée. Sinon, une session OSPF ne peut pas être établie.

9 Mappez des interfaces sur les zones.

a Dans Zone de mappage d'interface (Area to Interface Mapping), cliquez sur Ajouter (Add) pour mapper l'interface appartenant sur la zone OSPF.

b Sélectionnez l'interface que vous souhaitez mapper et la zone OSPF sur laquelle vous souhaitez la mapper.

10 (Facultatif) Modifiez les paramètres OSPF par défaut.

Dans la plupart des cas, il est préférable de conserver les paramètres OSPF par défaut. Si vous modifiez les paramètres, assurez-vous que les homologues OSPF ont les mêmes paramètres.

a Intervalle de salutation (Hello Interval) affiche l'intervalle par défaut entre les paquets de salutation qui sont envoyés sur l'interface.

b Intervalle d'inactivité (Dead Interval) affiche l'intervalle par défaut pendant lequel au moins un paquet de salutation doit être reçu d'un voisin avant que le routeur ne déclare ce voisin inactif.

c Priorité (Priority) affiche la priorité par défaut de l'interface. L'interface disposant de la priorité la plus élevée est le routeur désigné.

d Coût (Cost) d'une interface affiche la charge supplémentaire par défaut requise pour envoyer des paquets sur cette interface. Le coût d'une interface est inversement proportionnel à la bande passante de cette interface. Plus la bande passante est grande, moins le coût est élevé.


12 Vérifiez que la redistribution d'itinéraire et la configuration du pare-feu permettent l'annonce d'itinéraires corrects.


VMware, Inc. 153

Exemple : Protocole OSPF configuré sur la passerelle Edge Services GatewayL'illustration suivante présente un scénario NSX simple utilisant OSPF dans lequel un routeur logique et une passerelle Edge Services Gateway sont voisins OSPF.

La passerelle ESG peut être connectée à l'extérieur via un pont, un routeur physique, ou via un groupe de ports de liaison montante sur un commutateur distribué vSphere, comme indiqué dans la figure suivante.


VMware, Inc. 154

Figure 9-2. Topologie NSX Data Center for vSphere

Architecture physique

172.16.20.10 172.16.10.10



Routeurlogique


Commutateur logique

Web

AppVM

WebVM


Commutateur logique de

transit


EdgeServicesGateway


vSphereDistributed

Switch


VMware, Inc. 155

Sur la page Configuration globale, les paramètres de configuration sont les suivants :

n vNIC : liaison montante

n Adresse IP de la passerelle (Gateway IP) : 192.168.100.1. La passerelle par défaut de la passerelle ESG est l'interface de liaison montante de l'ESG à son homologue externe.

n ID de routeur (Router ID) : 192.168.100.3. L'ID de routeur est l'interface de liaison montante de la passerelle ESG. En d'autres termes, l'adresse IP qui fait face à son homologue externe.

Sur la page Configuration d'OSPF, les paramètres de configuration sont les suivants :

n Définition de zone (Area Definition) :

n ID de zone : 0

n Type : normal

n Authentification : aucune

L'interface interne (l'interface faisant face au routeur logique) est mappée à la zone, comme suit :

n vNIC : interne

n ID de zone : 0

n Intervalle de salutation (en secondes) : 10

n Intervalle d'inactivité (en secondes) : 40

n Priorité : 128

n Coût : 1

Les itinéraires connectés sont redistribués dans OSPF de sorte que le voisin OSPF (le routeur logique) peut en savoir plus sur le réseau de liaison montante de la passerelle ESG. Pour vérifier les itinéraires redistribués, dans le panneau de navigation de gauche, cliquez sur Redistribution d'itinéraire (Route Redistribution) et vérifiez les paramètres suivants :

n Statut de redistribution d'itinéraire (Route Redistribution Status) montre qu'OSPF est activé.

n Table de redistribution d'itinéraire (Route Redistribution Table) montre ce qui suit :

n Apprenant : OSPF

n De : connecté

n Préfixe : quelconque


VMware, Inc. 156

n Action : autoriser

Note OSPF peut également être configuré entre la passerelle ESG et son routeur homologue externe, mais plus généralement, ce lien utilise BGP pour l'annonce d'itinéraire.

Vérifiez que la passerelle ESG apprend les itinéraires externes PSPF auprès du routeur logique.

Pour vérifier la connectivité, assurez-vous qu'un périphérique externe situé dans l'architecture physique peut exécuter une commande ping sur les machines virtuelles.

Par exemple :

PS C:\Users\Administrator> ping 172.16.10.10

Pinging 172.16.10.10 with 32 bytes of data:Reply from 172.16.10.10: bytes=32 time=5ms TTL=61Reply from 172.16.10.10: bytes=32 time=1ms TTL=61

Ping statistics for 172.16.10.10: Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 5ms, Average = 3ms

PS C:\Users\Administrator> ping 172.16.20.10

Pinging 172.16.20.10 with 32 bytes of data:Reply from 172.16.20.10: bytes=32 time=2ms TTL=61Reply from 172.16.20.10: bytes=32 time=1ms TTL=61

Ping statistics for 172.16.20.10: Packets: Sent = 2, Received = 2, Lost = 0 (0% loss),Approximate round trip times in milli-seconds: Minimum = 1ms, Maximum = 2ms, Average = 1ms


VMware, Inc. 157

Configurer BGP

Le protocole BGP (Border Gateway Protocol) effectue des choix de routage essentiels. Il inclut une table de réseaux IP ou de préfixes qui désignent l'accessibilité réseau entre plusieurs systèmes autonomes.

Une connexion sous-jacente entre deux locuteurs BGP est établie avant tout échange d'informations de routage. Des messages de survie (keep alive) sont envoyés par les locuteurs BGP afin de maintenir cette relation active. Une fois la connexion établie, les locuteurs BGP échangent leurs itinéraires et synchronisent leurs tables.

Procédure




4 Cliquez sur Gérer (Manage) > Routage (Routing) > BGP.

5 En regard de Configuration de BGP (BGP Configuration), cliquez sur Modifier (Edit), puis cliquez sur Activer BGP (Enable BGP).

6 (Facultatif) Cliquez sur Activer le redémarrage normal (Enable Graceful Restart) pour que le transfert de paquets soit ininterrompu pendant le redémarrage des services BGP.

7 (Facultatif) Cliquez sur Activer la provenance par défaut (Enable Default Originate) pour autoriser la passerelle ESG à s'annoncer en tant que passerelle par défaut à ses homologues.

8 Dans AS local (Local AS), entrez l'ID de routeur. Les itinéraires sont annoncés lorsque BGP établit une relation homologue avec des routeurs dans d'autres systèmes autonomes (AS). Le chemin d'AS emprunté par un itinéraire est utilisé pour calculer le meilleur chemin vers une destination.

9 Dans Voisins (Neighbors), cliquez sur Ajouter (Add).

10 Spécifiez les détails de base du voisin BGP.

a Tapez l'adresse IP du voisin.

Lorsque vous configurez l'homologation BGP entre une passerelle ESG (Edge Services Gateway) et un routeur logique, utilisez l'adresse IP du protocole du routeur logique en guise d'adresse du voisin BGP de la passerelle ESG.

b (Uniquement sur un routeur logique) tapez l'adresse de transfert.

L'adresse de transfert est l'adresse IP que vous avez attribuée à l'interface du routeur logique distribué soumise à son voisin de protocole BGP (son interface de liaison montante).


VMware, Inc. 158

c (Uniquement sur un routeur logique) tapez l'adresse du protocole.

L'adresse du protocole est l'adresse IP que le routeur logique utilise pour former une relation de voisinage BGP. Il peut s'agir de n'importe quelle adresse IP du même sous-réseau que l'adresse de transfert, mais cette adresse IP ne doit pas être utilisée ailleurs. Lorsque vous configurez l'homologation BGP entre une passerelle ESG (Edge Services Gateway) et un routeur logique, utilisez l'adresse IP du protocole du routeur logique en guise d'adresse IP du voisin BGP de la passerelle ESG.

d Tapez l'AS distant.

e (Facultatif) Désactivez Supprimer l'AS privé. Par défaut, il est activé.

f Modifiez la pondération par défaut de la connexion du voisin, si nécessaire. La pondération par défaut est 60.

g Temporisateur de retenue (Hold Down Timer) affiche une valeur par défaut de 180 secondes, ce qui correspond à trois fois la valeur du temporisateur de survie. Modifiez si nécessaire.

Lorsque l'homologation BGP est réalisée entre deux voisins, le dispositif Edge NSX démarre un temporisateur de retenue. Chaque message de survie qu'il reçoit du voisin réinitialise le minuteur de retenue sur 0. Lorsque le dispositif Edge NSX ne parvient pas à recevoir trois messages de survie consécutifs de sorte que le temporisateur de retenue atteigne 180 secondes, le dispositif NSX considère que le voisin est inactif et supprime les itinéraires de ce voisin.

Note La valeur par défaut de durée de vie pour les voisins eBGP est 1 et 64 pour les voisins iBGP. Cette valeur ne peut pas être modifiée.


VMware, Inc. 159

h Le Temporisateur de survie (Keep Alive Timer) affiche la fréquence par défaut de 60 secondes à laquelle un voisin BGP envoie des messages de survie à son homologue. Modifiez si nécessaire.

i Si une authentification est requise, entrez un mot de passe d'authentification.

Le mot de passe doit contenir au moins 12 caractères et être conforme aux règles suivantes :







Chaque segment envoyé sur la connexion entre les voisins est vérifié. L'authentification MD5 doit être configurée avec le même mot de passe sur les deux voisins BGP, sinon la connexion entre eux n'est pas établie. Vous ne pouvez pas entrer un mot de passe lorsque le mode FIPS est activé.

11 Spécifiez les filtres BGP.

a Cliquez sur Ajouter (Add).

Attention Une règle pour bloquer tout est appliquée à la fin des filtres.

b Sélectionnez la direction pour indiquer si vous filtrez le trafic vers le voisin ou à partir de celui-ci.

c Sélectionnez l'action pour indiquer si vous autorisez ou refusez le trafic.

d Tapez le réseau au format CIDR que vous souhaitez filtrer de ou vers le voisin.

e Tapez les préfixes IP à filtrer et cliquez sur OK.



VMware, Inc. 160

Exemple : Configurez BGP entre une passerelle ESG et un routeur logique (distribué)

Type de lien : liaison montante192.168.10.2 (adresse de transfert)

Commutateur logique de transit

Type de lien : interne192.168.10.1

ESG

DLR

AS 64511

AS 64512

192.168.10.3(adresse de protocole)

Dans cette topologie, la passerelle ESG est dans l'AS 64511. Le routeur logique (DLR) est dans l'AS 64512.

L'adresse de transfert du routeur logique est 192.168.10.2. Cette adresse est configurée sur l'interface de liaison montante du routeur logique. L'adresse du protocole du routeur logique est 192.168.10.3. La passerelle ESG utilise cette adresse pour former une relation homologue BGP avec le routeur logique.

Sur la page Configuration de BGP du routeur logique, les paramètres de configuration sont les suivants :

n AS local (Local AS) : 64512

n Paramètres du Voisin (Neighbor) :

n Adresse de transfert : 192.168.10.2

n Adresse de protocole : 192.168.10.3

n Adresse IP : 192.168.10.1

n AS distant : 64511


VMware, Inc. 161

Sur la page Configuration de BGP de la passerelle ESG, les paramètres de configuration sont les suivants :

n AS local (Local AS) : 64511

n Paramètres du Voisin (Neighbor) :

n Adresse IP : 192.168.10.3. Cette adresse IP est l'adresse du protocole du routeur logique.

n AS distant : 64512

Sur le routeur logique, exécutez la commande show ip bgp neighbors et vérifiez que l'état de

BGP est Établi.

Sur la passerelle ESG, exécutez la commande show ip bgp neighbors et vérifiez que l'état de

BGP est Établi.


VMware, Inc. 162

Configurer la redistribution d'itinéraire

Par défaut, les routeurs partagent des itinéraires avec d'autres routeurs exécutant le même protocole. Dans un environnement à plusieurs protocoles, vous devez configurer la redistribution d'itinéraire pour le partage d'itinéraire entre protocoles.

Vous pouvez exclure une interface de la redistribution d'itinéraire en ajoutant un critère de refus pour son réseau. À partir de NSX 6.2, l'interface HA (gestion) d'un routeur logique (distribué) est automatiquement exclue de la redistribution d'itinéraire.

Procédure




4 Cliquez sur Gérer (Manage) > Routage (Routing) > Redistribution d'itinéraire (Route Redistribution).

5 En regard de Statut de redistribution d'itinéraire (Route Redistribution Status), cliquez sur Modifier (Edit).

6 Sélectionnez les protocoles pour lesquels vous voulez activer la redistribution d'itinéraire, puis cliquez sur OK.


VMware, Inc. 163

7 Ajoutez un préfixe IP.

Les entrées de la liste Préfixes IP sont traitées de façon séquentielle.

a Dans Préfixes IP (IP Prefixes), cliquez sur Ajouter (Add).

b Entrez un nom et une adresse IP du réseau.

Le préfixe IP saisi est une correspondance exacte, sauf si vous utilisez des modificateurs, tels que « inférieur ou égal à » (LE) ou « supérieur ou égal à » (GE).

c Les modificateurs LE et GE spécifient une plage de longueurs de préfixe à laquelle la règle doit correspondre. Vous pouvez ajouter le préfixe IP GE comme longueur de préfixe minimale et le préfixe IP LE comme longueur de préfixe maximale.

Vous pouvez utiliser ces deux options séparément ou conjointement. Les valeurs de LE et GE ne peuvent pas être égales à zéro ni supérieures à 32. La valeur de GE ne peut pas être supérieure à la valeur de LE. Par exemple,

n Si vous fournissez le préfixe 10.0.0.0/16 et LE = 28, la règle de redistribution correspond à tous les préfixes allant de 10.0.0.0/16 à 10.0.0.0/28. Cela signifie que la règle correspond à toutes les longueurs de préfixe de 16 à 28. Le préfixe 10.0.2.0/24 est une correspondance.

n Si vous fournissez le préfixe 10.0.0.0/16 et GE = 24, la règle de redistribution correspond à tous les préfixes allant de 10.0.0.0/24 à 10.0.0.0/32. Le préfixe 10.0.0.16/28 est une correspondance.

n Si vous fournissez GE = 24 et LE = 28, la règle de redistribution correspond à tous les préfixes allant de 10.0.0.0/24 à 10.0.0.0/28. Le préfixe 10.0.0.32/27 est une correspondance.

d Cliquez sur Ajouter (Add) ou sur OK.

8 Spécifiez des critères de redistribution pour le préfixe IP.

a Dans Table de redistribution d'itinéraire (Route Redistribution Table), cliquez sur Ajouter (Add).

b Dans Nom du préfixe (Prefix Name), sélectionnez le préfixe IP ajouté précédemment.

c Dans Protocole de l'apprenant (Learner Protocol), sélectionnez le protocole devant apprendre des itinéraires à partir d'autres protocoles.

d Dans Autoriser l'apprentissage à partir de (Allow Learning From), sélectionnez les protocoles à partir desquels les itinéraires doivent être appris.

e Dans Action, sélectionnez Autoriser (Permit) pour le sous-réseau exact à redistribuer ou sélectionnez Refuser (Deny).

f Cliquez sur Ajouter (Add) ou sur OK.



VMware, Inc. 164

Afficher l'ID de paramètres régionaux de NSX Manager

Chaque NSX Manager possède un ID de paramètres régionaux. Par défaut, il est défini sur l'UUID de NSX Manager. Ce paramètre peut être modifié au niveau du routeur logique universel, du cluster ou de l'hôte.

Procédure

1 Accédez à la page À propos de NSX ou Accueil NSX.

n Dans NSX 6.4.6 et versions ultérieures, cliquez sur Mise en réseau et sécurité > À propos de NSX.

n Dans NSX 6.4.5 et versions antérieures, cliquez sur Mise en réseau et sécurité > Accueil NSX > Résumé.

2 Dans le menu déroulant NSX Manager, sélectionnez l'adresse IP de l'instance de NSX Manager. Notez que le champ ID des paramètres régionaux (Locale ID) ou ID affiche l'UUID de NSX Manager.

Configurer un ID de paramètres régionaux sur un routeur (distribué) logique universel

Si la sortie locale est activée à la création d'un routeur logique universel, les itinéraires sont envoyés aux hôtes uniquement lorsque l'ID de paramètres régionaux correspond à celui associé à l'itinéraire. Vous pouvez modifier l'ID de paramètres régionaux sur un routeur et cet ID de paramètres régionaux mis à jour est associé à tous les itinéraires statiques et dynamiques sur ce routeur. Les itinéraires sont envoyés aux hôtes et aux clusters dont l'ID de paramètres régionaux correspond.

Pour plus d'informations sur les configurations de routage des environnements cross-vCenter NSX, reportez-vous à Topologies de Cross-vCenter NSX.


Le routeur (distribué) logique universel doit avoir été créé avec la sortie locale activée.

Procédure



3 Double-cliquez sur un routeur (distribué) logique universel.

4 Cliquez sur Gérer (Manage) > Routage (Routing) > Configuration globale (Global Configuration).

5 En regard de Configuration du routage (Routing Configuration), cliquez sur Modifier (Edit).


VMware, Inc. 165

6 Entrez un nouvel ID de paramètres régionaux.

Important L'ID de paramètres régionaux doit être au format UUID. Par exemple, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, où chaque X est remplacé par un chiffre de base 16 (0 à F).

Configurer un ID de paramètres régionaux sur un hôte ou un cluster

Si la sortie locale est activée à la création d'un routeur logique universel, les itinéraires sont envoyés aux hôtes uniquement lorsque l'ID de paramètres régionaux correspond à celui associé à l'itinéraire. Vous pouvez choisir d'envoyer des itinéraires aux hôtes en configurant l'ID de paramètres régionaux sur un cluster d'hôtes ou un hôte.


Le routeur (distribué) logique universel peut effectuer le routage des hôtes ou les clusters doivent avoir été créés avec la sortie locale activée.

Procédure

1 Accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Préparation de l'hôte (Host Preparation).

2 Sélectionnez le dispositif NSX Manager qui gère les hôtes ou les clusters que vous devez configurer.


VMware, Inc. 166

3 Effectuez les étapes suivantes pour modifier l'ID de paramètres régionaux.


NSX 6.4.1 et versions ultérieures a Cliquez sur un cluster dans le volet de gauche. Dans le volet de droite, les hôtes du cluster sélectionné s'affichent dans le tableau Hôtes.

b Pour modifier l'ID de paramètres régionaux du cluster, cliquez sur Actions > Modifier l'ID de paramètres régionaux (Change Locale ID).

c Pour modifier l'ID de paramètres régionaux d'un hôte, cliquez sur le

menu trois points verticaux ( ) en regard de l'hôte et cliquez sur Modifier l'ID de paramètres régionaux (Change Locale ID).

d Tapez un nouvel ID de paramètres régionaux et cliquez sur Enregistrer (Save).

Note L'ID de paramètres régionaux doit être au format UUID. Par exemple, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, où chaque X est remplacé par un chiffre de base 16 (0 à F).

NSX 6.4.0 a Sélectionnez l'hôte ou le cluster que vous souhaitez modifier, en développant des clusters pour afficher des hôtes au besoin.

b Cliquez sur Actions > Modifier l'ID de paramètres régionaux (Change Locale ID).

c Tapez un nouvel ID de paramètres régionaux et cliquez sur OK.

Note L'ID de paramètres régionaux doit être au format UUID. Par exemple, XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX, où chaque X est remplacé par un chiffre de base 16 (0 à F).

Résultats

Le cluster de contrôleurs universels enverra uniquement des itinéraires correspondant à ce nouvel ID de paramètres régionaux aux hôtes.

Étape suivante

Configurez un itinéraire statique avec un ID de paramètres régionaux spécifié.

Prise en charge, limitations et topologie du routage multidiffusion

NSX Data Center 6.4.2 et versions ultérieures prend en charge le routage multidiffusion.

NSX utilise deux protocoles de routage multidiffusion : Internet Group Management Protocol (IGMPv2) et Protocol Independent Multicast (PIM). Le mode PIM Sparse Mode (PIM-SM) est pris en charge. PIM est utilisé sur les passerelles ESG, mais pas sur le DLR.

n Le routage multidiffusion est pris en charge entre la passerelle ESG et le DLR.

n Les hôtes récepteurs annoncent leur appartenance à un groupe à un routeur multidiffusion local, ce qui leur permet de joindre et de quitter des groupes de multidiffusion.


VMware, Inc. 167

n Protocol-Independent Multicast (PIM) est utilisé pour la signalisation entre routeurs. Il conserve le mode actuel de service de multidiffusion IP d'appartenance déclenchée par le récepteur.

Après qu'un protocole de routage a été activé pour la première fois (ou désactivé et réactivé), le trafic n'est pas transféré tant que protocole n'a pas convergé et que les itinéraires correspondants au trafic n'ont pas été appris et installés. Dans un réseau de multidiffusion, le transfert de trafic nécessite la convergence des protocoles de routage monodiffusion et multidiffusion. Le mode PIM Sparse Mode nécessite également que le Rendezvous Point (RP) d'un groupe de multidiffusion soit connu avant que tout contrôle ou trafic de données pour le groupe de multidiffusion ne puisse être traité. Lorsque le mécanisme de démarrage PIM est utilisé pour diffuser les informations de RP, les RP candidats sont appris uniquement suite à la réception d'un message de démarrage provenant d'un voisin PIM. Ces messages ont une périodicité RFC par défaut de 60 secondes. Si un RP statique est configuré, les informations de RP sont immédiatement disponibles et le délai associé au mécanisme de démarrage est évité.

Prise en charge et limitations :

n Prise en charge IPv4.

n Prise en charge IGMPv2.

n Le mode PIM Sparse Mode est pris en charge.

n Les informations de Rendezvous Point peuvent être livrées via des messages de démarrage ou configurées de manière statique.

n La plage de multidiffusion de réplication ne doit pas chevaucher la plage de multidiffusion d'une zone de transport.

n Une passerelle Edge Services Gateway (ESG) ne peut pas être un routeur de candidat de démarrage.

n Une passerelle ESG ne peut pas être le Rendezvous Point (RP).

n Les routes des nœuds participant à la multidiffusion doivent être apprises explicitement par le protocole de routage de monodiffusion ou par le biais d'un itinéraire statique. NSX n'utilise pas la route par défaut pour les vérifications RPF (Multicast Reverse Path Forwarding).

n Lors d'une migration par vMotion de machines virtuelles qui sont des récepteurs de multidiffusion, une perte de trafic de multidiffusion de 1 à 2 secondes peut se produire.

n À partir de NSX 6.4.7, Pare-feu distribué (DFW) est pris en charge pour le trafic de multidiffusion. Cependant, IPFIX n'est pas pris en charge pour la multidiffusion.

n À partir de NSX 6.4.7, le pare-feu Edge est pris en charge pour le trafic de multidiffusion. Le pare-feu Edge prend en charge le filtrage des paquets IGMP sur la base du protocole dans l'en-tête IP. Le pare-feu ne peut pas filtrer le type de paquets IGMP, tels que le rapport d'appartenance, le groupe de sortie, etc.


VMware, Inc. 168

Topologies :

n Dans un environnement Cross-VC, la connexion de deux passerelles Edge Services Gateway avec multidiffusion au même TLS universel n'est pas prise en charge.

n Un niveau unique de passerelle de services Edge est pris en charge.

n Routeur logique distribué unique, c'est-à-dire une seule liaison descendante par passerelle ESG.

n Dans NSX 6.4.5 ou version ultérieure, la multidiffusion est prise en charge sur un maximum de deux interfaces de liaison montante et d'une interface de liaison descendante par passerelle ESG. Toutefois, si un dispositif NSX Edge est à la version 6.4.4 ou antérieure, la multidiffusion est prise en charge sur une interface de liaison montante unique et une interface de liaison descendante par passerelle ESG.

n Sur un DLR, la multidiffusion est prise en charge sur une interface de liaison montante unique et sur plusieurs interfaces internes.

n À partir de NSX 6.4.7, PIM est pris en charge sur un tunnel GRE par passerelle ESG. PIM peut être activé sur un maximum de deux interfaces de liaison montante de la passerelle ESG ou d'une interface de tunnel GRE, mais pas simultanément sur les deux. Pour atteindre les sources, les récepteurs et le RP en dehors du réseau NSX, les routes statiques doivent être configurées avec l'adresse IP du point de terminaison de tunnel GRE comme tronçon suivant.

n La haute disponibilité en veille active est prise en charge par l'activation de HA ESG. La haute disponibilité actif-actif à l'aide d'ECMP n'est pas prise en charge.

n Temps de basculement haute disponibilité de 30 secondes.

n Veille à froid, aucune synchronisation des mroutes ou mFIB.

n Le pontage L2 n'est pas pris en charge sur un commutateur logique avec le routage multidiffusion.

n Les passerelles VTEP matérielles (passerelles ToR) ne sont pas prises en charge sur un commutateur logique avec routage multidiffusion.

Configurer la multidiffusion sur un routeur logique (distribué)

Le routage multidiffusion IP permet à un hôte (source) d'envoyer une seule copie de données à une adresse multidiffusion unique. Les données sont ensuite distribuées à un groupe de destinataires à l'aide d'une forme spéciale d'adresse IP appelé adresse de groupe de multidiffusion IP. Dans un environnement de multidiffusion, n'importe quel hôte, qu'il soit membre d'un groupe ou pas, peut envoyer des données à un groupe. Cependant, seuls les membres d'un groupe peuvent recevoir les paquets envoyés à ce groupe.



VMware, Inc. 169

Pour plus d'informations sur la prise en charge de la multidiffusion dans NSX, reportez-vous à la section Prise en charge, limitations et topologie du routage multidiffusion.

Attention Lors d'une migration par vMotion de machines virtuelles qui sont des récepteurs de multidiffusion, une perte de trafic de multidiffusion de 1 à 2 secondes peut se produire.


La plage d’adresses multidiffusion doit être configurée dans les zones de transport. Reportez-vous à Attribuer un pool d'ID de segments et une plage d'adresses multidiffusion dans le Guide d'installation de NSX.

La configuration IGMP doit être la même sur la passerelle Edge Services Gateway et sur le routeur (distribué) logique.

Activez l'écoute IGMP sur les commutateurs L2 auxquels les hôtes VXLAN participant sont reliés. Si l'écoute IGMP est activée sur le niveau 2, la requête IGMP doit être activée sur le routeur ou le commutateur de niveau 3 avec une connectivité avec les réseaux de multidiffusion. Reportez-vous à la section Ajouter un commutateur logique.

Procédure


2 Cliquez sur un routeur logique (distribué).

3 Cliquez sur Routage > Multidiffusion.

4 Activez la multidiffusion.

Version Procédure

NSX 6.4.2 à 6.4.4 Dans Configuration, cliquez sur le bouton bascule pour activer la multidiffusion.

NSX 6.4.5 et versions ultérieures a En regard de Configuration, cliquez sur Modifier (Edit).

b Dans État (Status), cliquez sur le bouton bascule pour activer la multidiffusion.

5 Entrez la plage de multidiffusion de réplication.

Version Procédure

NSX 6.4.2 à 6.4.4 Dans Plage de multidiffusion de réplication (Replication Multicast Range), entrez une plage d'adresses de groupe de multidiffusion au format CIDR.


b Dans Plage de multidiffusion de réplication (Replication Multicast Range), entrez une plage d'adresses de groupe de multidiffusion au format CIDR.

La plage de multidiffusion de réplication est une plage d'adresses de groupes de multidiffusion (IP de destination externe VXLAN) utilisée pour répliquer des adresses de groupe de multidiffusion de charges de travail/locataires (IP de destination interne VXLAN). Les adresses


VMware, Inc. 170

IP d'une plage de multidiffusion de réplication ne doivent pas chevaucher la plage d'adresses multidiffusion configurée dans Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Paramètres de réseau logique (Logical Network Settings). Pour plus d'informations, reportez-vous à la section Attribuer un pool d'ID de segments et une plage d'adresses multidiffusion dans le Guide d'installation de NSX.

6 Configurez les paramètres IGMP. Les messages IGMP servent principalement aux hôtes de multidiffusion, pour signaler leur souhait de rejoindre un groupe de multidiffusion spécifique et commencer à recevoir le trafic du groupe. Les paramètres IGMP configurés sur le DLR doivent correspondre à ceux configurés sur la passerelle ESG et doivent être configurés de manière globale pour la passerelle ESG et DLR.

Paramètre IGMP Description

Requête Facultative. Configure la fréquence à laquelle le routeur désigné envoie des messages de requête à un hôte IGMP. La valeur par défaut est de 30 secondes. La valeur maximale est de 3 744 secondes.

Temps de réponse maximal à une requête (s) Facultative. Définit la durée maximale qui peut s'écouler entre le moment où le routeur interrogateur envoie un message de requête à un hôte et celui où il reçoit une réponse d'un hôte. La valeur par défaut est de 10 secondes. La valeur maximale est de 25 secondes.

Intervalle entre les requêtes du dernier membre (sec) Facultative. Configure l'intervalle auquel le routeur envoie des messages de requête spécifiques à un groupe IGMP. La valeur par défaut est de 1 seconde. La valeur maximale est de 25 secondes.

Variable de robustesse Facultative. La valeur par défaut est 2. La valeur maximale est 255.

7 Sous Interfaces activées (Enabled Interfaces), cliquez sur Configurer les interfaces (Configure Interfaces) et activez la multidiffusion sur la liaison montante et les interfaces internes.

Note n La multidiffusion doit être activée sur tous les DLR devant recevoir des paquets de

multidiffusion IPv4.

n Sur un DLR, la multidiffusion est prise en charge sur une interface de liaison montante unique et sur plusieurs interfaces internes.


Résultats

Pour vérifier les configurations de routage multidiffusion sur un hôte donné et le DLR, exécutez la commande d’interface de ligne de commande : show logical-router host <host ID> dlr <DLR instance> mrouting-domain


VMware, Inc. 171

Dans la sortie de l'exemple ci-dessous, l'hôte est host-19 et l'instance de DLR est edge-1 :

cli>show logical-router host host-19 dlr edge-1 mrouting-domainVDR Mcast Routing Domain configurations:Vdr Name: edge-1Vdr ID: 0x00002328Multicast Routing Doman: EnabledReplication Mcst Grp Start IP: 237.0.0.0Replciation Mcast Grp Mask: 255.255.255.0Control VNI: 9008Uplink VNI: 9007IGMP Query Interval: 30 secIGMP Query Response Interval: 10 secIGMP Robustness Variable: 2Group membership Interval: 70 se

Configurer la multidiffusion sur une passerelle Edge Services Gateway

À l'aide de la multidiffusion, une source peut envoyer une copie unique des données à une adresse multidiffusion unique, qui est ensuite distribuée à un groupe ou à des destinataires.


Attention Lors d'une migration par vMotion de machines virtuelles qui sont des récepteurs de multidiffusion, une perte de trafic de multidiffusion de 1 à 2 secondes peut se produire.

Pour plus d'informations sur la prise en charge de la multidiffusion dans NSX, reportez-vous à la section Prise en charge, limitations et topologie du routage multidiffusion.

Si un dispositif ESG est à la version 6.4.4 ou antérieure, PIM est pris en charge sur une interface de liaison montante unique du dispositif Edge. À partir de NSX Data Center 6.4.5, PIM est pris en charge sur deux interfaces de liaison montante de la passerelle ESG.

À partir de NSX 6.4.7, PIM est également pris en charge sur une interface de tunnel virtuel GRE (VTI) par passerelle ESG. PIM peut être activé sur un maximum de deux interfaces de liaison montante de la passerelle ESG ou d'une interface de tunnel GRE. Cependant, vous ne pouvez pas activer PIM simultanément sur l'interface de tunnel virtuel GRE et sur les interfaces de liaison montante Edge.

Pour activer PIM sur une interface de tunnel GRE, vous devez d'abord configurer des tunnels GRE sur la passerelle ESG à l'aide des API NSX. Pour plus d'informations sur la configuration des tunnels GRE, reportez-vous au Guide de NSX API. Après la configuration de tunnels GRE sur la passerelle ESG, vous pouvez afficher la liste des tunnels GRE dans l'interface utilisateur de vSphere Client.


VMware, Inc. 172

L'interface de tunnel virtuel GRE peut être configurée avec une adresse IPv4, IPv6 ou les deux. Cependant, pour activer PIM sur l'interface de tunnel GRE, l'interface de tunnel doit avoir une adresse IPv4. Si l'interface de tunnel virtuel GRE est configurée avec une seule adresse IPv6, cette interface de tunnel GRE ne peut pas être activée en tant qu'interface PIM.

Lorsque PIM est activé sur une interface de tunnel GRE, des routes statiques doivent être ajoutées avec l'adresse IP du point de terminaison de tunnel virtuel GRE en tant qu'adresse IP du tronçon suivant. Des routes statiques sont nécessaires pour atteindre les sources de multidiffusion, les récepteurs et le Rendezvous Point (RP) en dehors du réseau NSX.

Procédure


2 Cliquez sur un dispositif NSX Edge.

3 Cliquez sur Routage > Multidiffusion.

4 Activez la multidiffusion.

Version Procédure

NSX 6.4.2 à 6.4.4 Dans Configuration, cliquez sur le bouton bascule pour activer la multidiffusion.


b Dans État (Status), cliquez sur le bouton bascule pour activer la multidiffusion.

5 Configurez les paramètres IGMP. Les messages IGMP servent principalement aux hôtes de

multidiffusion, pour signaler leur souhait de rejoindre un groupe de multidiffusion spécifique et commencer à recevoir le trafic du groupe. Les paramètres IGMP configurés sur le DLR doivent correspondre à ceux configurés sur la passerelle ESG et doivent être configurés de manière globale pour la passerelle ESG et DLR.

Paramètre IGMP Description

Requête Facultative. Configure la fréquence à laquelle le routeur désigné envoie des messages de requête à un hôte IGMP. La valeur par défaut est de 30 secondes. La valeur maximale est de 3 744 secondes.

Temps de réponse maximal à une requête (s) Facultative. Définit la durée maximale qui peut s'écouler entre le moment où le routeur interrogateur envoie un message de requête à un hôte et celui où il reçoit une réponse d'un hôte. La valeur par défaut est de 10 secondes. La valeur maximale est de 25 secondes.

Intervalle entre les requêtes du dernier membre (sec) Facultative. Configure l'intervalle auquel le routeur envoie des messages de requête spécifiques à un groupe IGMP. La valeur par défaut est de 1 seconde. La valeur maximale est de 25 secondes.

Variable de robustesse Facultative. La valeur par défaut est 2. La valeur maximale est 255.


VMware, Inc. 173

6 (Facultatif) Sous Paramètres du mode PIM Sparse Mode (PIM Sparse Mode Parameters) (PIM-SM), entrez l'Adresse Rendezvous Point statique (Static Rendezvous Point Address). Le Rendezvous Point (RP) est le routeur d'un domaine de réseau de multidiffusion, qui agit en tant que racine de l'arborescence de multidiffusion partagée. Les paquets des routeurs en amont et les messages d'adhésion des routeurs en aval « se donnent rendez-vous » au niveau de ce routeur central. Le RP peut être configuré de manière statique et dynamique à l'aide d'un routeur de démarrage (BR). Si un RP statique est configuré, il est applicable à tous les groupes de multidiffusion.

Une passerelle ESG ne peut pas être le Rendezvous Point ni le routeur de candidat de démarrage. La configuration de PIM-SM est effectuée au niveau de la configuration globale du PIM, par dispositif Edge.

7 Sous Interfaces activées (Enabled Interfaces), cliquez sur Configurer les interfaces et activez PIM sur les interfaces.

Vous pouvez activer PIM sur les interfaces suivantes :

n Un maximum de deux interfaces de liaison montante d'une passerelle ESG ou sur une interface de tunnel virtuel GRE unique d'une passerelle ESG, mais pas sur les deux en même temps.

n Une interface interne unique d'une passerelle ESG.


Étape suivante

Si vous avez activé PIM sur une interface de tunnel virtuel GRE, des routes statiques sont requises pour atteindre les sources de multidiffusion, les récepteurs et le RP en dehors du réseau NSX. Vous devez configurer des routes statiques avec l'adresse IP du point de terminaison de tunnel virtuel GRE en tant qu'adresse IP du tronçon suivant.

Pour obtenir des informations détaillées sur la configuration des routes statiques, reportez-vous à la section Ajouter une route statique.

Topologie multidiffusion

La figure suivante montre un exemple de topologie utilisant la multidiffusion.

L'interface de liaison montante des passerelles Edge Service Gateway est connectée à l'infrastructure physique via le vSphere Distributed Switch. L'interface interne des passerelles Edge Service Gateway est connectée à un routeur logique via un commutateur de transit logique. La passerelle par défaut du routeur logique est l'adresse IP de l'interface interne de l'ESG (192.168.10.1). L'ID du routeur est l'interface de liaison montante du routeur logique, c'est-à-dire l'adresse IP soumise à l'ESG (192.168.10.2). Dans cette topologie, le trafic multidiffusion est répliqué de façon optimale, entre des sous-réseaux, entre les sources et les récepteurs à l'intérieur ou à l'extérieur du domaine NSX.


VMware, Inc. 174

172.16.20.10 172.16.10.10



Routeurlogique

Commutateurlogiqued'app

Commutateurlogique

Web

AppVM

WebVM


Commutateurlogique

de transit

Multidiffusion Source /

RécepteurHÔTE


EdgeServicesGateway


vSphereDistributed

Switch Architecture

physique


VMware, Inc. 175

Pare-feu logique 10Le pare-feu logique, qui fournit des mécanismes de sécurité pour les centres de données virtuels dynamiques, est constitué de deux composants pour traiter différents cas d'utilisation du déploiement. Le pare-feu distribué est axé sur le contrôle d'accès horizontal, et Edge Firewall sur l'application du trafic vertical au niveau du périmètre du client ou du centre de données. Ensemble, ces composants répondent aux besoins en pare-feu de bout en bout des centres de données virtuels. Vous pouvez choisir de déployer l'une ou l'autre de ces technologies de manière indépendante ou de les déployer toutes deux simultanément.


n Pare-feu distribué

n Edge Firewall

n Utilisation des sections de règles de pare-feu

n Utilisation de règles de pare-feu

n Journaux de pare-feu

Pare-feu distribué

Un pare-feu distribué (DFW) s'exécute dans le noyau en tant que module VIB sur tous les clusters d'hôtes ESXi qui sont préparés pour NSX. La préparation de l'hôte active automatiquement DFW sur les clusters d'hôtes ESXi.

Les contraintes fondamentales de l'architecture de sécurité traditionnelle axée sur le périmètre ont une incidence sur le dispositif de sécurité et l'évolutivité des applications dans les centres de données modernes. Par exemple, le renvoi du trafic via des pare-feu physiques en périphérie du réseau crée une latence supplémentaire pour certaines applications.

DFW complète et améliore votre sécurité physique en éliminant les renvois inutiles à partir des pare-feu physiques et en réduisant la quantité de trafic sur le réseau. Le trafic rejeté est bloqué avant de quitter l'hôte ESXi. Il n'est pas nécessaire que le trafic traverse le réseau pour être finalement arrêté en périphérie par le pare-feu physique. Le trafic destiné à une autre VM sur le même hôte ou sur un autre hôte n'a pas besoin de traverser le réseau jusqu'au pare-feu physique, puis de revenir à la VM de destination. Le trafic est inspecté au niveau d'ESXi et acheminé vers la VM de destination.

VMware, Inc. 176

machinevirtuelle

machinevirtuelle

machinevirtuelle

machinevirtuelle

Sécurité sans NSX DFW

Pare-feuphysique

Pare-feuphysique

Sécurité avec NSX DFW

NSX DFW est un pare-feu avec état, ce qui signifie qu'il surveille l'état des connexions actives et utilise ces informations pour déterminer les paquets réseau à autoriser à travers le pare-feu. DFW est mis en œuvre dans l'hyperviseur et appliqué aux machines virtuelles pour chaque vNIC. Autrement dit, les règles de pare-feu sont appliquées au niveau de la carte réseau virtuelle de chaque machine virtuelle. L'inspection du trafic se produit au niveau de la carte réseau virtuelle d'une VM lorsque le trafic est sur le point de quitter la VM et d'entrer dans le commutateur virtuel (sortie). L'inspection se produit également au niveau de la carte réseau virtuelle lorsque le trafic quitte le commutateur mais avant d'entrer dans la VM (entrée).

Le dispositif virtuel NSX Manager, les VM NSX Controller et les passerelles de service NSX Edge sont automatiquement exclus de DFW. Si une VM ne nécessite aucun service DFW, vous pouvez l'ajouter manuellement à la liste d'exclusion.

Comme DFW est distribué dans le noyau de chaque hôte ESXi, la capacité du pare-feu évolue horizontalement lorsque vous ajoutez des hôtes aux clusters. L'ajout d'hôtes supplémentaires engendre une augmentation des capacités de DFW. À mesure que votre infrastructure se développe et que vous achetez davantage de serveurs pour gérer un nombre toujours croissant de machines virtuelles, les capacités de DFW augmentent.

Règles de stratégie DFW

Les règles de stratégie DFW sont créées à l'aide du vSphere Web Client et les règles sont stockées dans la base de données NSX Manager. Avec DFW, vous pouvez créer des règles Ethernet (règles L2) et des règles générales (règles L3 à L7). Les règles sont publiées du NSX Manager sur le cluster ESXi, puis de l'hôte ESXi jusqu'au niveau de la VM. Tous les hôtes ESXi d'un cluster partagent les mêmes règles de stratégie DFW.

Une instance de pare-feu distribué sur un hôte ESXi contient les deux tableaux suivants :

n Tableau de règles pour stocker toutes les règles de stratégie de sécurité.

n Tableau des dispositifs de suivi des connexions pour mettre en cache les entrées de flux pour les règles avec une action « autoriser ».


VMware, Inc. 177

Les règles DFW sont exécutées selon un ordre « descendant ». Le trafic qui doit traverser un pare-feu est d'abord comparé à une liste de règles de pare-feu. Chaque paquet est analysé en fonction de la règle définie sur la première ligne du tableau de règles. Les règles suivantes sont ensuite appliquées dans l'ordre descendant. La première règle du tableau correspondant aux paramètres du trafic est appliquée. La dernière règle du tableau est la règle DFW par défaut. Les paquets ne correspondant à aucune règle au-dessus de la règle par défaut sont appliqués par la règle par défaut.

Chaque VM dispose de règles de stratégie de pare-feu et d'un contexte propre. Dans vMotion, lorsque des VM passent d'un hôte ESXi à un autre, le contexte DFW (tableau de règles, tableau de suivi des connexions) se déplace avec la VM. En outre, toutes les connexions actives restent intactes dans vMotion. En d'autres termes, la stratégie de sécurité DFW est indépendante de l'emplacement de la VM.

Micro-segmentation à l'aide de DFW

La micro-segmentation renforce la sécurité du réseau de centre de données en isolant chaque groupe de machines virtuelles associé sur un segment de réseau logique distinct. La micro-segmentation permet à l'administrateur de se déplacer du trafic de pare-feu d'un segment logique du centre de données vers un autre segment logique (trafic est-ouest). Par conséquent, le pare-feu du trafic Est-Ouest limite la capacité de l'agresseur à se déplacer ultérieurement dans le centre de données.

La micro-segmentation est mise sous tension par le composant Pare-feu distribué (DFW) de NSX. La puissance de DFW réside dans le fait que la topologie de réseau ne constitue plus un obstacle à l'application de la sécurité. Le même degré de contrôle d'accès au trafic peut être obtenu avec n'importe quel type de topologie réseau.

Pour obtenir un exemple détaillé de cas d'utilisation de micro-segmentation, reportez-vous à la section « Micro-segmentation avec NSX DFW et mise en œuvre » du NSX Guide de conception de la virtualisation réseau à l'adresse https://communities.vmware.com/docs/DOC-27683.

Règles de stratégie DFW basées sur l'identité de l'utilisateur

Le pare-feu distribué permet également de créer des règles basées sur l'identité. Les administrateurs de sécurité peuvent appliquer le contrôle d'accès basé sur l'identité de l'utilisateur et les appartenances à un groupe d'utilisateurs comme défini dans le service d'annuaire Active Directory de l'entreprise. Par exemple, les règles de pare-feu distribué basées sur l'identité peuvent être utilisées dans les scénarios suivants :

n Des utilisateurs souhaitent utiliser des applications virtuelles à l'aide d'un ordinateur portable ou d'un appareil mobile utilisant Active Directory pour authentifier les utilisateurs.

n Les utilisateurs veulent accéder à des applications virtuelles à l'aide de l'infrastructure VDI sur laquelle les machines virtuelles exécutent le système d'exploitation Microsoft Windows.

Pour plus d'informations sur les règles DFW basées sur l'utilisateur Active Directory, reportez-vous à la section Chapitre 12 Présentation d'Identity Firewall.


VMware, Inc. 178


Pare-feu sensible au contexte

Le pare-feu sensible au contexte améliore la visibilité au niveau de l'application et vous aide à remplacer le problème de perméabilité des applications. La visibilité au niveau de la couche d'application vous permet de mieux surveiller les charges de travail du point de vue de la ressource, de la conformité et de la sécurité.

Les règles de pare-feu ne peuvent pas consommer d'ID d'application. Le pare-feu sensible au contexte identifie les applications et met en place une microsegmentation pour le trafic est-ouest, indépendant du port que l'application utilise. Des règles de pare-feu sensible au contexte ou basé sur l'application peuvent être configurées en définissant des objets de service de couche 7. Une fois les objets de service de couche 7 définis dans les règles, vous pouvez configurer des règles avec le protocole spécifique, des ports et leur définition d'application. La définition de la règle peut être basée sur plus de 5 tuples. Vous pouvez également utiliser le gestionnaire de règles d'application pour créer des règles de pare-feu sensible au contexte.

Le pare-feu sensible au contexte est pris en charge à partir de NSX Data Center for vSphere 6.4.

Tous les clusters d'hôtes d'une infrastructure existante gérée par NSX Data Center for vSphere doivent être mis à niveau vers NSX Data Center for vSphere 6.4.0 ou version ultérieure.

Types de pare-feu

Le pare-feu effectue une action basée sur un en-tête ou une combinaison de différents en-têtes de paquets L2, L3, L4 et L7 qui sont ajoutés aux données à mesure qu'il se déplace à travers chaque couche du modèle TCP/IP.

Pare-feu distribué+

Tiers

NSX Distributed Firewall Modèle OSI

Couche d'application

Couche de présentation

Couche de session

Couche de transport

Couche de réseau

Couche de liaison de données

Couche physique

Couche de transport

Couche Internet

Couche d'accèsau réseau

Couche d'application

Modèle TCP/IP

Pare-feu distribué natif

L7

L3/L4

L2

Dans le pare-feu de couche 3 ou 4, l'action est effectuée uniquement en fonction des adresses IP source/de destination, du port et du protocole. L'activité des connexions réseau est également suivie. Ce type de pare-feu est appelé pare-feu avec état.

Le pare-feu de couche 7 ou sensible au contexte peut faire tout ce que font les pare-feu de couche 3 et 4. De plus, il peut inspecter intelligemment le contenu des paquets. Par exemple, une règle de pare-feu de couche 7 peut être écrite pour refuser toutes les demandes HTTP d'une adresse IP spécifique.


VMware, Inc. 179

Définition de règle et capture de paquets

Vous pouvez créer des règles de plus de 5 tuples pour le pare-feu sensible au contexte. Vous pouvez continuer d'ajouter autant de tuples que nécessaire pour créer la règle correcte. Le protocole et l'utilisateur sont les seuls attributs pris en charge, et vous pouvez avoir un utilisateur ou un protocole par règle. Ils peuvent se trouver dans les champs SRC/DEST standard, ou être ajoutés à la fin pour les attributs supplémentaires.

Il existe 7 tuples dans la règle suivante :

Source Destination Service Direction Action Attributs

location-set-1 Iport-set-1 HTTPS INOUT Autoriser TLS-V10

Figure 10-1. Traitement des paquets dans le pare-feu sensible au contexte

DémonUser

World DPI

Index 2 Entréede flux

1

2

3

Flux 1

Flux 2

Flux 3

Index 1 ID derègle

1

2

3

Règle 1

Règle 2

Règle 3

Filtre DFW

Fluxintrouvable

Table de flux mise à jour

5 tuples

Traitement etrevalidation des règles

Paquet

vSwitch

Lorsqu'un pare-feu sensible au contexte est configuré pour la machine virtuelle, les attributs DPI (Distributed Deep Packet Inspection) doivent également correspondre aux 5 tuples. C'est là que les règles sont traitées et validées à nouveau et que la règle correcte est trouvée. En fonction de l'action, un flux est créé ou abandonné.

Voilà comment une règle est traitée pour un paquet entrant :

1 Lorsque vous entrez un filtre DFW, les paquets sont recherchés dans le tableau de flux basé sur 5 tuples.

2 Si aucun flux/état n'est trouvé, le flux est comparé au tableau de règles basées sur 5 tuples et une entrée est créée dans le tableau de flux.

3 Si le flux correspond à une règle avec un objet de service de couche 7, l'état du tableau de flux est marqué comme « DPI en cours ».

4 Le trafic pointe ensuite vers le moteur DPI. Le moteur DPI détermine le APP_ID.


VMware, Inc. 180

5 Une fois le APP_ID déterminé, le moteur DPI renvoie l'attribut qui est inséré dans le tableau de contexte pour ce flux. L'indicateur « DPI en cours » est supprimé et le trafic ne pointe plus sur le moteur DPI.

6 Le flux (maintenant avec APP-ID) est réévalué par rapport à toutes les règles qui correspondent à l'APP_ID, en commençant par la règle d'origine qui a été mise en correspondance en fonction des 5 tuples, et en s'assurant qu'aucune règle L4 correspondante n'est prioritaire. La mesure appropriée est prise (autoriser/refuser) et l'entrée de tableau de flux est mise à jour en conséquence.

Il est possible d'avoir une règle de pare-feu sensible au contexte exactement comme une règle L3 ou L4, sans vraiment définir le contexte. Si c'est le cas, l'étape de validation peut être effectuée pour appliquer le contexte, qui peut disposer d'autres attributs.

Workflow du pare-feu sensible au contexte

Plan de gestion

Plan decontrôle (vsfwd)

AgentUser WorldEspace

utilisateur

Espace noyau

Module VSIPdu chemin de données

GUID d'ID d'application

L'identification d'application de couche 7 identifie par quelle application un paquet ou un flux particulier est généré, quel que soit le port utilisé.

La mise en application basée sur l'identité d'application permet aux utilisateurs d'autoriser ou de refuser que des applications s'exécutent sur n'importe quel port, ou de forcer l'exécution des applications sur leur port standard. Le DPI (Deep Packet Inspection) permet de faire correspondre la charge utile des paquets à des modèles définis, généralement appelés signatures. Des objets de service de couche 7 peuvent être utilisés pour la mise en application indépendante du port ou pour créer des objets de service qui exploitent une combinaison de l'identité d'application


VMware, Inc. 181

de couche 7, du protocole et du port. Des objets de service de couche 7 peuvent être utilisés dans le tableau de règles de pare-feu et Service Composer, et les informations d'identification d'application sont capturées dans les journaux de pare-feu distribué, Flow Monitoring et le Gestionnaire de règles d'application (ARM) lors du profilage d'une application.

Tableau 10-1. GUID d'identification d'application

GUID Description Type

360ANTIV 360 Safeguard est un programme développé par Qihoo 360, une société informatique basée en Chine

Services Web

ACTIVDIR Microsoft Active Directory Mise en réseau

AD_BKUP Service de sauvegarde de Microsoft Active Directory Mise en réseau

AD_NSP Fournisseur de services de Microsoft Active Directory Mise en réseau

AMQP Advanced Message Queueing Protocol est un protocole de couche d'application qui prend en charge la communication de messages d'entreprise entre applications ou organisations

Mise en réseau

AVAST Trafic généré par l'exploration sur le site Web officiel Avast.com de téléchargements d'Avast! Antivirus

Services Web

AVG Téléchargement et mises à jour du logiciel antivirus/sécurité AVG Transfert de fichiers

AVIRA Téléchargement et mises à jour du logiciel antivirus/sécurité Avira

Transfert de fichiers

BLAST Protocole d'accès distant qui compresse, chiffre et code l'ensemble de l'expérience sur ordinateur à un centre de données et la transmet à travers un réseau IP standard pour les postes de travail VMware Horizon.

Accès distant

BDEFNDER Téléchargement et mises à jour du logiciel antivirus/sécurité BitDefender


CA_CERT L'autorité de certification émet des certificats numériques, ce qui certifie la propriété d'une clé publique pour le chiffrement des messages

Mise en réseau

CIFS CIFS (Common Internet File System) est utilisé pour fournir un accès partagé aux répertoires, fichiers, imprimantes, ports série et diverses communications entre des nœuds sur un réseau


CLRCASE Outil logiciel pour le contrôle de révision du code source et d'autres composants de développement logiciel. Il est développé par la division Rational Software d'IBM. ClearCase forme la base du contrôle de révision pour un grand nombre de grandes et moyennes entreprises. Il peut gérer des projets avec des centaines, voire des milliers de développeurs

Mise en réseau

CTRXCGP Protocole de passerelle commune Citrix Accès distant

CTRXGOTO Hébergement Citrix GoToMeeting ou sessions similaires basées sur la plate-forme GoToMeeting. Inclut les fonctions de voix, de vidéo et de gestion limitée des foules

Collaboration


VMware, Inc. 182

Tableau 10-1. GUID d'identification d'application (suite)


CTRXICA ICA (Independent Computing Architecture) est un protocole propriétaire pour un système de serveur d'application, conçu par Citrix Systems

Accès distant

DCERPC Distributed Computing Environment/Remote Procedure Calls est le système d'appel de procédure distante développé pour DCE (Distributed Computing Environment)

Mise en réseau

DIAMETER Protocole d'authentification, d'autorisation et de gestion des comptes pour des réseaux d'ordinateurs

Mise en réseau

DNS Interrogation d'un serveur DNS sur TCP ou UDP Mise en réseau

EPIC Epic EMR est une application de dossiers médicaux électroniques qui fournit des informations de santé et de soins de patients.

Serveur client

ESET Téléchargement et mises à jour du logiciel antivirus/sécurité Eset Transfert de fichiers

FPROT Téléchargement et mises à jour du logiciel antivirus/sécurité F-Prot


FTP FTP (File Transfer Protocol) est utilisé pour transférer des fichiers entre un serveur de fichiers et une machine locale


GITHUB GIT basé sur le Web ou service de référentiel de contrôle de version et d'hébergement Internet

Collaboration

HTTP (HyperText Transfer Protocol) Principal protocole de transport d'Internet

Services Web

HTTP2 Trafic généré par l'exploration de sites Web qui prennent en charge le protocole HTTP 2.0

Services Web

IMAP IMAP (Internet Message Access Protocol) est un protocole Internet standard pour accéder à une messagerie sur un serveur distant

Messagerie

KASPRSKY Téléchargement et mises à jour du logiciel antivirus/sécurité Kaspersky


KERBEROS Kerberos est un protocole d'authentification réseau conçu pour fournir une authentification forte aux applications client/serveur en utilisant le chiffrement de clé secrète

Mise en réseau

LDAP LDAP (Lightweight Directory Access Protocol) est un protocole pour lire et modifier des répertoires sur un réseau IP

Base de données

MAXDB Connexions et requêtes SQL faites à un serveur SQL MaxDB Base de données

MCAFEE Téléchargement et mises à jour du logiciel antivirus/sécurité McAfee


MSSQL Microsoft SQL Server est une base de données relationnelle. Base de données

NFS Permet à un utilisateur sur un ordinateur client d'accéder à des fichiers sur un réseau comme on accède à un stockage local



VMware, Inc. 183



NTBIOSNS Service de nom NetBIOS. Pour pouvoir démarrer des sessions ou distribuer des datagrammes, une application doit enregistrer son nom NetBIOS en utilisant le service de nom

Mise en réseau

NTP NTP (Network Time Protocol) est utilisé pour synchroniser les horloges des systèmes informatiques sur le réseau

Mise en réseau

OCSP Répondeur OCSP vérifiant que la clé privée d'un utilisateur n'a pas été compromise ou révoquée

Mise en réseau

ORACLE Système de gestion de base de données relatif aux objets (ORDBMS) produit et commercialisé par Oracle Corporation.

Base de données

PANDA Téléchargement et mises à jour du logiciel antivirus/sécurité Panda Security


PCOIP Protocole d'accès à distance qui compresse, chiffre et code l'ensemble de l'expérience sur ordinateur à un centre de données et la transmet à travers un réseau IP standard.

Accès distant

POP2 POP (Post Office Protocol) est un protocole utilisé par les clients de messagerie locaux afin de récupérer des messages électroniques à partir d'un serveur distant.

Messagerie

POP3 Implémentation Microsoft de NBNS (NetBIOS Name Service), un serveur de nom et un service pour les noms d'ordinateurs NetBIOS.

Messagerie

RADIUS Fournit une gestion centralisée de l'authentification, l'autorisation et la gestion des comptes à des ordinateurs pour se connecter et utiliser un service réseau

Mise en réseau

RDP RDP (Remote Desktop Protocol) fournit aux utilisateurs une interface graphique vers un autre ordinateur

Accès distant

RTCP RTCP (Real-Time Transport Control Protocol) est un protocole frère du protocole RTP (Real-Time Transport Protocol). RTCP fournit des informations de contrôle hors bande pour un flux RTP.

Diffusion multimédia

RTP RTP (Real-Time Transport Protocol) est utilisé principalement pour fournir l'audio et la vidéo en temps réel


RTSP RTSP (Real Time Streaming Protocol) est utilisé pour établir et contrôler des sessions multimédia entre des points de terminaison


RTSPS Protocole de contrôle réseau sécurisé conçu pour une utilisation dans des systèmes de divertissement et de communications afin de contrôler des serveurs de diffusion multimédia. Le protocole est utilisé pour établir et contrôler des sessions multimédia entre des points de terminaison.


SIP SIP (Session Initiation Protocol) est un protocole de contrôle commun pour configurer et contrôler les appels vocaux et vidéo



VMware, Inc. 184



SKIP SKIP (Simple Key Management for Internet Protocols) est un protocole de distribution de clés hybride. SKIP est semblable à SSL, sauf qu'il établit une clé à long terme une fois, puis ne nécessite aucune communication préalable pour établir ou échanger des clés pour chaque session.

Mise en réseau

SMTP Le protocole SMTP (Simple Mail Transfer Protocol) est une norme Internet pour la transmission de messages électroniques (e-mail) sur des réseaux IP (Internet Protocol).

Messagerie

SNMP SNMP (Simple Network Management Protocol) est un protocole Internet standard pour gérer des périphériques sur des réseaux IP.

Surveillance du réseau

SQLNET Logiciel de mise en réseau qui autorise l'accès à des données à distance entre des programmes et la base de données Oracle, ou entre plusieurs bases de données Oracle.

Base de données

SQLSERV Services SQL Base de données

SSH SSH (Secure Shell) est un protocole réseau qui permet d'échanger des données à l'aide d'un canal sécurisé entre deux périphériques en réseau.

Accès distant

SSL SSL (Secure Sockets Layer) est un protocole cryptographique qui fournit une sécurité via Internet.

Services Web

SVN Gestion du contenu sur un serveur Subversion. Base de données

SYMUPDAT Le trafic Symantec LiveUpdate inclut des définitions de logiciels espions, des règles de pare-feu, des fichiers de signatures antivirus et des mises à jour logicielles.


SYSLOG Le trafic Symantec LiveUpdate inclut des définitions de logiciels espions, des règles de pare-feu, des fichiers de signatures antivirus et des mises à jour logicielles.

Surveillance du réseau

TELNET Protocole réseau utilisé sur Internet ou des réseaux locaux afin de fournir une fonctionnalité de communication orientée texte interactive bidirectionnelle à l'aide d'une connexion de terminal virtuelle.

Accès distant

TFTP TFTP (Trivial File Transfer Protocol) utilisé pour répertorier, télécharger et charger des fichiers sur un serveur TFTP, comme SolarWinds TFTP Server, à l'aide d'un client tel que le client WinAgents TFTP.


VNC Trafic de Virtual Network Computing. Accès distant

WINS Implémentation Microsoft de NBNS (NetBIOS Name Service), un serveur de nom et un service pour les noms d'ordinateurs NetBIOS.

Mise en réseau


VMware, Inc. 185

Exemple : créer une règle de pare-feu sensible au contexte

Vous pouvez configurer une règle de pare-feu sensible au contexte ou basée sur l'application en définissant des objets de service de couche 7. Une règle de pare-feu sensible au contexte de couche 7 peut inspecter intelligemment le contenu des paquets.

Cet exemple explique le processus de création d'une règle de pare-feu de couche 7 avec l'objet de service APP_HTTP. Cette règle de pare-feu autorise les demandes HTTP d'une machine virtuelle vers n'importe quelle destination. Après avoir créé la règle de pare-feu, vous initiez certaines sessions HTTP sur la VM source qui satisfait cette règle de pare-feu et vous activez la surveillance de flux sur une carte réseau virtuelle spécifique de la VM source. La règle de pare-feu détecte un contexte d'application HTTP et applique la règle sur la VM source.


Vous devez vous connecter à vSphere Web Client avec un compte qui dispose de l'un des rôles NSX suivants :

n Administrateur de sécurité

n Administrateur NSX

n Ingénieur de sécurité

n Administrateur d'entreprise

Note Vérifiez que NSX Data Center for vSphere 6.4 ou version ultérieure est installé.

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Pare-feu (Firewall).

2 (Facultatif) Ajoutez une section de règles de pare-feu pour grouper des règles de pare-feu sensible au contexte.

3 Cliquez sur Ajouter une règle (Add Rule).

4 Créez la règle de pare-feu sensible au contexte.

a Entrez un nom de règle pour identifier cette règle. Par exemple, entrez L7_Rule_HTTP_Service.

b Dans la colonne Source, cliquez sur l'icône Modifier (Edit) ( ).

La page Spécifier la source s'ouvre.

c Dans le menu déroulant Type d'objet (Object Type), sélectionnez Machine virtuelle (Virtual Machine).

d Dans la liste Objets disponibles (Available Objects), sélectionnez la machine virtuelle. Déplacez cet objet dans la liste Objets sélectionnés (Selected Objects), puis cliquez sur Enregistrer (Save).

e Dans la colonne Destination, conservez la valeur par défaut N'importe laquelle.


VMware, Inc. 186

f Dans la colonne Service, cliquez sur l'icône Modifier (Edit) ( ).

La page Spécifier le service s'ouvre.

g Dans le menu déroulant Type d'objet (Object Type), sélectionnez Services.

h Dans la liste Objets disponibles (Available Objects), sélectionnez le service App_HTTP. Déplacez ce service dans la liste Objets sélectionnés (Selected Objects), puis cliquez sur Enregistrer (Save).

i Vérifiez que la règle de pare-feu est activée et que l'action de règle est définie sur Autoriser (Allow).

j Cliquez sur Publier (Publish) pour publier la configuration de règle de pare-feu.

La figure suivante illustre la règle de pare-feu que vous avez créée.

Figure 10-2. Définition de règle de pare-feu sensible au contexte

5 Connectez-vous à la console de votre VM source et initiez la commande Linux wget pour

télécharger des fichiers à partir du Web à l'aide de HTTP.

6 Sur la carte réseau virtuelle de la VM source, activez la surveillance de flux en direct pour surveiller les flux de trafic sur la VM source.

a Accédez à Outils (Tools) > Flow Monitoring.

b Sélectionnez une carte réseau virtuelle particulière sur la VM source. Par exemple, sélectionnez l2vpn-client-vm-Network adapter 1.

c Cliquez sur Démarrer (Start) pour afficher les données de surveillance de flux.


VMware, Inc. 187

7 Dans la figure suivante, les données de surveillance de flux indiquent que la règle de pare-feu a détecté le contexte d'application (HTTP). La règle 1005 s'applique sur la VM source (10.161.117.238) et le trafic est dirigé vers les adresses IP de destination 151.101.129.67 et 151.101.53.67.

Figure 10-3. Flux de trafic sur la VM source

8 Revenez à la page Pare-feu et passez l'action de règle sur Bloquer (Block).

9 Accédez à la console de la VM source et exécutez de nouveau la commande wget.

Vous voyez que les demandes HTTP sont maintenant bloquées sur la VM source. Vous devez voir une erreur dans la console de VM qui ressemble à ce qui suit :

HTTP request sent, awaiting response ... Read error (Connection reset by peer) in headersRetrying.

La figure suivante montre un flux avec le contexte d'application (HTTP) détecté et bloqué sur la carte réseau virtuelle de la VM source (10.161.117.238).

Figure 10-4. Flux de trafic sur la VM source

Étape suivante

Pour connaître d'autres scénarios où vous pouvez utiliser des règles de pare-feu sensible au contexte, reportez-vous à la section Scénarios de pare-feu sensible au contexte.


VMware, Inc. 188

Temporisateurs de session

Il est possible de configurer des Temporisateurs de session pour les sessions TCP, UDP et ICMP.

Les temporisateurs de session définissent la durée pendant laquelle une session est maintenue sur le pare-feu une fois qu'elle n'est plus active. Lorsque le délai d'expiration de la session pour le protocole expire, la session se ferme.

Sur le pare-feu, il est possible de spécifier plusieurs délais d'expiration pour les sessions TCP, UDP et ICMP pour appliquer un sous-ensemble personnalisé de machines virtuelles ou de vNIC. Par défaut, les machines virtuelles ou les vNIC qui ne sont pas incluses dans le temporisateur défini par l'utilisateur le sont dans le temporisateur de session global. Tous ces délais sont globaux, ce qui signifie qu'ils s'appliquent à toutes les sessions de ce type sur l'hôte.

Les valeurs de session par défaut peuvent être modifiées en fonction des besoins de votre réseau. Notez que la définition d'une valeur trop basse peut entraîner des délais d'expiration fréquents, et la définition d'une valeur trop élevée peut retarder la détection des pannes.

Créer un temporisateur de session

Les temporisateurs de session définissent la durée pendant laquelle une session est maintenue sur le pare-feu après une période d'inactivité dans la session.

Sur le pare-feu, vous pouvez définir des délais d'expiration pour les sessions TCP, UDP et ICMP pour un ensemble de VM ou de vNIC définies par l'utilisateur. Le temporisateur par défaut est global, ce qui signifie qu'il s'applique à toutes les machines virtuelles protégées par le pare-feu.

Procédure

1 Accédez aux paramètres du délai d'expiration.

u Dans NSX 6.4.1 et versions ultérieures, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Paramètres du pare-feu (Firewall Settings) > Paramètres du délai d'expiration (Timeout Settings).

u Dans NSX 6.4.0, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Pare-feu (Firewall) > Paramètres (Settings).

2 Si plusieurs instances de NSX Manager sont disponibles, sélectionnez-en une dans la liste déroulante.

3 Cliquez sur l'icône Ajouter (Add) ( ).

4 Entrez un nom (name) (obligatoire) et une description (facultative) pour le temporisateur de session.


VMware, Inc. 189

5 Sélectionnez le protocole. Acceptez les valeurs par défaut ou entrez vos propres valeurs.

Variables TCP Description

Premier paquet Valeur de délai d'expiration pour la connexion après l'envoi du premier paquet. La valeur par défaut est de 120 secondes.

Fermeture Valeur de délai d'expiration pour la connexion après l'envoi du premier FIN. La valeur par défaut est de 120 secondes.

Ouvert Valeur de délai d'expiration pour la connexion après le transfert d'un second paquet. La valeur par défaut est de 30 secondes.

FIN WAIT Valeur de délai d'expiration pour la connexion après que les deux FIN ont été échangés et que la connexion a été fermée. La valeur par défaut est de 45 secondes.

Établi Valeur de délai d'expiration pour la connexion une fois la connexion établie.

Fermé Valeur de délai d'expiration pour la connexion une fois qu'un point de terminaison envoie un paquet RST. La valeur par défaut est de 20 secondes.

Variables UDP Description

Premier paquet Valeur de délai d'expiration pour la connexion après l'envoi du premier paquet. Délai d'expiration initial pour le nouveau flux UDP. La valeur par défaut est de 60 secondes.

Unique Valeur de délai d'expiration pour la connexion si l'hôte source envoie plusieurs paquets et que l'hôte de destination n'en a pas renvoyé un. La valeur par défaut est de 30 secondes.

Multiple Valeur de délai d'expiration pour la connexion si les deux hôtes ont envoyé des paquets. La valeur par défaut est de 60 secondes.

Variables ICMP Description

Premier paquet Valeur de délai d'expiration pour la connexion après l'envoi du premier paquet. Délai d'expiration initial pour le nouveau flux ICMP. La valeur par défaut est de 20 secondes.

Réponse d'erreur Valeur de délai d'expiration pour la connexion après qu'une erreur ICMP a été renvoyée en réponse à un paquet ICMP. La valeur par défaut est de 10 secondes.

6 Dans NSX 6.1 et versions ultérieures, cliquez sur Suivant (Next).

7 Sélectionnez le type d'objet, vNIC ou VM.

La liste Objets disponibles est automatiquement remplie.

8 Sélectionnez un ou plusieurs objets et cliquez sur la flèche pour les déplacer vers la colonne Objets sélectionnés (Selected Objects).

9 Cliquez sur OK ou sur Terminer (Finish).

Résultats

Un temporisateur a été créé pour s'appliquer à un ensemble d'hôtes définis par l'utilisateur.

Modifier un temporisateur de session

Configurez les paramètres de délai d'expiration pour les protocoles TCP, UDP et ICMP.

Une fois qu'un temporisateur de session a été créé, il peut être modifié au besoin. Le temporisateur de session par défaut peut également être modifié.


VMware, Inc. 190

Procédure

1 Accédez aux paramètres du délai d'expiration.

u Dans NSX 6.4.1 et versions ultérieures, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Paramètres du pare-feu (Firewall Settings) > Paramètres du délai d'expiration (Timeout Settings).

u Dans NSX 6.4.0, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Pare-feu (Firewall) > Paramètres (Settings).

2 Si plusieurs instances de NSX Manager sont disponibles, sélectionnez-en une dans la liste déroulante.

3 Sélectionnez le temporisateur à modifier. Notez que les valeurs de temporisateur par défaut peuvent également être modifiées. Cliquez sur l'icône de crayon (pencil).

4 Entrez un nom (name) (obligatoire) et une description (facultative) pour le temporisateur de session.

5 Sélectionnez le protocole. Modifiez toutes les valeurs par défaut que vous souhaitez.

Variables TCP Description

Premier paquet Valeur de délai d'expiration pour la connexion après l'envoi du premier paquet. La valeur par défaut est de 120 secondes.

Fermeture Valeur de délai d'expiration pour la connexion après l'envoi du premier FIN. La valeur par défaut est de 120 secondes.

Ouvert Valeur de délai d'expiration pour la connexion après le transfert d'un second paquet. La valeur par défaut est de 30 secondes.

FIN WAIT Valeur de délai d'expiration pour la connexion après que les deux FIN ont été échangés et que la connexion a été fermée. La valeur par défaut est de 45 secondes.

Établi Valeur de délai d'expiration pour la connexion une fois la connexion établie.

Fermé Valeur de délai d'expiration pour la connexion une fois qu'un point de terminaison envoie un paquet RST. La valeur par défaut est de 20 secondes.

Variables UDP Description

Premier paquet Valeur de délai d'expiration pour la connexion après l'envoi du premier paquet. Délai d'expiration initial pour le nouveau flux UDP. La valeur par défaut est de 60 secondes.

Unique Valeur de délai d'expiration pour la connexion si l'hôte source envoie plusieurs paquets et que l'hôte de destination n'en a pas renvoyé un. La valeur par défaut est de 30 secondes.

Multiple Valeur de délai d'expiration pour la connexion si les deux hôtes ont envoyé des paquets. La valeur par défaut est de 60 secondes.

Variables ICMP Description

Premier paquet Valeur de délai d'expiration pour la connexion après l'envoi du premier paquet. Délai d'expiration initial pour le nouveau flux ICMP. La valeur par défaut est de 20 secondes.

Réponse d'erreur Valeur de délai d'expiration pour la connexion après qu'une erreur ICMP a été renvoyée en réponse à un paquet ICMP. La valeur par défaut est de 10 secondes.


VMware, Inc. 191

6 Dans NSX 6.1 et versions ultérieures, cliquez sur Suivant (Next).

7 Sélectionnez le type d'objet, vNIC ou VM.

La liste Objets disponibles est automatiquement remplie.

8 Sélectionnez un ou plusieurs objets et cliquez sur la flèche pour les déplacer vers la colonne Objets sélectionnés (Selected Objects).


Découverte d'adresses IP pour les machines virtuelles

VMware Tools s'exécute sur une machine virtuelle et offre plusieurs services. L'association d'une machine virtuelle et de ses cartes réseau virtuelles à des adresses IP est un service indispensable pour le pare-feu distribué. Dans les versions antérieures à NSX 6.2, l'adresse IP d'une machine virtuelle n'était pas détectée si VMware Tools n'était pas installé sur cette machine. Dans NSX 6.2 et versions ultérieures, vous pouvez configurer les clusters afin qu'ils détectent les adresses IP des machines virtuelles à l'aide de l'écoute DHCP et/ou de l'écoute ARP. De cette façon, NSX peut détecter l'adresse IP d'une machine virtuelle sur laquelle VMware Tools n'est pas installé. Si VMware Tools est installé, il peut être combiné aux écoutes DHCP et ARP.

VMware vous recommande d'installer VMware Tools sur chaque machine virtuelle de votre environnement. Cet outil fournit à vCenter les adresses IP des machines virtuelles, mais offre également les fonctions suivantes :

n Il permet d'effectuer des copier-coller entre la machine virtuelle et l'hôte ou le poste de travail client.

n Il synchronise l'heure avec le système d'exploitation de l'hôte.

n Il permet d'arrêter ou de redémarrer la machine virtuelle à partir de vCenter.

n Il collecte auprès de la machine virtuelle des informations sur l'utilisation du réseau, du disque et de la mémoire qu'il transmet ensuite à l'hôte.

n Il détermine la disponibilité de la machine virtuelle en envoyant et en collectant des pulsations.

Notez que disposer de deux cartes réseau virtuelles pour une VM sur le même réseau n'est pas pris en charge et peut entraîner des résultats imprévisibles quant au trafic bloqué ou autorisé.

Pour détecter l'adresse IP d'une machine virtuelle sur laquelle VMware Tools n'est pas installé, NSX utilisera l'écoute ARP ou DHCP si ces écoutes sont activées sur le cluster de la machine.

Les adresses IP détectées à l'aide de l'écoute ARP ne sont pas supprimées automatiquement. En d'autres termes, il n'y a pas de délai d'expiration pour les adresses IP de vNIC qui sont détectées à l'aide de l'écoute ARP.

Modifier le type de détection d'adresse IP

L'adresse IP d'une machine virtuelle peut être détectée par VMware Tools qui est installé sur la VM, ou par des écoutes ARP ou DHCP. Ces méthodes de détection d'adresse IP peuvent être utilisées simultanément dans une même installation NSX.


VMware, Inc. 192

Vous pouvez spécifier les types de détection d'adresses IP à un niveau global ou au niveau du cluster d'hôtes. En règle générale, les utilisateurs disposant de rôles d'administrateur de sécurité et d'ingénieur de sécurité préfèrent spécifier le type de détection d'adresses IP à un niveau global. Ils utilisent les adresses IP de VM détectées pour configurer les stratégies SpoofGuard et les stratégies de pare-feu distribué.

Les utilisateurs disposant d'un rôle d'administrateur d'entreprise bénéficient généralement d'une vue plus étendue du réseau virtuel complet et préfèrent contrôler le type de détection d'adresse IP en modifiant les paramètres au niveau du cluster d'hôtes. Les paramètres de détection d'adresses IP au niveau du cluster d'hôtes remplacent les paramètres spécifiés au niveau global.

Procédure

1 Accédez à la page Modifier le type de détection d'adresse IP.

Niveau de détection d'adresses IP Étapes

Détection d'adresses IP globale a Accédez à Mise en réseau et sécurité > Sécurité > SpoofGuard.

b En regard de Type de détection IP, cliquez sur l'icône .

Détection d'adresses IP du cluster d'hôtes

a Accédez à Mise en réseau et sécurité > Installation et mise à niveau > Préparation de l'hôte.

b Cliquez sur le cluster pour lequel vous souhaitez modifier le type de détection d'adresses IP, puis cliquez sur Actions > Modifier le type de détection d'adresses IP.

2 Sélectionnez les types de détection d'adresses IP souhaités, puis cliquez sur Enregistrer

(Save) ou sur OK.

Type de détection d'adresses IP Description

Écoute DHCP NSX détecte les adresses IP des VM du réseau en lisant les entrées d'écoute DHCP.

Écoute ARP NSX détecte les adresses IP des VM à l'aide du mécanisme d'écoute ARP.

Recommandation Configurez SpoofGuard lorsque vous utilisez l'écoute ARP pour détecter des adresses IP. SpoofGuard vous permet de défendre votre réseau contre les attaques d'empoisonnement ARP.

3 Si vous avez sélectionné l'écoute ARP, entrez le nombre maximal d'adresses IP ARP qui

doivent être détectées par carte réseau virtuelle, pour chaque VM. La valeur par défaut est 1.

L'écoute ARP peut détecter jusqu'à 128 adresses IP par carte réseau virtuelle, pour chaque VM. La plage de valeurs valide est comprise entre 1 et 128. Par exemple, si vous spécifiez la valeur 5, cela signifie qu'un maximum de cinq adresses IP sont détectées par carte réseau virtuelle pour chaque VM.

Les adresses IP détectées à l'aide de l'écoute ARP ne sont pas supprimées automatiquement. En d'autres termes, il n'y a pas de délai d'expiration pour les adresses IP de vNIC qui sont détectées à l'aide de l'écoute ARP.


VMware, Inc. 193

Étape suivante

n Si vous avez activé l'écoute ARP, pensez à configurer SpoofGuard afin de défendre votre réseau contre les attaques d'empoisonnement ARP.

n Configurez la règle de pare-feu par défaut.

Exclusion de machines virtuelles de la protection assurée par le pare-feu

Vous pouvez exclure un ensemble de machines virtuelles de la protection par pare-feu distribué.

Les machines virtuelles NSX Manager, NSX Controller et NSX Edge sont automatiquement exclues de la protection par pare-feu distribué. En outre, placez les machines virtuelles de service suivantes dans la liste d'exclusion pour permettre au trafic de circuler sans entrave.

n vCenter Server. Il peut être déplacé vers un cluster protégé par pare-feu, mais il doit déjà exister dans la liste d'exclusion pour éviter tout problème de connectivité.

Note Il est important d'ajouter vCenter Server à la liste d'exclusion avant de passer la règle par défaut « any any » de Autoriser à Bloquer. Le non-respect de cette instruction entraîne le blocage de l'accès à vCenter Server après la création d'une règle Refuser tout (ou après la modification de la règle par défaut sur l'action bloquer). Dans ce cas, utilisez l'API pour remplacer la règle par défaut refuser par autoriser. Par exemple, utilisez GET /api/4.0/firewall/globalroot-0/config pour récupérer la configuration actuelle

et utilisez PUT /api/4.0/firewall/globalroot-0/config pour modifier la configuration.

Reportez-vous à la section « Utilisation de la configuration du pare-feu distribué » dans le Guide de Guide de NSX API pour plus d'informations.

n Machines virtuelles de service partenaires.

n Machines virtuelles nécessitant un mode Promiscuité. Si ces machines virtuelles sont protégées par le pare-feu distribué, leurs performances risquent d'en souffrir.

n Le serveur SQL utilisé par votre vCenter basé sur Windows.

n Serveur Web vCenter si vous l'exécutez séparément.

Procédure

1 Accédez aux paramètres de la liste d'exclusion.

u Dans NSX 6.4.1 et versions ultérieures, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Paramètres du pare-feu (Firewall Settings) > Liste d'exclusion (Exclusion List).

u Dans NSX 6.4.0, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Pare-feu (Firewall) > Liste d'exclusion (Exclusion List).


3 Déplacez les machines virtuelles que vous souhaitez exclure vers les Objets sélectionnés.


VMware, Inc. 194

4 Cliquez sur OK.

Résultats

Si une machine virtuelle dispose de plusieurs cartes réseau virtuelles (vNIC), toutes ces cartes virtuelles sont exclues de la protection. Si vous ajoutez des cartes réseau virtuelles (vNIC) à une machine virtuelle après son ajout à la liste d'exclusion, le pare-feu est automatiquement déployé sur les vNIC qui viennent d'être ajoutés. Pour exclure les nouvelles cartes réseau virtuelles (vNIC) de la protection assurée par le pare-feu, vous devez supprimer la machine virtuelle de la liste d'exclusion avant de l'ajouter à nouveau à cette liste. Une autre méthode consiste à appliquer un cycle d'alimentation (mettre hors tension, puis à nouveau sous tension) à la machine virtuelle, mais la première option entraîne moins de perturbations.

Affichage des événements de seuil du pare-feu du CPU et de la mémoire

Lorsqu'un cluster est préparé pour la virtualisation du réseau, le module pare-feu est installé sur tous les hôtes de ce cluster. Ce module alloue trois segments : un segment pour les paramètres du module, un segment pour les règles, les conteneurs et les filtres et un segment d'état pour les flux de trafic. L'allocation de la taille du tas est déterminée par la mémoire physique hôte disponible. Selon le nombre de règles, d'ensembles de conteneurs et de connexions, la taille du tas peut augmenter ou diminuer dans le temps. Le module pare-feu exécuté dans l'hyperviseur utilise également les CPU hôtes pour le traitement des paquets.

Connaître l'utilisation des ressources hôtes à tout moment peut vous aider à optimiser l'utilisation de votre serveur et la conception du réseau.

Les seuils par défaut du CPU et de la mémoire sont fixés à 100. Vous pouvez modifier les valeurs des seuils par défaut via des appels API REST. Le module pare-feu génère des événements système lorsque l'utilisation du CPU et de la mémoire dépasse les seuils. Pour plus d'informations sur la configuration des valeurs de seuil par défaut, reportez-vous à la section Utilisation des seuils de CPU et de mémoire dans le Guide de NSX API.

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Système (System) > Événements (Events).

2 Vérifiez que vous êtes bien dans l'onglet Surveiller (Monitor).

3 Cliquez sur l'onglet Événements système (System Events).

Utilisation des ressources de Pare-feu distribué

La mémoire est utilisée par les structures de données internes de Pare-feu distribué et peut être configurée pour le CPU, la RAM et les connexions par seconde.

Chaque hôte ESXi est configuré avec les paramètres de seuil suivants pour l'utilisation des ressources de Pare-feu distribué :


VMware, Inc. 195

Utilisation du CPU, mémoire de segment de mémoire, mémoire de processus, connexions par seconde (CPS) et nombre maximal de connexions. Une alarme se déclenche si le seuil correspondant est dépassé 20 fois consécutives au cours d'une période de 200 secondes. Un échantillon est prélevé toutes les 10 secondes.

La mémoire est utilisée par les structures de données internes du pare-feu distribué (filtres, règles, conteneurs, états de la connexion, IP découvertes et flux abandonnés). Vous pouvez manipuler ces paramètres à l'aide de l'appel d'API suivant : PUT /api/4.0/firewall/stats/thresholds.

Consultez le Guide de NSX API pour plus d'informations.

Edge Firewall

Edge Firewall surveille le trafic vertical afin de fournir une fonctionnalité de sécurité du périmètre comportant le pare-feu, la traduction d'adresse réseau (NAT), IPSec de site à site et la fonctionnalité VPN SSL. Cette solution est disponible dans le format de la machine virtuelle et peut être déployée en mode High Availability.

La prise en charge de Firewall est limitée sur le routeur logique. Seules les règles sur les interfaces de gestion ou de liaison montante fonctionnent. Les règles sur les interfaces internes ne fonctionnent pas.

Note Edge Services Gateway (ESG) est vulnérable aux attaques SYN Flood, lorsqu'une personne malveillante remplit la table de suivi de l'état du pare-feu en la saturant de paquets SYN. Cette attaque DOS/DDOS crée une interruption de service pour les utilisateurs de bonne foi. NSX Edge peut se défendre contre les attaques par propagation SYN en utilisant le mécanisme de cookie SYN de manière intelligente pour détecter les connexions TCP factices et les arrêter sans consommer de ressources de suivi de l'état du pare-feu. Avant que la file d’attente SYN ne soit saturée, les connexions entrantes passent normalement. Une fois la file d'attente SYN pleine, le mécanisme des cookies SYN prend effet.

Toutefois, pour les serveurs derrière NSX Edge, la fonctionnalité de protection de propagation SYN est désactivée par défaut. NSX Edge utilise SYNPROXY pour effectuer la protection de propagation SYN.

Pour des informations détaillées sur le comportement de SYNPROXY lorsque SynFloodProtection est activé sur un dispositif NSX Edge, consultez l'article de la base de

connaissances de VMware à l'adresse https://kb.vmware.com/s/article/54527.

Utilisation des règles de NSX Edge Firewall

Vous pouvez naviguer vers une instance NSX Edge pour consulter les règles de pare-feu qui s'y appliquent.


VMware, Inc. 196

https://kb.vmware.com/s/article/54527

Les règles de pare-feu appliquée à un routeur logique protègent uniquement le trafic de plan de contrôle depuis et vers la machine virtuelle de contrôle du routeur logique. Il ne s'appliquent à aucune protection du plan des données. Pour protéger le trafic du plan des données, créez des règles de pare-feu logiques pour la protection Est-Ouest ou des règles au niveau de NSX Edge Services Gateway pour la protection Nord-Sud.

Les règles sont affichées et appliquées dans l'ordre suivant :

1 Règles de pare-feu distribué prédéfinies qui sont appliquées au dispositif Edge.

n Ces règles sont définies sur l'interface utilisateur du pare-feu (Mise en réseau et sécurité > Sécurité > Pare-feu)

n Ces règles sont affichées en mode lecture seule sur l'interface utilisateur du pare-feu NSX Edge.

2 Règles internes qui permettent d'acheminer le trafic de contrôle pour les services Edge. Par exemple, les règles internes incluent les règles raccordées automatiquement suivantes :

a Règle automatique VPN SSL : l'onglet Edge Firewall affiche la règle automatique sslvpn lorsque les paramètres du serveur sont configurés et que le service VPN SSL est activé.

b Règle accordée automatiquement DNAT : l'onglet NAT Edge affiche la règle automatique DNAT dans le cadre de la configuration de VPN SSL par défaut.

3 Règles définies par l'utilisateur qui sont ajoutées à l'interface utilisateur du pare-feu NSX Edge.

4 Les règles par défaut.

Modifier la règle NSX Edge Firewall par défaut

Les paramètres de pare-feu par défaut s'appliquent au trafic qui ne correspond à aucune règle de pare-feu définie par l'utilisateur. La stratégie Edge Firewall par défaut bloque tout le trafic entrant. Vous pouvez modifier l'action et les paramètres de journalisation par défaut.

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > NSX Edge (NSX Edges).


3 Cliquez sur Gérer > Pare-feu.


VMware, Inc. 197

4 Sélectionnez la Règle par défaut (Default Rule), qui correspond à la dernière règle dans le tableau des pare-feu.

Vous pouvez modifier l'action de règle ou activer ou désactiver la journalisation de toutes les sessions qui correspondent à la règle par défaut. L'activation de la journalisation peut nuire aux performances.


6.4.6 et versions ultérieures a Si nécessaire, modifiez l'action de règle.

b Dans la colonne Journaliser, cliquez sur le bouton bascule pour activer ou désactiver la journalisation.

6.4.5 et versions antérieures a Pointez le curseur sur la cellule Action de la règle par défaut et cliquez

sur .

b Si nécessaire, modifiez l’action de règle.

c Cliquez sur Journaliser (Log) ou Ne pas mettre à jour le journal si nécessaire.


Ajouter une règle NSX Edge Firewall

Vous pouvez ajouter des règles de pare-feu Edge définies par l'utilisateur sur NSX Edge Service Gateways pour accepter, rejeter ou refuser des types de trafic spécifiques. Cependant, il n'est pas possible d'ajouter des règles de pare-feu définies par l'utilisateur sur un routeur logique distribué.

L'interface de pare-feu Edge propose les méthodes suivantes pour ajouter une règle de pare-feu Edge :

n Ajouter une règle au-dessus ou en dessous d'une règle existante dans la table de pare-feu.

n Ajouter une règle en copiant une règle existante.

n Ajouter une règle en cliquant sur l'icône Ajouter.

Mémoriser Si vous avez créé des règles de pare-feu distribué et les avez appliquées au dispositif Edge, ces règles sont affichées en mode lecture seule sur l'interface utilisateur du pare-feu Edge. Cependant, les règles de pare-feu Edge que vous créez via l'interface utilisateur du pare-feu Edge ne s'affichent pas sur l'interface de pare-feu utilisée pour créer les règles de pare-feu distribué (Mise en réseau et sécurité > Sécurité > Pare-feu).

Procédure






VMware, Inc. 198

5 Utilisez l'une des trois méthodes suivantes pour lancer le processus d'ajout d'une règle de pare-feu Edge.

Méthode n°1 : Ajouter une règle au-dessus ou en dessous d'une règle existante dans la table de pare-feu.

NSX définit les colonnes source, de destination et de service de la règle récemment ajoutée comme « quelconque ». Si la règle par défaut générée par le système est la seule règle de la table de pare-feu, la nouvelle règle est ajoutée au-dessus de la règle par défaut. La nouvelle règle est activée par défaut.

Version de NSX Étapes

6.4.6 et versions ultérieures a Sélectionnez une règle.

b Cliquez sur et sélectionnez Ajouter au-dessus (Add Above) ou Ajouter en dessous (Add Below).

6.4.5 et versions antérieures a Sélectionnez une règle.

b Dans la colonne n° , cliquez sur , puis sélectionnez Ajouter au-dessus ou Ajouter en dessous.

Méthode n°2 : Ajouter une règle en copiant une règle existante.

Dans NSX 6.4.5 et versions antérieures, vous pouvez créer une règle en copiant une seule règle à la fois. À partir de NSX 6.4.6, vous pouvez sélectionner plusieurs règles à copier simultanément. Les règles copiées sont activées par défaut et vous pouvez modifier les propriétés de la règle, si nécessaire.

Note Lorsque vous copiez et collez des règles « internes » générées par le système et une règle « par défaut », le type de règle « utilisateur » est automatiquement attribué aux règles récemment créées.


6.4.6 et versions ultérieures a Cochez la case en regard des règles que vous souhaitez copier.

b Cliquez sur Plus > Copier les règles sélectionnées.

c Sélectionnez la règle dans laquelle vous souhaitez coller les règles copiées.

d Cliquez sur et sélectionnez Coller une ou des règles au-dessus ou Coller une ou des règles en dessous.

6.4.5 et versions antérieures a Sélectionnez une règle.

b Cliquez sur l'icône Copier ( ) ou , puis sélectionnez Copier.

c Sélectionnez une règle dans laquelle vous souhaitez coller la règle copiée.

d Dans la colonne n° , cliquez sur , puis sélectionnez Coller au-dessus ou Coller en dessous.

Méthode n°3 : Ajouter une règle en cliquant sur l'icône Ajouter ( ou ).


VMware, Inc. 199

Une nouvelle ligne est ajoutée dans la table de pare-feu. NSX définit les colonnes source, de destination et de service de la règle récemment ajoutée comme « quelconque ». Si la règle par défaut générée par le système est la seule règle de la table de pare-feu, la nouvelle règle est ajoutée au-dessus de la règle par défaut. La nouvelle règle est activée par défaut.

6 (Facultatif) Spécifiez un nom de règle.

n Dans NSX 6.4.6 et versions ultérieures, cliquez dans la colonne Nom de la nouvelle règle et entrez un nom de règle.

n Dans NSX 6.4.5 et versions antérieures, pointez le curseur sur la colonne Nom (Name) de

la nouvelle règle, puis cliquez sur . Entrez un nom de règle, puis cliquez sur OK.

7 (Facultatif) Spécifiez la source de la règle de pare-feu.

Vous pouvez ajouter des adresses IP, des objets vCenter et des objets de regroupement en tant que source. Si aucune source n'est ajoutée, la source est définie comme « quelconque ». Vous pouvez ajouter plusieurs interfaces et groupes d'adresses IP NSX Edge en tant que sources des règles de pare-feu.


VMware, Inc. 200

Vous pouvez, si vous le souhaitez, créer un ensemble d'adresses IP ou un groupe de sécurité. Une fois l'ensemble d'adresses IP ou le groupe de sécurité créé, il est automatiquement ajouté dans la colonne Source de la règle.

a Sélectionnez un ou plusieurs objets à utiliser comme sources dans la règle de pare-feu.


6.4.6 et versions ultérieures Pour sélectionner des objets :

1 Pointez le curseur sur la colonne Source de la règle, puis cliquez sur

.

2 Dans l'onglet Objets, sélectionnez un type d'objet dans le menu déroulant Type d'objet.

3 Sélectionnez les objets dans la liste Objets disponibles et déplacez-les vers la liste Objets sélectionnés.

6.4.5 et versions antérieures Pour sélectionner des objets :

1 Pointez le curseur sur la colonne Source de la règle, puis cliquez sur

.

2 Sélectionnez un type d'objet dans le menu déroulant Type d'objet.


Par exemple, dans les deux cas suivants, vous pouvez utiliser le type d'objet « Groupe de vNIC » en tant que source :

Sélectionner l'ensemble du trafic généré par NSX Edge

Dans ce cas, sélectionnez Groupe de vNIC dans le menu déroulant Type d'objet, et dans la liste Objets disponibles, sélectionnez vse.

Sélectionner l'ensemble du trafic provenant de toute interface interne ou liaison montante (externe) du dispositif NSX Edge sélectionné

Dans ce cas, sélectionnez Groupe de vNIC dans le menu déroulant Type d'objet, puis dans la liste Objets disponibles, sélectionnez interne ou externe.

La règle est automatiquement mise à jour lorsque vous configurez de nouvelles interfaces sur le dispositif Edge.

Mémoriser Les règles de pare-feu définies sur les interfaces internes ne fonctionnent pas sur un routeur logique distribué.

b Entrez l'adresse IP à utiliser comme source pour la règle de pare-feu.

Vous pouvez entrer plusieurs adresses IP en utilisant une liste séparée par des virgules ou une plage d'adresses IP. Les adresses IPv4 et IPv6 sont prises en charge.

n Dans NSX 6.4.6 et versions ultérieures, cliquez sur . Cliquez sur l'onglet Adresses IP, puis cliquez sur Ajouter pour entrer les adresses IP.


VMware, Inc. 201

n Dans NSX 6.4.5 et versions antérieures, cliquez sur et entrez les adresses IP.

c (Facultatif) Inversez les sources définies dans votre règle de pare-feu.

n Si l'option Inverser la source est activée ou sélectionnée, la règle est appliquée au trafic provenant de toutes les sources, à l'exception des sources définies dans cette règle.

n Si l'option Inverser la source est désactivée ou si elle n'est pas sélectionnée, la règle est appliquée au trafic provenant des sources de cette règle.

8 (Facultatif) Spécifiez la destination de la règle de pare-feu.

Vous pouvez ajouter des adresses IP, des objets vCenter et des objets de regroupement en tant que destination. Si aucune destination n'est ajoutée, la destination est définie comme « quelconque ». Vous pouvez ajouter plusieurs interfaces et groupes d'adresses IP NSX Edge en tant que destinations des règles de pare-feu.

La procédure permettant d'ajouter des objets et des adresses IP dans la destination de la règle reste la même que celle décrite dans les sous-étapes d'ajout de la source de la règle.

Info-bulle À partir de NSX 6.4.6, vous pouvez faire glisser des objets et des adresses IP de la colonne Source vers la colonne Destination et inversement. En outre, vous pouvez faire glisser des objets et des adresses IP d'une règle vers une autre.


VMware, Inc. 202

9 (Facultatif) Spécifiez le service à utiliser dans la règle de pare-feu.

a Ajoutez un ou plusieurs services ou groupes de services dans la règle de pare-feu.

Vous pouvez ajouter un service prédéfini ou un groupe de services dans la règle, ou bien créer un service ou un groupe de services à utiliser dans la règle. NSX Edge prend en charge les services définis uniquement avec des protocoles L3.


6.4.6 et versions ultérieures 1 Pointez le curseur sur la colonne Service de la nouvelle règle et

cliquez sur .

2 Dans l'onglet Service/Groupes de services, sélectionnez un service ou un groupe de services dans le menu déroulant Type d'objet.


6.4.5 et versions antérieures 1 Pointez le curseur sur la colonne Service de la nouvelle règle et

cliquez sur .

2 Dans le menu déroulant Type d'objet, sélectionnez un service ou un groupe de services.


Info-bulle Dans NSX 6.4.6 et versions ultérieures, vous pouvez faire glisser des objets de service et de groupe de services d'une règle définie par l'utilisateur vers une autre.

b Ajoutez un ou plusieurs services dans la règle de pare-feu en tant que combinaison port-protocole.

Restriction Le protocole SCTP (Stream Control Transport Protocol) n'est pas pris en charge sur un pare-feu Edge.


6.4.6 et versions ultérieures 1 Pointez le curseur sur la colonne Service de la nouvelle règle et

cliquez sur .

2 Cliquez sur l'onglet Port-Protocole brut, puis sur Ajouter.

3 Sélectionnez un protocole.

4 Dans la colonne Port source, entrez les numéros de port.

6.4.5 et versions antérieures 1 Pointez le curseur sur la colonne Service de la nouvelle règle et

cliquez sur .

2 Sélectionnez un protocole.

3 Développez Options avancées et entrez les numéros de port source.

10 Spécifiez l'action de règle.

n Dans NSX 6.4.6 et versions ultérieures, sélectionnez une action dans le menu déroulant.


VMware, Inc. 203

n Dans NSX 6.4.5 et versions antérieures, pointez le curseur sur la colonne Action de la

règle, puis cliquez sur . Sélectionnez une action et cliquez sur OK.

Le tableau suivant décrit les actions de règle.

Action Description

Accepter ou Autoriser Autorise le trafic provenant ou à destination des sources, des destinations et des services spécifiés. Par défaut, l'action est définie sur Accepter le trafic.

Refuser ou Bloquer Bloque le trafic provenant ou à destination des sources, des destinations et des services spécifiés.

Rejeter Envoie des messages de rejet concernant les paquets n'ayant pas été acceptés.

n Les paquets RST sont envoyés aux connexions TCP.

n Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP.

11 (Facultatif) Indiquez si les sessions qui correspondent à cette nouvelle règle de pare-feu

doivent être journalisées.

Par défaut, la journalisation est désactivée pour la règle. L'activation de la journalisation peut nuire aux performances.

n Dans NSX 6.4.6 et versions ultérieures, cliquez sur le bouton bascule dans la colonne Journaliser pour activer la journalisation.


nouvelle règle, puis cliquez sur . Sélectionnez Journaliser ou Ne pas mettre à jour le journal.

12 (Facultatif) Spécifiez les paramètres avancés de la règle de pare-feu.

n Dans NSX 6.4.6 et versions ultérieures, cliquez sur l'icône Paramètres avancés ( ).


nouvelle règle, puis cliquez sur . Développez les options Avancées.


VMware, Inc. 204

Le tableau suivant décrit les options avancées.

Option Description

Direction Indiquez si la règle doit être appliquée au trafic entrant, au trafic sortant ou aux deux. La valeur par défaut est « Entrant/Sortant », ce qui signifie que la règle est appliquée de manière symétrique à la source et la destination.

VMware déconseille de spécifier la direction des règles de pare-feu, car « entrant » ou « sortant » peut engendrer une asymétrie des règles.

Par exemple, supposez que vous ayez créé une règle de pare-feu pour « autoriser » le trafic de la source A vers la destination B et que la direction de la règle est définie sur « sortant ».

n Lorsque A envoie un paquet sur B, un état est créé en fonction de cette règle sur A, car la direction du trafic est « sortant » sur A.

n Lorsque le paquet est reçu sur B, la direction du trafic réel est « entrant ». Étant donné que la direction de la règle est définie pour accepter uniquement le « trafic sortant », la règle n'atteint pas ce paquet sur B.

Cet exemple illustre une asymétrie de la règle provoquée par la définition de la direction « sortant » dans cette dernière.

Correspondance avec Utilisez cette option pour spécifier quand la règle de pare-feu doit être appliquée.

n Sélectionnez Initial lorsque vous souhaitez que la règle soit appliquée sur l'adresse IP et les services initiaux avant l'exécution de la traduction des adresses réseau.

n Sélectionnez Traduit lorsque vous souhaitez que la règle soit appliquée sur l'adresse IP et les services traduits après l'exécution de la traduction des adresses réseau.

13 Cliquez sur Publier les modifications (Publish Changes) pour envoyer la nouvelle règle au

dispositif NSX Edge.

Exemple : Exemples de règles de pare-feu

Figure 10-5. Règle de pare-feu pour le trafic allant d'une interface NSX Edge à un serveur HTTP

Figure 10-6. Règle de pare-feu pour le trafic allant de toutes les interfaces internes (sous-réseaux sur les groupes de ports connectés aux interfaces internes) d'un NSX Edge à un serveur HTTP


VMware, Inc. 205

Figure 10-7. Règle de pare-feu pour le trafic pour autoriser SSH dans une machine sur un réseau interne

Étape suivante

Lors de l'utilisation des règles de pare-feu Edge, vous pouvez effectuer plusieurs tâches supplémentaires dans la table de pare-feu. Par exemple :

n Filtrer la liste de règles dans la table en masquant les règles par défaut et internes générées par le système ou en masquant les règles de pare-feu distribué prédéfinies qui ont été appliquées sur le dispositif Edge.

n Rechercher des règles qui correspondent à une chaîne spécifique dans la zone de texte Rechercher. Par exemple, pour rechercher toutes les règles contenant la chaîne « 133 », tapez 133 dans la zone de texte Rechercher.

n Afficher les statistiques des règles publiées.

n Dans NSX 6.4.6 et versions ultérieures, cliquez sur l'icône Statistiques ( ).

n Dans NSX 6.4.5 et versions antérieures, assurez-vous que la colonne Statistiques s'affiche

dans la table de pare-feu. Si la colonne Statistiques n'est pas affichée, cliquez sur l'et sélectionnez la colonne Statistiques. Pour afficher les statistiques de la règle, cliquez sur

.

n Modifiez l'ordre des règles définies par l'utilisateur en cliquant sur les icônes Monter ( ou )

ou Descendre ( ou ). Dans NSX 6.4.6 et versions ultérieures, vous pouvez faire glisser des règles définies par l'utilisateur pour modifier l'ordre. Pointez le curseur sur la règle définie par

l'utilisateur que vous souhaitez faire glisser. Une icône de poignée de glissement ( ) s'affiche à gauche de la règle. Cliquez sur cette dernière et faites-la glisser pour déplacer la règle vers un emplacement valide de la table de pare-feu.

Important Vous ne pouvez pas modifier l'ordre des règles générées par le système ou de la règle par défaut.

n Désactivez une règle.

n Dans NSX 6.4.6 et versions ultérieures, cliquez sur le bouton bascule à gauche du nom de la règle.

n Dans NSX 6.4.5 et versions antérieures, cliquez sur dans la colonne N° (No.).


VMware, Inc. 206

n Annulez et rétablissez les modifications de la règle jusqu'à ce que la règle soit publiée. Cette fonctionnalité est disponible dans NSX 6.4.6 et versions ultérieures. Une fois la règle publiée, l'historique des modifications de la règle est perdu, et il est impossible d'annuler ou de rétablir les modifications.

Modifier une règle NSX Edge Firewall

Vous pouvez modifier uniquement les règles de pare-feu Edge définies par l'utilisateur et apporter des modifications limitées à la règle de pare-feu par défaut générée par le système.

Procédure





5 Sélectionnez la règle à modifier.

Note Il n'est pas possible de modifier les types de règles suivants dans l'NSX Edgeinterface utilisateur du pare-feu :

n Règles internes (par exemple, règles raccordées automatiquement qui permettent d'acheminer le trafic de contrôle pour les services Edge.)

n Règles de pare-feu distribué prédéfinies qui sont appliquées au dispositif Edge. Ces règles de pare-feu sont définies dans l'interface utilisateur du pare-feu (Mise en réseau et sécurité > Sécurité > Pare-feu).

6 Effectuez les modifications souhaitées et cliquez sur Enregistrer ou sur OK.


Modifier l'ordre d'une règle de pare-feu NSX Edge

Vous pouvez modifier l'ordre des règles de pare-feu définies par l'utilisateur et ajoutées dans l'onglet Pare-feu Edge afin de personnaliser le passage du trafic dans le dispositif NSX Edge. Par exemple, si vous avez une règle pour autoriser le trafic de l'équilibrage de charge, Vous pouvez désormais ajouter une règle pour refuser le trafic de l'équilibrage de charge d'un groupe d'adresses IP spécifique et positionner cette règle au-dessus de la règle autorisant le trafic de l'équilibrage de charge.

Procédure





VMware, Inc. 207


5 Sélectionnez la règle dont vous voulez changer l'ordre.

Important Vous ne pouvez pas modifier l'ordre des règles générées par le système ou de la règle par défaut.

6 Cliquez sur l'icône Monter (Move Up) ( ou ) ou Descendre (Move Down) ( ou ).

Info-bulle Dans NSX 6.4.6 et versions ultérieures, vous pouvez faire glisser des règles définies par l'utilisateur pour modifier l'ordre. Pointez le curseur sur la règle définie par

l'utilisateur que vous souhaitez faire glisser. Une icône de poignée de glissement ( ) s'affiche à gauche de cette règle. Cliquez sur cette dernière et faites-la glisser pour déplacer la règle vers un emplacement valide de la table de pare-feu.


Supprimer une règle NSX Edge Firewall

Vous pouvez supprimer uniquement une règle de pare-feu définie par l'utilisateur qui a été ajoutée à l'onglet Pare-feu NSX Edge.

Procédure





5 Sélectionnez une règle définie par l'utilisateur à supprimer.

Restriction Il n'est pas possible de supprimer les types de règles de pare-feu suivants :

n Règle par défaut

n Règles (raccordées automatiquement) internes générées par le système

n Règles de pare-feu distribué prédéfinies qui sont appliquées au dispositif Edge via l'interface utilisateur du pare-feu (Mise en réseau et sécurité > Sécurité > Pare-feu).


7 Cliquez sur Publier les modifications.

Marquer une règle de pare-feu Edge comme valide

Une règle de pare-feu Edge n'est plus valide lorsque les objets de regroupement, services ou groupes de services utilisés dans la règle sont supprimés. Les règles de pare-feu non valides ne peuvent pas être publiées.


VMware, Inc. 208

Supposons que vous ayez créé une règle de pare-feu Edge qui utilise un objet d'ensemble d'adresses IP dans la destination de la règle, comme illustré dans la figure suivante.

Dans la procédure suivante, vous allez supprimer l'objet « FW-IPset » sur le dispositif Edge, puis revenir à la table de pare-feu pour noter que NSX Edge détecte la règle non valide. Vous allez marquer la règle comme valide et republier la règle.

Procédure

1 Forcez la suppression de l'objet d'ensemble d'adresses IP sur le dispositif Edge.


b Cliquez sur Mise en réseau et sécurité > Dispositifs NSX Edge.

c Double-cliquez sur le dispositif Edge et accédez à Gérer > Regroupement des objets.

d Cliquez sur l'onglet Ensembles d'adresses IP, puis sélectionnez l'objet FW-IPSet.

e Cliquez sur l'icône Supprimer ( ou ), puis cochez la case Procéder à la suppression forcée.

2 Cliquez sur l'onglet Pare-feu pour revenir à la table de pare-feu Edge.

3 Notez que NSX affiche le message d'erreur suivant au-dessus de la table de pare-feu.

NSX Edge détecte que la destination de la règle de pare-feu à la position 4 n'est pas valide et, par conséquent, la règle devient non valide. L'objet vide dans la colonne de destination de la règle est délimité par un cadre rouge, comme illustré dans la figure suivante.


VMware, Inc. 209

4 (Requis) Supprimez l'objet vide.


6.4.6 et versions ultérieures Pointez le curseur sur l'objet sys-gen-empty-ipset-edge-fw vide, cliquez

sur l' , puis sélectionnez Supprimer.

6.4.5 et versions antérieures Pointez le curseur sur l'objet sys-gen-empty-ipset-edge-fw vide et

cliquez sur l' .

5 (Facultatif) Modifiez la destination de la règle pour rendre la configuration de la règle valide.


6.4.6 et versions ultérieures a Pointez le curseur sur la colonne Destination de la règle, cliquez sur l'et sélectionnez Modifier la destination de la règle.

b Ajoutez des objets ou des adresses IP, si nécessaire.

6.4.5 et versions antérieures a Pointez le curseur sur la colonne Destination de la règle, puis cliquez sur

.

b Ajoutez des objets ou des adresses IP, si nécessaire.

6 (6.4.6 et versions ultérieures uniquement) Cliquez sur le lien Marquer la règle comme valide

dans le message d'erreur.

NSX Edge présente le message d'avertissement suivant :

This action will mark rule as valid.Please ensure that all elements in the rule are valid objects before performing this action.Do you want to continue?

n Pour vérifier que la règle peut être marquée comme valide, cliquez sur Oui. Le message d'erreur est supprimé.

n Pour fermer le message d'avertissement et revenir à la table de pare-feu afin de vérifier et modifier la destination de la règle, cliquez sur Non.

Note Dans NSX 6.4.5 et versions antérieures, le message d'erreur au-dessus de la table de pare-feu n'affiche pas le lien Marquer la règle comme valide. Après avoir supprimé l'objet vide et éventuellement modifié la destination de la règle, NSX Edge supprime le message d'erreur lorsqu'il détecte que la configuration de la règle est devenue valide.

7 Cliquez sur Publier les modifications pour que les modifications de la règle prennent effet.

Objets Edge

Vous pouvez créer des objets de regroupement de niveau Edge pour limiter la portée des objets à un dispositif Edge. Les objets de regroupement Edge diffèrent des objets de regroupement de réseau, qui ont une étendue globale et qui peuvent être utilisés sur des dispositifs Edge et autres objets.


VMware, Inc. 210

Par exemple, si vous voulez créer un ensemble d'adresses IP (groupe d'adresses IP) pour un dispositif Edge spécifique et vous assurer que cet ensemble d'adresses IP ne peut pas être réutilisé dans d'autres contextes, vous pouvez créer un ensemble d'adresses IP Edge.

À l'échelle d'un dispositif NSX Edge, vous pouvez créer et gérer les objets de regroupement suivants :

n Ensembles d'adresses IP

n Services

n Groupes de services

Pour créer des objets Edge dans le dispositif vSphere Web Client, sélectionnez un dispositif Edge et accédez à Gérer (Manage) > Objets de regroupement (Grouping Objects).

Pour plus d'informations sur l'utilisation des ensembles d'adresses IP (groupes d'adresses IP), des services et des groupes de services, reportez-vous à la section Chapitre 22 Objets réseau et de sécurité.

Gestion des règles NAT

NSX Edge offre un service de traduction d'adresse réseau (NAT) pour attribuer une adresse publique à un ordinateur ou un groupe d'ordinateurs dans un réseau privé. La technologie NAT limite le nombre d'adresses IP publiques qu'une organisation ou une entreprise doit utiliser pour des raisons économiques et de sécurité. Vous devez configurer des règles NAT sur le dispositif Edge pour fournir l'accès aux services exécutés sur des machines virtuelles dans le réseau privé d'une entreprise.

La configuration du service NAT est séparée dans les règles de NAT source (SNAT) et de NAT de destination (DNAT).

Ajouter une règle SNAT

Vous pouvez créer une règle NAT source (SNAT) pour convertir l'adresse IP source publique en adresse IP privée ou vice versa.

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).


3 Cliquez sur Gérer (Manage) > NAT.

4 Cliquez sur Ajouter (Add), puis sur Ajouter une règle SNAT (Add SNAT Rule).

5 Sélectionnez l'interface sur laquelle ajouter la règle.

6 Sélectionnez le protocole requis.


VMware, Inc. 211

7 Tapez l'adresse IP (publique) source d'origine dans l'un des formats suivants.

Format Exemple

Adresse IP 192.0.2.0

Plage d'adresses IP 192.0.2.0 à 192.0.2.24

Adresse/sous-réseau IP 192.0.2.0/24

N'importe lequel

8 Tapez le port ou la plage de ports source d'origine.

Format Exemple

Numéro de port 80

Plage de ports 80 à 85

N'importe lequel

9 Tapez l'adresse IP de destination dans l'un des formats suivants.

Format Exemple



Adresse/sous-réseau IP 192.0.2.0 /24

N'importe lequel

10 Tapez le port ou la plage de ports de destination.

Format Exemple

Numéro de port 80


N'importe lequel

11 Tapez l'adresse IP source convertie dans l'un des formats suivants.

Format Exemple



Adresse/sous-réseau IP 192.0.2.0/24

N'importe lequel

12 Activez la règle.

13 (Facultatif) Activez la journalisation pour journaliser la conversion de l'adresse.

14 Cliquez sur Ajouter (Add) ou sur OK pour ajouter la règle SNAT.


VMware, Inc. 212


Ajouter une règle DNAT

Vous pouvez créer une règle NAT de destination (DNAT) pour convertir l'adresse IP de destination publique en adresse IP privée ou vice versa.

Procédure




4 Cliquez sur Ajouter (Add), puis sur Ajouter une règle DNAT (Add DNAT Rule).

5 Sélectionnez l'interface sur laquelle appliquer la règle DNAT.

6 Sélectionnez le protocole requis.

7 Tapez l'adresse IP source dans l'un des formats suivants.

Format Exemple




N'importe lequel

8 Tapez le port ou la plage de ports source.

Format Exemple

Numéro de port 80


N'importe lequel

9 Tapez l'adresse IP (publique) d'origine dans l'un des formats suivants.

Format Exemple




N'importe lequel


VMware, Inc. 213

10 Tapez le port ou la plage de ports d'origine.

Format Exemple

Numéro de port 80


N'importe lequel

11 Tapez l'adresse IP convertie dans l'un des formats suivants.

Format Exemple




N'importe lequel

12 Tapez le port ou la plage de ports convertie.

Format Exemple

Numéro de port 80


N'importe lequel

13 Activez la règle.

14 (Facultatif) Activez la journalisation pour journaliser la conversion de l'adresse.

15 Cliquez sur Ajouter (Add) ou sur OK pour ajouter la règle DNAT.


Ajouter une règle NAT64

À l'aide des règles NAT64, un serveur NSX Edge effectue la traduction des adresses réseau pour autoriser le trafic depuis les sous-réseaux IPv6 externes vers les sous-réseaux IPv4 internes.

NAT64 ne prend en charge que les communications lancées par le nœud IPv6 uniquement vers un nœud IPv4 uniquement.

NAT64 prend en charge les protocoles de couche 4 suivants :

n TCP

n UDP

n ICMP

n Demande et réponse ECHO ICMP uniquement.

n Les erreurs ICMPv4 sont prises en charge, mais pas les erreurs ICMPv6.


VMware, Inc. 214

Tous les paquets d'un autre type de protocole sont ignorés.

La traduction d'IPv4options, des en-têtes de routage IPv6, des en-têtes d'extension saut par saut, des en-têtes d'option de destination et des en-têtes de routage source n'est pas prise en charge. FTP n'est pas pris en charge. Les paquets fragmentés ne sont pas pris en charge.

La haute disponibilité NSX Edge n'est pas prise en charge avec NAT64. Les sessions NAT64 ne sont pas synchronisées entre les dispositifs actifs et les dispositifs en veille. Par conséquent, si un basculement se produit, la connectivité est interrompue.

Si vous avez configuré des protocoles de routage dynamique, les préfixes IPv4 sont redistribués.

Les temporisateurs suivants s'appliquent au trafic NAT64 :

Tableau 10-3. Temporisateurs NAT64

Protocole Délai d'expiration

TCP TCP-SYNC entrant 6 secondes

TCP-ESTABLISHED 2 heures

TCP-Trans 4 minutes

UDP 5 minutes

ICMP 1 minute


n Configurez une interface de liaison montante de la passerelle Edge Services Gateway avec une adresse sur le réseau IPv6.

n Configurez une interface interne de la passerelle Edge Services Gateway avec une adresse sur le réseau IPv4.

n Vérifiez que ces adresses ne sont pas dupliquées ailleurs dans votre environnement.

Procédure




4 Dans le menu déroulant Affichage (View), sélectionnez NAT64.


VMware, Inc. 215

5 Cliquez sur Ajouter (Add) et entrez les paramètres NAT64.

Option Description

Correspondre au préfixe de destination IPv6

Entrez un préfixe réseau IPv6 (adresse réseau) ou une adresse IPv6 spécifique dans la notation CIDR.

Étant donné que NAT64 assure la connectivité entre les sous-réseaux IPv6 et les sous-réseaux IPv4, dans la plupart des cas, vous pouvez entrer un préfixe réseau IPv6 à la place d'une adresse IPv6 spécifique.

NAT64 utilise le préfixe réseau IPv6 que vous spécifiez dans cette zone de texte pour mapper les adresses de destination IPv4 aux adresses de destination IPv6. Le préfixe doit présenter l'une des longueurs suivantes : 32, 40, 48, 56, 64 ou 96.

Par exemple, si vous utilisez le préfixe réseau /96, NAT64 ajoute l'équivalent hexadécimal de l'adresse de destination IPv4 au préfixe réseau IPv6. Reportez-vous à l'exemple de règle NAT64 après cette procédure pour obtenir un exemple.

Note Vous pouvez utiliser le préfixe 64:ff9b::/96 connu défini dans RFC 6052, ou utiliser un autre préfixe IPv6 qui n'est pas déjà utilisé dans votre environnement.

Préfixe source IPv4 traduit Facultatif : entrez un préfixe réseau IPv4 (adresse réseau) ou une adresse IPv4 spécifique dans la notation CIDR.

Assurez-vous que le préfixe réseau IPv4 ou l'adresse IPv4 ne sont pas déjà utilisés dans votre environnement.

Étant donné que NAT64 assure la connectivité entre les sous-réseaux IPv6 et les sous-réseaux IPv4, dans la plupart des cas, vous pouvez entrer un préfixe réseau IPv4 à la place d'une adresse IPv4 spécifique.

NAT64 utilise une adresse IP à partir du préfixe réseau IPv4 pour traduire l'adresse source IPv6 en adresse source IPv4. Reportez-vous à l'exemple de règle NAT64 après cette procédure pour obtenir un exemple.

Note

n L'espace d'adressage partagé 100.64.0.0/16 IPv4 est réservé à NAT64. Vous pouvez utiliser cet espace d'adressage réservé.

n Si vous laissez cette zone de texte vide, la règle NAT64 utilise automatiquement l'espace d'adressage réservé lorsque vous publiez la règle.

Description Description facultative pour la règle.

Activé ou Statut Activez la règle NAT64.

Activer la journalisation ou Journalisation

Activez la journalisation pour la règle NAT64.

6 Cliquez sur Ajouter pour enregistrer la règle.

7 Cliquez sur Publier pour que la règle prenne effet.

Exemple : Exemple de règle NAT64

Vous souhaitez que NSX Edge autorise le trafic depuis l'ordinateur Web 1 (2001 ::20/64) qui se trouve sur un réseau IPv6 externe vers la VM 1 (10.10.10.2/30), qui se trouve sur le sous-réseau IPv4 interne.


VMware, Inc. 216

VP

Web1

VM 1 VM 2 VM 3 VM 4

NSX Edge

2001::20/64

Sous-réseau IPv6

(NAT64) IPv6 IPv4

DLRCommutateur logique 1

(sous-réseau IPv4)

10.10.10.2/30

Commutateur logique 2(sous-réseau IPv4)

Réseau externe

Dans cet exemple, la règle NAT64 utilise les exemples de valeurs suivants :

n Préfixe de destination IPv6 correspondant : 64:ff90::/96

n Préfixe source IPv4 traduit : 30.30.30.0/24

La capture d'écran suivante illustre la règle publiée. L'ID de la règle est généré automatiquement et peut varier dans votre environnement.

Figure 10-8. Définition de la règle NAT64

La règle NAT64 prend l'équivalent hexadécimal de l'adresse IPv4 de destination (10.10.10.2) et l'ajoute au préfixe réseau IPv6 (64:ff90::) pour former l'adresse de destination IPv6 64:ff90::a0a:a02.

La règle sélectionne n'importe quelle adresse IP à partir du préfixe source IPv4 traduit (30.30.30.0/24). Supposons que la règle sélectionne 30.30.30.32. NAT64 utilise cette adresse source IPv4 pour traduire l'adresse de destination 64:ff90::a0a:a02 en adresse de destination IPv4 réelle (10.10.10.2)

Une fois la règle publiée, procédez comme suit :

1 Connectez-vous à l'invite de commande de l'ordinateur Web1 et émettez une commande ping sur l'adresse de destination IPv6 64:ff90::a0a:a02. Une session nat64 est établie.


VMware, Inc. 217

2 Connectez-vous à la CLI de NSX Edge et affichez la session nat64 en exécutant la commande show nat64 sessions.

Protocol IPv6-SA IPv6-DA SPort DPort IPv4_SA IPv4-DA SPort DPortTCP 2001::20 64:ff90::a0a:a02 2055 22 30.30.30.32 10.10.10.2 2055 22

Utilisation des sections de règles de pare-feu

Vous pouvez ajouter une section à des règles de pare-feu distinctes. Par exemple, vous pouvez placer les règles de service commerciaux et de services techniques dans des sections distinctes.

Vous pouvez créer plusieurs sections de règles de pare-feu de niveaux 2 et 3. Étant donné que plusieurs utilisateurs peuvent se connecter au client Web et apporter simultanément des modifications aux sections et règles de pare-feu, les utilisateurs peuvent verrouiller les sections sur lesquelles ils travaillent afin que personne ne soit en mesure de modifier les règles de ces sections.

Les environnements Cross-vCenter NSX peuvent avoir plusieurs sections de règles universelles. Avec plusieurs sections universelles, les règles peuvent être facilement organisées par locataire et par application. En cas de modification de règles dans une section universelle, seules les règles universelles du pare-feu distribué de cette section sont synchronisées avec les instances secondaires de NSX Manager. Vous devez gérer les règles universelles dans l'instance NSX Manager principale et vous devez créer la section universelle à cet endroit avant de pouvoir ajouter des règles universelles. Les sections universelles sont toujours répertoriées au-dessus des sections locales sur les instances principales et secondaires de NSX Manager.

Les règles n'appartenant pas aux sections universelles demeurent locales pour les instances NSX Manager principales ou secondaires dans lesquels elles sont ajoutées.

Ajouter une section de règles de pare-feu

Vous pouvez ajouter des sections au tableau de pare-feu pour organiser vos règles ou pour créer une section universelle à utiliser dans les environnements cross-vCenter NSX.







VMware, Inc. 218



Procédure


2 Si plusieurs instances de NSX Manager sont disponibles, sélectionnez-en une. Vous devez sélectionner l'instance principale de NSX Manager pour l'ajouter à la section universelle.

3 Vérifiez que vous êtes bien dans l'onglet Configuration > Général (General) pour ajouter une section pour des règles L3, L4 ou L7. Cliquez sur l'onglet Ethernet pour ajouter une section aux règles de niveau 2.

4 Cliquez sur Ajouter une section (Add Section) ( ou ).

5 Entrez le nom de la section. Les noms de section doivent être uniques au sein de NSX Manager.

6 (Facultatif) Dans un environnement cross-vCenter NSX, vous pouvez configurer la section comme une section de règles de pare-feu universelle.

n Dans NSX 6.4.1 et versions ultérieures, cliquez sur le bouton Synchronisation universelle (Universal Synchronization).

n Dans NSX 6.4.0, sélectionnez Marquer cette section pour la synchronisation universelle (Mark this section for Universal Synchronization).

7 (Facultatif) Configurez les propriétés des règles de pare-feu de la section de pare-feu en cochant les cases appropriées.

Propriétés de la section de règles de pare-feu Description

Activer l'identité d'utilisateur à la source (Enable User Identity at Source)

Lorsque vous utilisez le pare-feu d'identité pour RDSH, Activer l'identité d'utilisateur à la source doit être cochée. Notez que cela désactive l'option Activer le pare-feu sans état, car l'état de connexion TCP est suivi pour identifier le contexte.

Activer TCP strict (Enable TCP Strict) TCP strict détermine s'il faut abandonner une connexion TCP établie lorsque le pare-feu ne voit pas l'établissement de liaison tridirectionnelle initiale. Si défini sur vrai, la connexion est abandonnée.

Activer le pare-feu sans état (Enable Stateless Firewall)

Activer le pare-feu sans état pour la section de pare-feu.


VMware, Inc. 219

8 Cliquez sur OK, puis sur Publier les modifications (Publish Changes).

Étape suivante

Ajoutez des règles à la section. Reportez-vous à la section Ajouter une règle de pare-feu.

Fusionner des sections de règles de pare-feu

Vous pouvez fusionner des sections et consolider les règles figurant dans ces sections. Vous ne pouvez pas fusionner une section avec des sections Service Composer ou par défaut. Dans un environnement cross-vCenter NSX, vous ne pouvez pas fusionner une section avec une section universelle.

Si vous fusionnez et consolidez une configuration de pare-feu complexe, la maintenance et la lisibilité pourront s'en trouver facilitées.

Procédure


2 Fusionnez les sections.

n Dans NSX 6.4.1 et versions ultérieures, dans la section de règles de pare-feu que vous

souhaitez fusionner, cliquez sur le menu ()( ) et sélectionnez Fusionner une section (Merge Section).

n Dans NSX 6.4.0, dans la section de règles de pare-feu que vous souhaitez fusionner,

cliquez sur Fusionner une section (Merge section) ( ).

3 Indiquez si vous souhaitez fusionner cette section avec la section située au-dessus ou en dessous.

Les règles des deux sections sont fusionnées. La nouvelle section conserve le nom de la section avec laquelle l'autre section est fusionnée.


Supprimer une section de règles de pare-feu

Vous pouvez supprimer une section de règles de pare-feu. Toutes les règles de cette section sont supprimées.

Vous ne pouvez pas supprimer une section et la rajouter ailleurs dans la table du pare-feu. Pour ce faire, vous devez supprimer la section et publier la configuration. Ensuite, ajoutez la section supprimée à la table de pare-feu et republiez la configuration.

Procédure



VMware, Inc. 220

2 Vérifiez que vous êtes bien dans l'onglet Configuration > Général (General) pour supprimer une section pour des règles L3. Cliquez sur l'onglet Ethernet pour supprimer une section pour les règles L2.

3 Cliquez sur l'icône Supprimer une section (Delete section) ( ) pour la section que vous souhaitez supprimer.

4 Cliquez sur OK, puis sur Publier les modifications (Publish Changes).

Résultats

La section ainsi que les règles qui s'y trouvent sont supprimées.

Verrouiller des sections de règles de pare-feu

Les sections de règles de pare-feu peuvent être verrouillées pendant leur modification, pour empêcher plusieurs utilisateurs de modifier simultanément la même section.

Les sections de règles de pare-feu peuvent être verrouillées pour empêcher les utilisateurs de modifier simultanément la même section. L'administrateur d'entreprise peut afficher et remplacer tous les verrouillages.

Les rôles d'utilisateur Administrateur de la sécurité, Ingénieur de sécurité et Administrateur d'entreprise sont en mesure de verrouiller et déverrouiller leurs sections. Les rôles d'utilisateur Administrateur d'entreprise ont la possibilité de déverrouiller une section verrouillée par tout autre utilisateur, quel que soit son rôle. Les Administrateurs d'entreprise peuvent également déverrouiller les autres Administrateurs d'entreprise. Pour en savoir plus sur les rôles d'utilisateur, consultez la section Gestion des droits d'utilisateur.

Avec les sections de pare-feu verrouillées, il est impossible :

n Pour un autre utilisateur de les fusionner avec une autre section.

n Pour un autre utilisateur d'y ajouter de nouvelles règles.

n Pour un autre utilisateur de les supprimer.

n Pour un autre utilisateur d'y glisser-déplacer des règles.

Procédure


2 Cliquez sur l'icône en forme de verrou de la section, entrez un nom et des commentaires sous Verrouiller la section (Lock Section), puis cliquez sur VERROUILLER (LOCK).

La section affiche désormais un verrou fermé, pour indiquer qu'elle est verrouillée.

Déverrouiller des sections de règles de pare-feu

Les sections de règles de pare-feu peuvent être verrouillées pendant leur modification, pour empêcher plusieurs utilisateurs de modifier simultanément la même section.


VMware, Inc. 221

Les sections de règles de pare-feu peuvent être verrouillées pour empêcher les utilisateurs de modifier simultanément la même section. L'administrateur d'entreprise peut afficher et remplacer tous les verrouillages.

Les rôles d'utilisateur Administrateur de la sécurité, Ingénieur de sécurité et Administrateur d'entreprise sont en mesure de verrouiller et déverrouiller leurs sections. Les rôles d'utilisateur Administrateur d'entreprise ont la possibilité de déverrouiller une section verrouillée par tout autre utilisateur, quel que soit son rôle. Les Administrateurs d'entreprise peuvent également déverrouiller les autres Administrateurs d'entreprise. Pour en savoir plus sur les rôles d'utilisateur, consultez la section Gestion des droits d'utilisateur.

Avec les sections de pare-feu verrouillées, il est impossible :

n Pour un autre utilisateur de les fusionner avec une autre section.

n Pour un autre utilisateur d'y ajouter de nouvelles règles.

n Pour un autre utilisateur de les supprimer.

n Pour un autre utilisateur d'y glisser-déplacer des règles.

Procédure


2 Pour déverrouiller une section, effectuez l'une des opérations suivantes :

n Cliquez sur l'icône en forme de verrou de la section, puis cliquez sur DÉVERROUILLER (UNLOCK). La section présente désormais une icône en forme de cadenas déverrouillé pour indiquer qu'elle est déverrouillée.

n Le nombre de sections verrouillées s'affiche au-dessus du tableau de règles de pare-feu. Pour afficher toutes les sections verrouillées, cliquez sur le lien hypertexte du chiffre situé en regard de Verrouillé (Locked). Pour trouver les sections verrouillées par vos soins, filtrez les règles en fonction de votre nom. Sélectionnez la règle que vous souhaitez déverrouiller et cliquez sur DÉVERROUILLER (UNLOCK).

Utilisation de règles de pare-feu

Les règles du pare-feu distribué et d'Edge Firewall peuvent être gérées de façon centralisée dans l'onglet Pare-feu. Dans un environnement à locataires multiples, les fournisseurs peuvent définir des règles de flux de trafic de haut niveau dans l'interface utilisateur centralisée du pare-feu.


VMware, Inc. 222

Chaque session de trafic est analysée en fonction de la règle définie sur la première ligne du tableau de pare-feu. Les règles suivantes sont ensuite appliquées dans l'ordre descendant. La première règle de la table correspondant aux paramètres du trafic est appliquée. Les règles sont affichées dans l'ordre suivant :

1 Les règles définies dans l'interface utilisateur du pare-feu par les utilisateurs ont le niveau de priorité le plus élevé et sont appliquées par ordre de priorité de niveau de carte réseau virtuelle décroissant.

2 Les règles automatiques (qui permettent de contrôler le trafic vers le flux des services Edge).

3 Les règles définies par les utilisateurs dans l'interface NSX Edge.

4 Règles de Service Composer : une section différente pour chaque stratégie. Il est impossible de modifier ces règles dans le tableau de pare-feu, mais vous pouvez ajouter d'autres règles au début d'une section de règles de pare-feu d'une stratégie de sécurité. Dans ce cas, vous devez synchroniser de nouveau les règles dans Service Composer. Pour plus d'informations, consultez Chapitre 18 Service Composer.

5 Règles du pare-feu distribué par défaut

Notez que les règles de pare-feu sont appliquées uniquement aux clusters sur lesquels vous avez activé le pare-feu. Pour obtenir des informations sur la préparation des clusters, reportez-vous à Guide d'installation de NSX.

Ajouter une règle de pare-feu

Vous ajoutez des règles de pare-feu au niveau de NSX Manager. Le champ Appliqué à vous permet d'affiner le niveau auquel vous souhaitez appliquer la règle. Vous pouvez ajouter plusieurs objets aux niveaux source et destination de chaque règle, de sorte à réduire le nombre total de règles de pare-feu à ajouter.

Procédure

1 Créer une règle de pare-feu


2 Ajouter une source ou une destination de règle de pare-feu

Vous pouvez utiliser des adresses IP, des objets vCenter et des objets de regroupement NSX comme sources. Vous pouvez également définir les sources et les destinations et les inverser. Si aucune source ou destination n'est définie, la source ou la destination est définie sur « quelconque ».

3 Ajouter un service de règles de pare-feu

Pour les règles de pare-feu, vous pouvez créer un groupe de services ou utiliser un groupe de services prédéfini.


VMware, Inc. 223

4 Spécifier une action de règle de pare-feu et la journalisation

Vous pouvez définir les règles de pare-feu pour autoriser, bloquer ou rejeter le trafic provenant d'une source, d'une destination ou d'un service spécifié.

5 Définir l'étendue du pare-feu

Le champ Appliqué à permet d'affiner le niveau auquel vous souhaitez appliquer la règle.

6 Publier une règle de pare-feu

Lorsque vous créez une règle de pare-feu, vous devez la publier pour que les modifications prennent effet.

Créer une règle de pare-feu



Si vous ajoutez une règle basée sur un objet VMware vCenter, vérifiez que VMware Tools est installé sur les machines virtuelles. Reportez-vous à la section Guide d'installation de NSX.

Les VM migrées de la version 6.1.5 vers la version 6.2.3 ne prennent pas en charge TFTP ALG. Pour activer la prise en charge de TFTP ALG après la migration, ajoutez et supprimez la VM de la liste d'exclusion ou redémarrez la VM. Un nouveau filtre 6.2.3 est créé avec une prise en charge de TFTP ALG.

Note Prérequis de règles de pare-feu basées sur l'identité :

n Un ou plusieurs domaines ont été enregistrés dans NSX Manager. NSX Manager obtient de chaque domaine enregistré des informations sur les utilisateurs et les groupes, ainsi que sur la relation entre eux. Reportez-vous à la section Enregistrer un domaine Windows avec NSX Manager.

n Un groupe de sécurité basé sur des objets Active Directory ayant été créés et pouvant être utilisés comme source ou destination de la règle. Reportez-vous à la section Créer un groupe de sécurité.

n Le serveur Active Directory doit être intégré à NSX Manager.

n DFW doit être activé sur les hôtes et ces derniers doivent être mis à niveau vers NSX 6.4.0.

n Les machines invitées doivent exécuter une version à jour de VMware Tools.

n La version de la SVM GI doit être 6.4 ou une version ultérieure.

n La règle doit être créée dans une nouvelle section de Règles de pare-feu.

n Activer l'identité d'utilisateur à la source doit être sélectionné pour la règle.


VMware, Inc. 224

n Le champ Appliqué à n'est pas pris en charge pour les règles pour l'accès de poste de travail distant.

n ICMP n'est pas pris en charge pour IDFW pour RDSH.

Note Prérequis de règles de pare-feu universelles :

Dans un environnement cross-vCenter NSX, les règles universelles correspondent aux règles du pare-feu distribué définies sur la principale instance de NSX Manager dans la section des règles universelles. Ces règles sont répliquées sur toutes les instances secondaires de NSX Manager de votre environnement, ce qui vous permet de conserver de la cohérence entre les règles de pare-feu dans les limites de vCenter. L'instance principale de NSX Manager peut contenir plusieurs sections universelles pour les règles de niveau 2 universelles et plusieurs sections universelles pour les règles de niveau 3 universelles. Les sections universelles couvrent toutes les sections locales et de Service Composer. Des sections et des règles universelles peuvent être affichées, mais pas modifiées sur les instances secondaires de NSX Manager. Le placement de la section universelle par rapport à la section locale n'interfère pas avec la priorité de la règle.

Les règles de pare-feu Edge ne sont pas prises en charge pour vMotion entre plusieurs serveurs vCenter Server.

Tableau 10-4. Objets pris en charge pour les règles de pare-feu universelles

Source et destination Appliqué à Service

n ensemble d'adresses MAC universelles

n ensemble d'adresses IP universelles

n groupe de sécurité universel qui peut contenir une balise de sécurité universelle, un ensemble d'adresses IP, un ensemble d'adresses MAC ou un groupe de sécurité universel

n groupe de sécurité universel qui peut contenir une balise de sécurité universelle, un ensemble d'adresses IP, un ensemble d'adresses MAC ou un groupe de sécurité universel

n commutateur logique universel

n Pare-feu distribué - applique cette règle à tous les clusters sur lesquels le pare-feu distribué est installé

n services universels et groupes de services précréés

n services universels et groupes de services créés par l'utilisateur

Notez que d'autres objets vCenter ne sont pas pris en charge pour les règles universelles.

Assurez-vous que le pare-feu distribué NSX n'est pas en mode de compatibilité descendante. Pour vérifier l'état actuel du pare-feu, utilisez l'appel REST API GET https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. Si le pare-feu est actuellement en mode de compatibilité descendante, vous pouvez le faire passer en mode de compatibilité montante à l'aide de l'appel REST API PUT https://<nsxmgr-ip>/api/4.0/firewall/globalroot-0/state. N'essayez pas de publier une règle du pare-feu distribué tant que le pare-feu distribué se trouve en mode de compatibilité descendante.

Procédure



VMware, Inc. 225

2 Vérifiez que vous êtes bien dans l'onglet Configuration > Général (General) pour ajouter une règle L3, L4 ou L7. Cliquez sur l'onglet Ethernet pour ajouter une règle de niveau 2.

Si vous créez une règle de pare-feu universelle, utilisez une section de règle universelle.

3 Pointez le curseur sur la cellule Nom (Name) de la nouvelle règle et cliquez sur .

4 Tapez le nom de la nouvelle règle.

Ajouter une source ou une destination de règle de pare-feu

Vous pouvez utiliser des adresses IP, des objets vCenter et des objets de regroupement NSX comme sources. Vous pouvez également définir les sources et les destinations et les inverser. Si aucune source ou destination n'est définie, la source ou la destination est définie sur « quelconque ».

Les objets vCenter suivants peuvent être spécifiés comme source ou destination d'une règle de pare-feu :

Tableau 10-5. Objets pris en charge pour les règles de pare-feu

Source ou destination Appliqué à

n cluster

n centre de données

n groupe de ports distribués

n ensemble d'adresses IP

n groupe de ports hérité

n commutateur logique

n pool de ressources

n groupe de sécurité

n vApp

n machine virtuelle

n vNIC

n adresse IP (IPv4 ou IPv6)

n tous les clusters sur lesquels le pare-feu distribué a été installé (c'est-à-dire tous les clusters préparés pour la virtualisation réseau)

n toutes les passerelles Edge installées sur les clusters préparés

n cluster

n centre de données

n groupe de ports distribués

n Edge

n groupe de ports hérité

n commutateur logique

n groupe de sécurité

n machine virtuelle

n vNIC

Procédure

1 (Facultatif) Sélectionner les objets à utiliser dans la règle de pare-feu.

a Cliquez sur Modifier (Edit) dans la colonne source ou destination.

b Sélectionnez le type d'objet dans le menu déroulant Type d'objet (Object Type).

Vous pouvez créer un groupe de sécurité ou un ensemble d'adresses IP. Une fois que vous avez créé l'objet, il est ajouté à la colonne source ou destination par défaut. Pour plus d'informations sur la création d'un groupe de sécurité ou d'un ensemble d'adresses IP, consultez Chapitre 22 Objets réseau et de sécurité.

c Sélectionnez un ou plusieurs objets et cliquez sur la flèche pour les déplacer vers la colonne Objets sélectionnés (Selected Objects).


VMware, Inc. 226

2 (Facultatif) Sélectionnez les adresses IP à utiliser dans la règle de pare-feu.

Option Description

NSX 6.4.1 a Cliquez sur Modifier (Edit) dans la colonne source ou destination, sélectionnez les adresses IP (IP addresses) et cliquez sur Ajouter (Add).

b Entrez une seule adresse IP. Les adresses IPv4 et IPv6 sont valides.

c Si vous avez besoin d'entrer des adresses IP supplémentaires, cliquez sur Ajouter (Add).

NSX 6.4.0 a Cliquez sur ( ) dans la colonne source.

b Sélectionnez IPv4 ou IPv6.

c Tapez l'adresse IP.

Vous pouvez saisir plusieurs adresses IP dans une liste en les séparant par une virgule. La liste peut comporter jusqu'à 255 caractères.

3 (Facultatif) Inversez les sources ou les destinations définies dans cette règle.

Si Inverser la source (Negate Source) est sélectionné, la règle est appliquée au trafic provenant de toutes les sources, à l'exception des sources définies pour cette règle.

Si Inverser la source (Negate Source) n'est pas sélectionné, la règle s'applique au trafic provenant des sources ou des destinations définies pour cette règle.

Vous pouvez Inverser la source (Negate Source) uniquement si vous disposez au moins d'une source ou d'une destination définie.

Option Description

NSX 6.4.1 a Cliquez sur Modifier (Edit) dans la colonne source.

b Définissez l'option Inverser la source (Negate Source) sur Activé.

NSX 6.4.0a Cliquez sur Modifier ( ) dans la colonne source.

b Cochez la case Inverser la source (Negate source).

Ajouter un service de règles de pare-feu

Pour les règles de pare-feu, vous pouvez créer un groupe de services ou utiliser un groupe de services prédéfini.


VMware, Inc. 227

Procédure

1 Sélectionnez un service ou prédéfini ou un groupe de services à utiliser dans la règle de pare-feu.

Option Description

NSX 6.4.1 a Pointez le curseur sur la cellule Service de la nouvelle règle et cliquez sur

.

b Sélectionnez le type d'objet dans le menu déroulant Type d'objet (Object Type). Vous pouvez créer un groupe de sécurité ou un ensemble d'adresses IP. Une fois que vous avez créé l'objet, il est ajouté à la colonne source ou destination par défaut. Pour plus d'informations sur la création d'un groupe de sécurité ou d'un ensemble d'adresses IP, consultez Chapitre 22 Objets réseau et de sécurité

c Sélectionnez un ou plusieurs objets et cliquez sur la flèche pour les déplacer vers la colonne Objets sélectionnés (Selected Objects).


.

b Sélectionnez un ou plusieurs objets et cliquez sur .

Vous pouvez créer un nouveau service ou groupe de services. Une fois que vous avez créé le nouvel objet, il est ajouté à la colonne Objets sélectionnés par défaut.

c Cliquez sur OK.


VMware, Inc. 228

2 Sélectionnez un port ou un protocole à utiliser dans la règle de pare-feu ou définissez-en un nouveau.

Option Description


.

b Sélectionnez Protocole brut (Raw Port-Protocol) et cliquez sur Ajouter (Add).

c Sélectionnez le Protocole (Protocol) dans la liste et cliquez sur OK.


.

b Sélectionnez le protocole du service.

Pare-feu distribué prend en charge le processus ALG (passerelle au niveau des applications) pour les protocoles suivants : TFTP, FTP, ORACLE TNS, MS-RPC et SUN-RPC.

Le dispositif Edge prend en charge la passerelle ALG pour FTP, TFTP et SNMP_BASIC.

Remarque : les VM migrées de la version 6.1.5 vers la version 6.2.3 ne prennent pas en charge TFTP ALG. Pour activer la prise en charge de TFTP ALG après la migration, ajoutez et supprimez la VM de la liste d'exclusion ou redémarrez la VM. Un nouveau filtre 6.2.3 est créé avec une prise en charge de TFTP ALG.

c Tapez le numéro de port et cliquez sur OK.

Pour protéger votre réseau des attaques de type ACK ou SYN flood, vous pouvez définir le service sur TCP-all_ports ou UDP-all_ports et définir Action à bloquer sur la règle de pare-feu. Pour plus d'informations sur la modification de la règle par défaut, reportez-vous à la section Modifier la règle du pare-feu distribué par défaut.

Spécifier une action de règle de pare-feu et la journalisation

Vous pouvez définir les règles de pare-feu pour autoriser, bloquer ou rejeter le trafic provenant d'une source, d'une destination ou d'un service spécifié.

Procédure

1 Pointez le curseur sur la celluleAction de la nouvelle règle et effectuez les sélections appropriées comme décrit dans le tableau ci-dessous.

Action A pour résultat

Autoriser Autorise le trafic de ou vers une ou des sources, destinations et services spécifiés.

Bloquer Bloque le trafic de ou vers une ou des sources, destinations et services spécifiés.


VMware, Inc. 229



Les paquets RST sont envoyés aux connexions TCP.

Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP.

Journal Enregistre toutes les sessions qui correspondent à cette règle. L'activation de la journalisation peut affecter les performances.

Ne pas mettre à jour le journal N'enregistre pas les sessions.

2 (Facultatif) Activez la journalisation.

Option Description

NSX 6.4.1 Dans la colonne Journalisation, cliquez sur le bouton Journaliser (Log) pour l'activer.

NSX 6.4.0 a Pointez le curseur sur la cellule Action de la nouvelle règle et cliquez sur

b Sélectionnez Journaliser (Log) ou sur Ne pas mettre à jour le journal (Do not Log). La journalisation met à jour les journaux de toutes les sessions qui correspondent à cette règle et peuvent affecter les performances.

Définir l'étendue du pare-feu

Le champ Appliqué à permet d'affiner le niveau auquel vous souhaitez appliquer la règle.

Si la règle contient des machines virtuelles ou des vNIC dans les champs source et destination, vous devez ajouter les machines virtuelles ou les vNIC de la source et de la destination à Appliqué à (Applied To) pour que la règle fonctionne correctement.


VMware, Inc. 230

Procédure

u Dans Appliqué à (Applied To), définit l'étendue de l'application de cette règle. Effectuez les sélections correspondant à celles décrites dans le tableau ci-dessous et cliquez sur OK. Notez que si vous ajoutez une règle pour l'accès de poste de travail distant, le champ Appliqué à (Applied To) n'est pas pris en charge.

Pour appliquer une règle à Faites cela

Tous les clusters préparés de votre environnement Sélectionnez Appliquez cette règle à tous les clusters sur lesquels Pare-feu distribué est installé (Apply this rule on all clusters on which Distributed Firewall is installed). Après avoir cliqué sur OK, la colonne Appliqué à de cette règle affiche Pare-feu distribué (Distributed Firewall).

Toutes les passerelles NSX Edge de votre environnement

Sélectionnez Appliquez cette règle à toutes les passerelles Edge (Apply this rule on all the Edge gateways). Lorsque vous cliquez sur OK ou sur ENREGISTRER, la colonne Appliqué à de cette règle affiche Tous les dispositifs Edge (All Edges).

Si les deux options ci-dessus sont sélectionnées, la colonne Appliqué à affiche Tous (Any).

Un(e) ou plusieurs clusters, centres de données, groupes de ports virtuels distribués, passerelles NSX Edge, réseaux, machines virtuelles, vNIC ou commutateurs logiques

Dans la liste Disponible, sélectionnez un ou plusieurs

objets et cliquez sur .

Publier une règle de pare-feu

Lorsque vous créez une règle de pare-feu, vous devez la publier pour que les modifications prennent effet.

Procédure

u Cliquez sur Publier (Publish) ou sur Publier les modifications (Publish Changes). Une nouvelle règle est ajoutée en haut de la section. Si la règle définie par le système est la seule règle de la section, la nouvelle règle est ajoutée au-dessus de la règle par défaut.

Après quelques instants, un message indiquant si l'opération de publication est réussie s'affiche. En cas d'échecs, les hôtes auxquels la règle n'a pas été appliquée sont répertoriés. Pour plus d'informations sur un échec de publication, accédez à NSX Manager (NSX Managers) > NSX_Manager_IP_Address > Surveiller (Monitor) > Événements système (System Events).

Si vous souhaitez ajouter une règle à un emplacement spécifique dans une section,

sélectionnez une règle. Dans la colonne n° , cliquez sur et sélectionnez Ajouter au-dessus (Add Above) ou Ajouter en dessous (Add Below).


VMware, Inc. 231

Lorsque vous cliquez sur Publier les modifications (Publish Changes), la configuration du pare-feu est enregistrée automatiquement. Pour plus d'informations sur la restauration d'une configuration précédente, reportez-vous à la section Charger une configuration de pare-feu enregistrée.

Étape suivante

n Désactivez une règle en cliquant sur ou activez une règle en cliquant sur .

n Affichez des colonnes supplémentaires dans le tableau des règles en cliquant sur et en sélectionnant les colonnes appropriées.

Nom de la colonne Informations affichées

ID de la règle ID de système unique généré pour chaque règle

Journal Le trafic pour cette règle est journalisé ou non

Stat. Pour afficher le trafic lié à cette règle (paquets de trafic et taille), cliquez sur

Commentaires Commentaires relatifs à la règle

n Recherchez des règles en tapant du texte dans le champ de recherche.

n Déplacez une règle vers le haut ou vers le bas du tableau des pare-feu.

n Fusionnez les sections en cliquant sur l'icône Fusionner une section (Merge section) et en sélectionnant Fusionner avec la section au-dessus (Merge with above section) ou Fusionner avec la section en dessous (Merge with below section).

Modifier la règle du pare-feu distribué par défaut

Les paramètres de pare-feu par défaut s'appliquent au trafic qui ne correspond à aucune règle de pare-feu définie par l'utilisateur. La règle du pare-feu distribué par défaut s'affiche sur l'interface utilisateur centralisée de Firewall et la règle par défaut de chaque NSX Edge s'affiche au niveau de NSX Edge.

La règle du pare-feu distribué par défaut permet à tout le trafic de niveau 3 et de niveau 2 d'emprunter tous les clusters préparés de votre infrastructure. La règle par défaut se situe toujours en bas du tableau de règles et il est impossible de l'en supprimer ou de l'y ajouter. Cependant, pour l'élément Action de la règle, vous pouvez remplacer Autoriser par Bloquer ou par Refuser, ajouter des commentaires pour la règle et indiquer si le trafic de cette règle doit être consigné.

Dans un environnement cross-vCenter NSX, la règle par défaut n'est pas une règle universelle. Toute modification apportée à la règle par défaut doit être effectuée sur chaque instance de NSX Manager.

Procédure



VMware, Inc. 232

2 Développez la section Par défaut et apportez les modifications requises.

Vous pouvez uniquement modifier Action et Journal (Log), ou ajouter des commentaires à la règle par défaut.

Forcer la synchronisation des règles de pare-feu distribué

Si vous ne pouvez pas publier de règles de pare-feu sur des hôtes, effectuez une synchronisation forcée.

La synchronisation forcée est utilisée lorsque vous devez synchroniser les règles de pare-feu sur un hôte individuel avec NSX Manager.

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Préparation de l'hôte (Host Preparation).

2 Sélectionnez le cluster dont vous voulez forcer la synchronisation, puis cliquez sur Actions

(Actions) ( ) > Forcer les services de synchronisation (Force Sync Services).

3 Sélectionnez Pare-feu (Firewall) des services dont vous voulez forcer la synchronisation. Cliquez sur OK.

L'état du pare-feu passe sur Occupé lors de la synchronisation.

Règles de pare-feu avec protocole de couche 3 personnalisé

Des règles de pare-feu peuvent être créées à l'aide d'un numéro de protocole personnalisé qui n'est pas répertorié dans le menu déroulant des protocoles.

Il est possible de créer une règle de pare-feu avec un numéro de protocole personnalisé sur le pare-feu distribué ou le pare-feu NSX Edge.

Procédure


2 Vérifiez que vous êtes bien dans l'onglet Configuration > Général (General) pour ajouter une

règle L3. Cliquez sur l'icône Ajouter une règle (Add rule) ( ).

3 Pointez le curseur sur la cellule Nom (Name) de la nouvelle règle et cliquez sur .

4 Tapez le nom de la nouvelle règle.

5 Spécifiez laSource de la nouvelle règle. Reportez-vous à Ajouter une source ou une destination de règle de pare-feu pour plus de détails.

6 Spécifiez la Destination de la nouvelle règle. Reportez-vous à Ajouter une source ou une destination de règle de pare-feu pour plus de détails.


VMware, Inc. 233

7 Pointez vers la cellule Service de la nouvelle règle. Cliquez sur l'icône Ajouter un service (Add

Service) ( ).

8 Cliquez sur Nouveau Service (New Service) en bas à gauche de la fenêtre Spécifier le Service (Specify Service).

9 Entrez le Nom (Name) du nouveau protocole (par exemple OSPF).

10 Dans le menu déroulant Protocoles, sélectionnez L3_OTHERS.

Un champ Numéro de protocole (Protocol Number) s'affiche dans le menu déroulant.

11 Entrez le Numéro de protocole (Protocol Number) (par exemple 89 pour OSPF).

12 Cliquez sur OK.

13 Publiez la règle de pare-feu. Reportez-vous à Publier une règle de pare-feu pour plus de détails.

Résultats

Une règle de pare-feu a été créée à l'aide d'un numéro de protocole personnalisé.

Enregistrer une configuration non publiée

Vous pouvez ajouter une règle et enregistrer la configuration sans la publier. Vous pouvez ensuite charger et publier ultérieurement la configuration enregistrée.

Procédure

1 Ajoutez une règle de pare-feu. Reportez-vous à la section Ajouter une règle de pare-feu.

2 Cliquez sur Enregistrer les modifications (Save Changes) ou sur Enregistrer (Save).

3 Entrez un nom et une description pour créer une configuration.

4 Cliquez sur Conserver la configuration (Preserve Configuration) pour conserver cette modification.

NSX peut enregistrer jusqu'à 100 configurations. Une fois cette limite dépassée, les configurations enregistrées marquées par Conserver la configuration (Preserve Configuration) sont conservées tandis que les configurations non conservées antérieures sont supprimées pour libérer de l'espace pour les configurations conservées.

5 Cliquez sur Enregistrer


VMware, Inc. 234

6 Pour modifier une configuration enregistrée :

Option Description

Dans NSX 6.4.1 et versions ultérieures

a Ajoutez une autre règle de pare-feu.

b Cliquez sur Enregistrer (Save).

c Sélectionnez Mettre à jour une configuration existante (Update existing configuration).

d Cliquez sur Enregistrer (Save).

Dans NSX 6.4.0 a Ajoutez une autre règle de pare-feu.

b Cliquez sur Mettre à jour les modifications (Update Changes).

c Cliquez sur Enregistrer les modifications (Save Changes).

n Cliquez sur Restaurer les modifications (Revert Changes) pour revenir à la configuration

qui existait avant l'ajout de la règle. Pour publier la règle que vous venez d'ajouter, cliquez sur l'icône Charger la configuration (Load Configuration), sélectionnez la règle que vous avez enregistrée à l'étape 3 et cliquez sur OK.

n Cliquez sur Mettre à jour les modifications (Update Changes) pour continuer à ajouter des règles.

7 Pour restaurer les modifications effectuées :

Option Description

Dans NSX 6.4.1 et versions ultérieures

a Cliquez sur Annuler (Undo).

Dans NSX 6.4.0 a Cliquez sur Restaurer les modifications (Revert Changes) pour revenir à la configuration qui existait avant l'ajout de la règle.

Charger une configuration de pare-feu enregistrée

Vous pouvez charger une configuration de pare-feu enregistrée automatiquement ou importée. Si votre configuration actuelle contient des règles gérées par Service Composer, celles-ci sontremplacées après l'importation.

Procédure


2 Vérifiez que vous êtes bien dans l'onglet Configuration > Général (General) pour charger une configuration de pare-feu L3. Cliquez sur l'onglet Ethernet pour charger une configuration de pare-feu L2.


VMware, Inc. 235

3 Charger la configuration enregistrée

Option Description

NSX 6.4.1 et versions ultérieures a Cliquez sur Plus (More), puis sélectionnez Charger une configuration enregistrée (Load Saved Configuration).

b Sélectionnez la configuration à charger, puis cliquez sur CHARGER (LOAD).

NSX 6.4.0a Cliquez sur l'icône Charger la configuration (Load configuration) ( ).

b Sélectionnez la configuration à charger, puis cliquez sur OK.

La configuration actuelle est remplacée par la configuration sélectionnée.

Étape suivante

Si les règles de Service Composer figurant dans votre configuration ont étéremplacées par la configuration chargée, cliquez sur Actions > Synchroniser la configuration du pare-feu (Synchronize Firewall Rules) dans l'onglet Règles de sécurité de Service Composer.

Filtrer les règles de pare-feu

Un grand choix de critères vous permet de filtrer votre ensemble de règles, ce qui facilite la modification des règles.

Les règles peuvent être filtrées par machines virtuelles ou adresses IP sources ou de destination, action de règle, journalisation, nom de règle, commentaires et ID de la règle. Vous pouvez également filtrer les règles en fonction d'un service, d'une application ou d'un protocole spécifique.

Procédure

1 Dans l'onglet Pare-feu, cliquez sur l'icône Appliquer un filtre (Apply Filter) ( ou ).

2 Entrez les critères de filtrage le cas échéant.

3 Cliquez sur Appliquer (Apply).

Les règles correspondant à vos critères de filtrage s'affichent.

Étape suivante

Pour afficher à nouveau toutes les règles, effacez les filtres.

n Dans NSX 6.4.1 et versions ultérieures, cliquez sur Effacer (Clear) dans la boîte de dialogue Filtrer.

n Dans NSX 6.4.0, cliquez sur l'icône Supprimer le filtre appliqué (Remove applied filter) ( ).

Modifier l'ordre d'une règle de pare-feu

Les règles de pare-feu sont appliquées dans l'ordre dans lequel elles existent dans le tableau des règles.


VMware, Inc. 236

Les règles sont affichées (et appliquées) dans l'ordre suivant :

1 Les règles définies par l'utilisateur sont prioritaires et sont appliquées dans un ordre décroissant. La priorité est définie par rapport au niveau de carte réseau virtuelle.

2 Règles automatiques.

3 Règles locales définies au niveau d'un dispositif NSX Edge.

4 Règles de Service Composer : une section différente pour chaque stratégie. Il est impossible de modifier ces règles dans le tableau de pare-feu, mais vous pouvez ajouter d'autres règles au début d'une section de règles de pare-feu d'une stratégie de sécurité. Dans ce cas, vous devez synchroniser de nouveau les règles dans Service Composer. Pour plus d'informations, consultez Chapitre 18 Service Composer.

5 Règle du pare-feu distribué par défaut

Vous pouvez déplacer une règle personnalisée vers le haut ou vers le bas du tableau ; la règle par défaut se trouve toujours en bas du tableau et ne peut pas être déplacée.

Procédure

1 Dans l'onglet Pare-feu (Firewall), sélectionnez la règle à déplacer.

2 Cliquez sur l'icône Déplacer une règle vers le haut (Move rule up) ( ) ou Déplacer une règle

vers le bas (Move rule down) ( ).


Comportement des règles de pare-feu dans des groupes de sécurité

Le comportement des règles de pare-feu varie selon les différents groupes de sécurité.

Tableau 10-6. Comportement des règles de pare-feu avec des sections RDSH et non-RDSH

Activer un groupe de sécurité d'identité des utilisateurs (section RDSH)

Groupe de sécurité d'identité (section RDSH)

N'importe quel groupe de sécurité (section non-RDSH)

Source : les règles basées sur SID sont envoyées préventivement à l'hyperviseur. L'application des règles se fait sur le premier paquet.

Source : règles basées sur l'adresse IP Source : règles basées sur l'adresse IP

Destination : règles basées sur l'adresse IP



Appliqué à avec un groupe de sécurité basé sur l'identité : appliqué à tous les hôtes

Appliqué à basé sur l'utilisateur

Appliqué à avec un groupe de sécurité non basé sur l'identité : appliqué à basé sur l'utilisateur



VMware, Inc. 237

Nombre de correspondances et réinitialisation des règles de pare-feu

Le haut de l'écran de pare-feu affiche le panneau Résumé des règles, qui est présent sur les trois onglets de pare-feu.

Le panneau Résumé des règles affiche :

n Le nombre total de règles.

n Le nombre de règles non publiées.

n Le nombre de règles désactivées.

n Le nombre total de sections.

n Le nombre total de sections verrouillées.

Pour réinitialiser le nombre d'accès aux règles :

Procédure

1 Cliquez sur PLUS (MORE) dans le coin supérieur droit de l'écran.

2 Cliquez sur Réinitialiser le nombre de correspondances de règle (Reset Rule Hit Count), puis cliquez sur RÉINITIALISER (RESET).

3 Cliquez sur RÉINITIALISER.

Tous les nombres de règles sont remis à zéro.

Journaux de pare-feu

Le pare-feu génère et conserve des fichiers journaux, tels que des journaux d'audit, des journaux de messages relatifs aux règles et des journaux des événements système. Vous devez configurer un serveur Syslog pour chaque cluster ayant activé le pare-feu. Le serveur Syslog est spécifié dans l'attribut Syslog.global.logHost.

Recommandation Pour collecter des journaux d'audit de pare-feu sur un serveur Syslog, assurez-vous d'avoir mis à niveau celui-ci vers la version la plus récente. De préférence, configurez un serveur syslog-ng distant pour collecter les journaux d'audit de pare-feu.

Le pare-feu génère des journaux comme décrit dans le tableau suivant.


VMware, Inc. 238

Tableau 10-7. Journaux de pare-feu

Type de journal Description Emplacement

Journaux de messages relatifs aux règles

Incluent toutes les décisions d'accès (comme le trafic autorisé ou refusé) pour chaque règle si la journalisation a été activée pour cette règle. Contient des journaux de paquet DFW pour les règles pour lesquelles la journalisation a été activée.

/var/log/dfwpktlogs.log

Journaux d'audit Incluent les journaux d'administration et les modifications apportées à la configuration du pare-feu distribué.

/home/secureall/secureall/logs/vsm.log

Journaux des événements système

Incluent la configuration appliquée au pare-feu distribué, les filtres créés, supprimés ou en échec et les machines virtuelles ajoutées aux groupes de sécurité, etc.

/home/secureall/secureall/logs/vsm.log

Journaux de plan de données/VMKernel

Capturent les activités liées à un module de noyau de pare-feu (VSIP). Il inclut les entrées de journal pour les messages générés par le système.

/var/log/vmkernel.log

Journaux du client du bus de messages/VSFWD

Capturent les activités d'un agent de pare-feu. /var/log/vsfwd.log

Note Le fichier vsm.log est accessible en exécutant la commande show log manager à partir de

l'interface de ligne de commande de NSX Manager et en effectuant grep pour le mot-clé vsm.log. Seul l'utilisateur ou le groupe d'utilisateurs disposant du privilège racine peut accéder à ce fichier.

Journaux de messages relatifs aux règles

Les journaux de messages relatifs aux règles incluent toutes les décisions d'accès (comme le trafic autorisé et celui refusé) pour chaque règle si la journalisation a été activée pour cette règle. Ces journaux sont stockés sur chaque hôte dans /var/log/dfwpktlogs.log.

Voici des exemples de messages de journal de pare-feu :

# more /var/log/dfwpktlogs.log2015-03-10T03:22:22.671Z INET match DROP domain-c7/1002 IN 242 UDP 192.168.110.10/138->192.168.110.255/138

# more /var/log/dfwpktlogs.log2017-04-11T21:09:59.877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070


VMware, Inc. 239

Autres exemples :

2017-10-19T22:38:05.586Z 58734 INET match PASS domain-c8/1006 OUT 84 ICMP 172.18.8.121->172.18.8.119 RULE_TAG2017-10-19T22:38:08.723Z 58734 INET match PASS domain-c8/1006 OUT 60 TCP 172.18.8.121/36485->172.18.8.119/22 S RULE_TAG2017-10-19T22:38:18.785Z 58734 INET TERM domain-c8/1006 OUT ICMP 8 0 172.18.8.121->172.18.8.119 2/2 168/168 RULE_TAG2017-10-19T22:38:20.789Z 58734 INET TERM domain-c8/1006 OUT TCP FIN 172.18.8.121/36484->172.18.8.119/22 44/33 4965/5009 RULE_TAG

Dans l'exemple suivant :

n 1002 correspond à l'ID de la règle du pare-feu distribué.

n domain-c7 correspond à l'ID du cluster dans le MOB (Managed Object Browser) de vCenter.

n 192.168.110.10/138 correspond à l'adresse IP source.

n 192.168.110.255/138 correspond à l'adresse IP de destination.

n RULE_TAG est un exemple du texte que vous ajoutez dans la zone de texte Balise (Tag) lors de l'ajout ou de la modification de la règle de pare-feu.

L'exemple suivant présente le résultat d'un test ping entre 192.168.110.10 et 172.16.10.12.

# tail -f /var/log/dfwpktlogs.log | grep 192.168.110.10

2015-03-10T03:20:31.274Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.122015-03-10T03:20:35.794Z INET match DROP domain-c27/1002 IN 60 PROTO 1 192.168.110.10->172.16.10.12

Les tableaux suivants expliquent les zones de texte incluses dans le message de journal de pare-feu.

Tableau 10-8. Composants d'une entrée de fichier journal

Composant Valeur de l'exemple

Horodatage 2017-04-11T21:09:59

Partie spécifique au pare-feu 877Z ESXi_FQDN dfwpktlogs: 50047 INET TERM domain-c1/1001 IN TCP RST 10.1.2.3/33491->10.4.5.6/10001 22/14 7684/1070

Tableau 10-9. Partie spécifique au pare-feu de l'entrée de fichier journal

Entité Valeurs possibles

Hachage de filtre Numéro permettant d'obtenir le nom du filtre et d'autres informations.

Valeur AF INET, INET6


VMware, Inc. 240

Tableau 10-9. Partie spécifique au pare-feu de l'entrée de fichier journal (suite)


Raison n match : le paquet correspond à une règle.

n bad-offset : erreur interne de chemin de données lors de l'obtention du paquet.

n fragment : fragments qui ne sont pas en premier après leur assemblage pour former le premier fragment.

n short : paquet trop court (par exemple, pas encore terminé pour inclure un en-tête Adresse IP ou un en-tête TCP/UDP).

n normalize : paquets mal formés sans en-tête correct ou sans section de configuration.

n memory : mémoire insuffisante du chemin de données.

n bad-timestamp : horodatage TCP incorrect.

n proto-cksum : total de contrôle de protocole incorrect.

n state-mismatch : paquets TCP qui ne transmettent pas la vérification de machine d'état TCP.

n state-insert : une connexion en double est détectée.

n state-limit : le nombre maximal d'états qu'un chemin de données peut suivre a été atteint.

n SpoofGuard : paquets abandonnés par SpoofGuard.

n TERM : une connexion est terminée.

Action n PASS : acceptez le paquet.

n DROP : abandonnez le paquet.

n NAT : règle SNAT.

n NONAT : correspond à la règle SNAT, mais ne peut pas convertir l'adresse.

n RDR : règle DNAT.

n NORDR : correspond à la règle DNAT, mais ne peut pas convertir l'adresse.

n PUNT : envoyez le paquet à une VM de service en cours d'exécution sur le même hyperviseur que la VM actuelle.

n REDIRECT : envoyez le paquet au service réseau en cours d'exécution sur l'hyperviseur de la VM actuelle.

n COPY : acceptez le paquet et faites une copie sur une VM de service en cours d'exécution sur le même hyperviseur que la VM actuelle.

n REJECT : refusez le paquet.

Ensemble de règles et ID de règle

rule set/rule ID

Direction IN, OUT

Longueur de paquet length


VMware, Inc. 241

Tableau 10-9. Partie spécifique au pare-feu de l'entrée de fichier journal (suite)


Protocole TCP, UDP, ICMP ou PROTO (numéro de protocole)

Pour les connexions TCP, la raison réelle pour laquelle une connexion est terminée est indiquée après le mot-clé TCP.

Si TERM est la raison d'une session TCP, une explication supplémentaire s'affiche sur la ligne PROTO. Les raisons possibles de l'arrêt d'une connexion TCP sont : RST (paquet TCP RST), FIN (paquet TCP FIN) et TIMEOUT (inactif depuis trop longtemps)

Dans l'exemple ci-dessus, il s'agit de RST. Par conséquent, cela signifie qu'il existe un paquet RST dans la connexion qui doit être réinitialisée.

Pour les connexions non-TCP (UDP, ICMP ou autres protocoles), la raison de l'arrêt d'une connexion est uniquement TIMEOUT.

Adresse IP et port sources IP address/port

Adresse IP et port de destination

IP address/port

Indicateurs TCP. S (SYN), SA (SYN-ACK), A (ACK), P (PUSH), U (URGENT), F (FIN), R (RESET)

Nombre de paquets Nombre de paquets.

22/14 : paquets entrants/paquets sortants

Nombre d'octets Nombre d'octets.

7 684/1 070 : octets entrants/octets sortants

Pour activer un message relatif aux règles, connectez-vous à vSphere Web Client :

1 Accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Pare-feu (Firewall).

2 Vérifiez que vous êtes bien dans l'onglet Général (General).

3 Activez la journalisation.


NSX 6.4.1 et versions ultérieures

Cliquez sur Plus (More)>Activer (Enable)>Activer les journaux de règles (Enable Rule Logs)

NSX 6.4.0 1 Activez la colonne Journal (Log) sur la page.

2 Activez la journalisation pour une règle en passant votre souris au-dessus de la cellule correspondante dans le tableau de journalisation et en cliquant sur l'icône en forme de crayon.

Note Si vous voulez que du texte personnalisé s'affiche dans le message de journal de pare-feu, vous pouvez activer la colonne Balise (Tag) et ajouter le texte requis en cliquant sur l'icône de crayon.


VMware, Inc. 242

Journaux d'audit et journaux des événements système

Les journaux d'audit incluent les journaux d'administration et les modifications apportées à la configuration du pare-feu distribué. Ils sont stockés dans /home/secureall/secureall/logs/vsm.log.

Les journaux des événements système incluent la configuration appliquée au pare-feu distribué, les filtres créés, supprimés ou en échec et les machines virtuelles ajoutées aux groupes de sécurité, etc. Ces journaux sont stockés dans /home/secureall/secureall/logs/vsm.log.

Pour afficher les journaux d'audit et les journaux des événements système dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Système (System) > Événements (Events). Dans l'onglet Surveiller (Monitor), sélectionnez l'adresse IP de NSX Manager.


VMware, Inc. 243

Scénarios de pare-feu 11Vous pouvez utiliser les scénarios de pare-feu pour comprendre le workflow de bout en bout requis.


n Scénarios de pare-feu sensible au contexte

n Configuration de l'identification d'application

Scénarios de pare-feu sensible au contexte

Le pare-feu sensible au contexte est conçu spécifiquement pour les cas est-ouest et non pour la navigation de recherche Web générale. Les applications peuvent être limitées à des applications spécifiques utilisées dans le centre de données, telles que SSH, FTP, TFTP, SQL, DNS, PCoIP, etc.

Voici quelques cas d'utilisation pour un pare-feu sensible au contexte :

n Cas d'utilisation 1 : Don, directeur informatique d'une équipe, demande à son administrateur NSX de limiter tout le trafic HTTP pour une machine virtuelle en particulier. Don souhaite limiter ce trafic sans tenir compte du port d'où il provient.

n Cas d'utilisation 2 : Robert, responsable informatique d'une équipe, souhaite limiter le trafic HTTP à une machine virtuelle en particulier à condition que le trafic ne provienne pas du port TCP 8080.

n Cas d'utilisation 3 : maintenant qu'il y a un pare-feu sensible au contexte, il peut également être étendu aux connexions basées sur l'identité, ainsi un utilisateur Active Directory qui est connecté à son poste de travail virtuel ne pourra accéder qu'aux demandes HTTP à partir du port 8080. Un responsable souhaite que son employé John puisse accéder à HTTP uniquement depuis le port 8080 et seulement quand John est connecté à Active Directory.

Scénario 1 : Autoriser le trafic Web sur un port spécifique

Vous souhaitez autoriser le trafic Web uniquement sur le port 80.

Pour créer une règle de pare-feu sensible au contexte, procédez comme suit :

1 Ajouter une section de règles de pare-feu, si nécessaire.

2 Ajouter une règle de pare-feu, par exemple, HTTP vers serveur Web.

VMware, Inc. 244

3 Sélectionner le serveur Web requis comme Destination.

4 Créer un service pour l'identification de l'application avec les paramètres suivants :

Paramètre Option

Couche Couche 7

ID d'application HTTP

Protocole TCP

Port de destination 80

5 Modifier la règle de pare-feu par défaut sur Bloquer (Block).

6 Publier les modifications.

Avec la règle de pare-feu sensible au contexte, le seul trafic autorisé est le trafic Web sur le port 80.

Scénario 2 : Autoriser le trafic SSH sur n'importe quel port

Vous souhaitez autoriser le trafic SSH sur n'importe quel port.

Procédez comme suit pour créer la règle de pare-feu sensible au contexte :

1 Ajouter une section de règles de pare-feu, si nécessaire.

2 Ajouter une règle de pare-feu, par exemple, SSH vers serveur SSH.

3 Sélectionner le serveur SSH requis comme Destination.

4 Créer un service pour l'identification de l'application avec les paramètres suivants :

Paramètre Option

Couche Couche 7

ID d'application SSH

Protocole TCP

Port de destination Laissez la zone de texte vide

5 Modifier la règle de pare-feu par défaut sur Bloquer (Block).

6 Publier les modifications.

Avec la règle de pare-feu sensible au contexte, le seul trafic autorisé est le trafic SSH sur n'importe quel port.

Exemple : ExemplePour connaître les étapes détaillées de la création d'une règle de pare-feu sensible au contexte à l'aide de vSphere Web Client, reportez-vous à la section Exemple : créer une règle de pare-feu sensible au contexte.


VMware, Inc. 245

Configuration de l'identification d'application

L'identité d'application et de protocole permet une visibilité sur un grand nombre d'applications et une application en fonction des couches d'application comme Active Directory, DNS, HTTPS ou MySQL.

L'identification d'application de couche 7 identifie par quelle application un paquet ou un flux particulier est généré, quel que soit le port utilisé.

La mise en application basée sur l'identité d'application permet aux utilisateurs d'autoriser ou de refuser que des applications s'exécutent sur n'importe quel port, ou de forcer l'exécution des applications sur leur port standard. Le DPI (Deep Packet Inspection) permet de faire correspondre la charge utile des paquets à des modèles définis, généralement appelés signatures. Des objets de service de couche 7 peuvent être utilisés pour la mise en application indépendante du port ou pour créer des objets de service qui exploitent une combinaison de l'identité d'application de couche 7, du protocole et du port. Des objets de service de couche 7 peuvent être utilisés dans le tableau de règles de pare-feu et Service Composer, et les informations d'identification d'application sont capturées dans les journaux de pare-feu distribué, Flow Monitoring et le Gestionnaire de règles d'application (ARM) lors du profilage d'une application.

Procédure

1 Dans vSphere Web Client, cliquez sur Mise en réseau et sécurité (Networking & Security) > Groupes et balises (Groups and Tags).

2 Créez un service et spécifiez la couche 7, l'ID d'application, le protocole et le port. Pour une application indépendante des ports, vous pouvez ignorer cette étape. Pour plus d'informations, reportez-vous aux sectionsGUID d'ID d'application et Créer un service.

3 Créez une règle de pare-feu distribué. Dans le champ Service, sélectionnez le service de couche 7 que vous avez créé à l'étape 2. Pour l'application indépendante des ports, sélectionnez un ID d'application, reportez-vous à GUID d'ID d'application. Reportez-vous à Ajouter une règle de pare-feu pour plus de détails.

4 Enregistrez et publiez la règle de pare-feu.


VMware, Inc. 246

Présentation d'Identity Firewall 12Les fonctionnalités d'Identity Firewall permettent à un administrateur NSX de créer des règles DFW basées sur l'utilisateur Active Directory.

La configuration d'IDFW commence par la préparation de l'infrastructure. Pour cela, l'administrateur installe les composants de préparation de l'hôte sur chaque cluster protégé et configure la synchronisation Active Directory pour que NSX puisse consommer des utilisateurs et des groupes AD. Ensuite, IDFW doit savoir à quel poste de travail un utilisateur Active Directory (AD) se connecte pour appliquer des règles DFW. IDFW utilise deux méthodes pour la détection de connexion : Guest introspection (GI) et/ou l'analyseur de journaux d'événements Active Directory. Guest introspection est déployé sur des clusters ESXi sur lesquels des machines virtuelles IDFW sont exécutées. Lorsque des événements réseau sont générés par un utilisateur, un agent invité installé sur la VM transfère les informations via l'infrastructure de Guest introspection à NSX Manager. La seconde option est l'analyseur de journaux d'événements Active Directory. Configurez l'analyseur de journaux d'événements Active Directory dans NSX Manager pour qu'il pointe sur une instance de votre contrôleur de domaine Active Directory. NSX Manager retire ensuite les événements du journal des événements de sécurité AD. Vous pouvez utiliser les deux dans votre environnement, ou bien l'un ou l'autre. Lorsque l'analyseur de journaux AD et Guest introspection sont utilisés, Guest introspection est prioritaire. Notez que si l'analyseur de journaux d'événements AD et Guest introspection sont tous deux utilisés, ils s'excluent mutuellement : si l'un cesse de fonctionner, l'autre ne commence pas à fonctionner comme solution de secours.

Lorsque l'infrastructure est préparée, l'administrateur crée des groupes de sécurité NSX et ajoute les nouveaux groupes AD disponibles (appelés groupes de répertoires). L'administrateur peut ensuite créer des stratégies de sécurité avec des règles de pare-feu associées et appliquer ces stratégies aux nouveaux groupes de sécurité créés. Maintenant, lorsqu'un utilisateur se connecte à un poste de travail, le système détecte cet événement avec l'adresse IP utilisée, recherche la stratégie de pare-feu associée à cet utilisateur et transfère ces règles. Cela fonctionne pour les postes de travail physiques et virtuels. Pour les postes de travail physiques, l'analyseur de journaux des événements AD est également requis pour détecter qu'un utilisateur est connecté à un poste de travail physique.

VMware, Inc. 247

Le pare-feu d'identité peut être utilisé pour la microsegmentation avec des sessions de poste de travail distant (RDSH), l'activation de connexions simultanées par plusieurs utilisateurs, l'accès aux applications d'utilisateur en fonction de conditions requises et la possibilité de maintenir des environnements utilisateur indépendants. Le pare-feu d'identité avec des sessions de poste de travail distant nécessite Active Directory.

Pour voir les systèmes d'exploitation Windows pris en charge, reportez-vous à la section Configurations testées et prises en charge du pare-feu d'identité. Notez que les systèmes d'exploitation Linux ne sont pas pris en charge pour le pare-feu d'identité.


n Workflow d'Identity Firewall

n Configurations testées et prises en charge du pare-feu d'identité

Workflow d'Identity Firewall

Identity Firewall (IDFW) autorise les règles du pare-feu distribué basées sur l'utilisateur.

Les règles de Pare-feu distribué (DFW) basées sur l'utilisateur sont déterminées par appartenance dans une appartenance de groupe Active Directory (AD). IDFW surveille où des utilisateurs AD sont connectés et mappe la connexion sur une adresse IP, qui est utilisée par DFW pour appliquer des règles de pare-feu. Identity Firewall requiert une infrastructure Guest Introspection ou un analyseur de journaux des événements Active Directory. Vous pouvez utiliser les deux dans votre environnement, ou bien l'un ou l'autre. Lorsque l'analyseur de journaux AD et Guest introspection sont utilisés, Guest introspection est prioritaire. Notez que si l'analyseur de journaux d'événements AD et Guest introspection sont tous deux utilisés, ils s'excluent mutuellement : si l'un cesse de fonctionner, l'autre ne commence pas à fonctionner comme solution de secours.

Les modifications de l'appartenance au groupe AD ne prennent pas effet immédiatement pour les utilisateurs connectés qui utilisent des règles de pare-feu d'identité RDSH ; cela inclut l'activation et la désactivation des utilisateurs, ainsi que la suppression d'utilisateurs. Pour que les modifications prennent effet, les utilisateurs doivent fermer puis rouvrir leur session. Nous recommandons aux administrateurs AD de forcer la fermeture de session lorsque l'appartenance au groupe est modifiée. Ce comportement est une limite d'Active Directory.

Flux montant d'IDFW :

1 Un utilisateur se connecte à une machine virtuelle.

2 Un événement de connexion d'utilisateur est reçu par le plan de gestion NSX.

3 Le plan de gestion NSX examine l'utilisateur et reçoit tous les groupes Active Directory (AD) auxquels l'utilisateur appartient. Le plan de gestion NSX envoie ensuite des événements de modification de groupe pour tous les groupes AD affectés.


VMware, Inc. 248

4 Tous les groupes de sécurité (SG) qui incluent ces groupes Active Directory sont marqués d'un indicateur, et une tâche est ajoutée à la file d'attente pour traiter cette modification. Étant donné qu'un groupe de sécurité peut inclure plusieurs groupes Active Directory, un seul événement de connexion d'utilisateur déclenche souvent plusieurs événements de traitement pour le même groupe de sécurité. Pour résoudre ce problème, les demandes de traitement des groupes de sécurité en double sont supprimées.

Flux descendant d'IDFW :

1 Une demande de traitement des groupes de sécurité est reçue. Lorsqu'un groupe de sécurité est modifié, NSX met à jour toutes les entités affectées et déclenche des actions en fonction des règles IDFW.

2 NSX reçoit tous les groupes Active Directory d'un groupe de sécurité.

3 NSX reçoit d'Active Directory tous les utilisateurs qui appartiennent aux groupes AD.

4 Les utilisateurs Active Directory sont associés à leurs adresses IP.

5 Les adresses IP sont mappées aux cartes réseau virtuelles, puis celles-ci sont mappées aux machines virtuelles (VM). La liste des machines virtuelles qui en résulte est le produit d'une traduction de groupes de sécurité en machines virtuelles.

Note Identity Firewall pour RDSH est uniquement pris en charge avec Windows Server 2016, Windows 2012 avec VMware Tools 10.2.5 et versions ultérieures et Windows 2012 R2 avec VMware Tools 10.2.5 et versions ultérieures.

Procédure

1 Configurez la synchronisation Active Directory dans NSX. Pour cela, reportez-vous à la section Synchroniser un domaine Windows avec Active Directory. Cela est requis pour utiliser des groupes Active Directory dans Service Composer.

2 Préparez le cluster ESXi pour DFW. Consultez Préparer le cluster d'hôtes pour NSX dans le Guide d'installation de NSX.

3 Configurez des options de détection de connexion Identity Firewall. Il est nécessaire qu'une de ces options, voire les deux, soit configurée.

Note Si vous disposez d'une architecture Active Directory à domaines multiples et que le nettoyeur de journal n'est pas accessible en raison de contraintes de sécurité, utilisez Guest Introspection pour générer des événements de connexion et de déconnexion.

n Configurez l'accès aux journaux d'événements Active Directory. Reportez-vous à la section Enregistrer un domaine Windows avec NSX Manager.

n Système d'exploitation invité Windows avec l'agent invité installé. Cela s'accompagne d'une installation complète de VMware Tools ™. Déployez le service Guest introspection sur des clusters protégés. Reportez-vous à la section Installer Guest introspection sur les clusters d'hôtes.


VMware, Inc. 249

Configurations testées et prises en charge du pare-feu d'identité

Serveurs d'annuaire et serveurs d'analyseur de journaux pris en charge avec IDFW.

Tableau 12-1. Serveurs d'annuaire et versions

Serveur/Version Pris en charge ?

Windows Server 2016 Oui


Windows Server 2012 R2 Oui

Windows Server 2008 R2 Non

Windows Server 2008 Non

Windows Server 2003 Non

Serveurs LDAP autres que Microsoft AD Non

Tableau 12-2. Système d’exploitation Windows pour les postes de travail RDSH


Windows 2016 Oui

Windows 2012 avec VMware Tools 10.2.5 et versions ultérieures

Oui

Windows 2012 R2 avec VMware Tools 10.2.5 et versions ultérieures

Oui

Notez que la prise en charge d'Identity Firewall avec RDSH requiert l'installation des pilotes réseau de Guest Introspection.

Tableau 12-3. Options de synchronisation de domaine


Synchronisation de domaine avec LDAP ou LDAPS Oui

Ajout de journal des événements avec CIFS et WMI Oui

Synchronisation de domaine avec un seul nom unique racine

Oui

Synchronisation de domaine avec plusieurs unités d'organisation de nom unique racine

6.4.0 et versions ultérieures

Synchronisation de domaine avec sous-arborescence unique d'unités d'organisation avec la hiérarchie de niveau


Synchronisation de domaine avec sous-arborescence multiple d'unités d'organisation



VMware, Inc. 250

Tableau 12-3. Options de synchronisation de domaine (suite)


Supprimer et rajouter le même domaine avec une unité d'organisation sélective


Ajouter une nouvelle sous-arborescence sous une unité d'organisation synchronisée


Synchroniser avec un nom unique de base sélectif 6.4.0 et versions ultérieures

Synchroniser en ignorant les utilisateurs désactivés Oui

Synchronisation delta avec des modifications dans le domaine AD

Oui

Tableau 12-4. Serveurs d'analyseur de journaux et versions






Linux ou autres implémentations LDAP Non

Limitations de l'analyseur de journaux

n La machine virtuelle nécessite un redémarrage pour l'événement de connexion entrant si ce qui suit se produit :

n Des utilisateurs sont désactivés ou activés.

n L'adresse IP de la VM change.

n Le même domaine avec NSX Manager est ajouté de nouveau.

n La file d'attente du journal des événements pour les événements de connexion entrants est limitée et les événements de connexion ne sont pas reçus si le journal est plein.

Pour plus d'informations sur la synchronisation de domaine, reportez-vous à la section Synchroniser un domaine Windows avec Active Directory.

Tableau 12-5. Système d'exploitation avec Guest Introspection


Win-7 (32 bits, 64 bits) Oui

Win-8 (64 bits) Oui

Win-10 (32 bits, 64 bits) Oui

Windows Server 2016 Oui.


VMware, Inc. 251

Tableau 12-5. Système d'exploitation avec Guest Introspection (suite)




Prise en charge de Linux Non

Limitations de Guest Introspection

n L'infrastructure GI doit être déployée sur chaque cluster sur lequel les machines virtuelles IDFW sont en cours d'exécution.

n Une installation complète de VMware Tools ™ doit être effectuée sur toutes les machines virtuelles invitées.

n Les sessions UDP ne sont pas prises en charge. Des événements de mise en réseau ne sont pas générés pour les sessions UDP sur les machines virtuelles invitées.

n L'intégration Linux GOS avec le serveur Active Directory n'est pas prise en charge.

Configurations Microsoft Active Directory prises en charge

En fonction des guides de conception des normes et des meilleures pratiques de Microsoft, https://msdn.microsoft.com/en-us/library/bb727085.aspx, les configurations suivantes de forêts Active Directory, domaines, arborescences de domaine, groupes/utilisateurs sont prises en charge et testées pour Identity Firewall :

Tableau 12-6. Forêt unique, domaine unique et imbrication de groupes Active Directory et configurations d'utilisateur

Scénarios Pris en charge ?

Modifier l'appartenance d'un utilisateur au sein du domaine

Oui

Appartenance au groupe circulaire Oui, pris en charge à partir de la version 6.2.8 et versions ultérieures

Appartenance au groupe imbriquée Oui

Ajouter et modifier le nom de groupe Oui

Ajouter et modifier le nom d'utilisateur Oui

Supprimer le groupe et l'utilisateur Oui

Désactiver et activer l'utilisateur Oui


VMware, Inc. 252

https://msdn.microsoft.com/en-us/library/bb727085.aspx

Tableau 12-7. Forêt unique, domaine forêt et arborescence de sous-domaines


Utilisateurs créés dans le domaine parent et partie de groupes dans le domaine parent

Oui

Utilisateurs créés dans le domaine enfant, mais partie de groupes dans le domaine parent

Non

Utilisateurs créés dans Domaine1 enfant et appartenance dans Domaine2 enfant

Modifier l'appartenance d'utilisateur entre deux domaines différents (racine et enfant)

Oui

Appartenance au groupe circulaire Oui, pris en charge à partir de la version 6.2.8 et versions ultérieures

Appartenance au groupe imbriquée dans un domaine unique (non pris en charge pour les domaines croisés)

Oui

Ajouter et modifier un groupe et un nom d'utilisateur Oui

Supprimer le groupe et l'utilisateur Oui

Désactiver et activer l'utilisateur Oui

Tableau 12-8. Forêt unique, domaine forêt et arborescence de sous-domaines


Modifier le mot de passe de domaine après la synchronisation

Oui

Modifier l'adresse IP après la synchronisation Oui

Renommer les contrôleurs de domaine Oui

Déconnecter et reconnecter le réseau du domaine et du serveur de journal des événements lors de la synchronisation du domaine

Oui

Déconnecter et reconnecter le réseau du domaine et du serveur de journal des événements après la synchronisation du domaine

Oui

Note Flux et hypothèses de l'application des règles

n Un événement de connexion d'utilisateur est traité uniquement lorsqu'une session TCP est lancée à partir d'une VM invitée.

n Les événements de déconnexion d'utilisateur ne sont pas envoyés ou traités. L'ensemble de règles appliqué reste pendant une période de 8 heures après la dernière activité d'un utilisateur sur le réseau ou jusqu'à ce qu'un autre utilisateur génère une connexion TCP à partir de la même machine virtuelle. Le système traite cela comme une déconnexion de l'utilisateur précédent et une connexion du nouvel utilisateur.


VMware, Inc. 253

n Une prise en charge de plusieurs utilisateurs est disponible avec IDFW avec RDSH dans NSX 6.4.0 et versions ultérieures.

n Les connexions de VM RDSH sont gérées principalement par le moteur de contexte pour la mise en application de règles. Les connexions RDSH correspondent uniquement aux règles de pare-feu créées avec Activer l'identité d'utilisateur à la source et la règle doit être créée dans une nouvelle section de Règles de pare-feu. Si un utilisateur appartient à une identité de non-utilisateur au niveau du groupe de sécurité source et qu'il se connecte à une VM RDSH, la connexion ne déclenche aucune traduction sur cette identité. Une VM RDSH n'appartient jamais à une identité de non-utilisateur au niveau de groupes de sécurité source.


VMware, Inc. 254

Utilisation des domaines Active Directory 13Vous pouvez enregistrer un ou plusieurs domaines Windows dans un dispositif NSX Manager et dans l'instance de vCenter server associée. NSX Manager obtient de chaque domaine enregistré des informations sur les utilisateurs et les groupes, ainsi que sur la relation entre eux. NSX Manager récupère également les informations d'identification Active Directory (AD).

Une fois que NSX Manager a récupéré les identifiants AD, vous pouvez créer des groupes de sécurité basés sur l'identité de l'utilisateur, créer des règles de pare-feu basées sur l'identité et exécuter des rapports de suivi d'activité.

Les modifications de l'appartenance au groupe AD ne prennent pas effet immédiatement pour les utilisateurs connectés qui utilisent des règles de pare-feu d'identité RDSH ; cela inclut l'activation et la désactivation des utilisateurs, ainsi que la suppression d'utilisateurs. Pour que les modifications prennent effet, les utilisateurs doivent fermer puis rouvrir leur session. Nous recommandons aux administrateurs AD de forcer la fermeture de session lorsque l'appartenance au groupe est modifiée. Ce comportement est une limite d'Active Directory.

Important Les modifications apportées dans Active Directory ne s'affichent pas sur NSX Manager tant qu'une synchronisation delta ou complète n'a pas été effectuée.


n Enregistrer un domaine Windows avec NSX Manager

n Synchroniser un domaine Windows avec Active Directory

n Modifier un domaine Windows

n Activer l'accès en lecture seule aux journaux de sécurité sous Windows 2008

n Vérification des privilèges du répertoire

Enregistrer un domaine Windows avec NSX Manager


Le compte de domaine doit disposer d'une autorisation d'accès en lecture par AD pour tous les objets dans l'arborescence du domaine. Le compte du lecteur de journaux d'événements doit disposer d'autorisations d'accès en lecture des journaux des événements de sécurité.

VMware, Inc. 255

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Système (System) > Utilisateurs et domaines (Users and Domains).

2 Cliquez sur l'onglet Domaines (Domains), puis sur l'icône Ajouter un domaine (Add domain)

( ).

3 Dans la boîte de dialogue Ajouter un domaine (Add Domain), entrez le nom complet du domaine (par exemple, eng.vmware.com) ainsi que le nom NetBIOS.

Pour extraire le nom NetBIOS de votre domaine, tapez nbtstat -n dans une fenêtre de

commande sur une poste de travail Windows appartenant à un domaine ou situé sur un contrôleur de domaine. Dans la table de noms locaux NetBIOS, l'entrée avec un préfixe <00> et le groupe de types est le nom NetBIOS.

4 Lorsque vous ajoutez un domaine enfant, sélectionnez Fusionner automatiquement (Auto Merge).

5 Lors de la synchronisation, pour filtrer les utilisateurs qui n'ont plus de compte actif, cliquez sur Ignorer les utilisateurs désactivés (Ignore disabled users).

6 Cliquez sur Suivant (Next).

7 Sur la page Options LDAP, indiquez le contrôleur de domaine avec lequel effectuer la synchronisation et sélectionnez le protocole. Reportez-vous à la section Configurations testées et prises en charge du pare-feu d'identité pour plus d'informations sur les options de synchronisation de domaine prises en charge.

8 Le cas échéant, modifiez le numéro de port.

9 Tapez les informations d'identification de l'utilisateur pour le compte de domaine. Cet utilisateur doit pouvoir accéder à l'arborescence du répertoire.


11 (Facultatif) Sur la page Accès au journal des événements de sécurité, sélectionnez CIFS ou WMI comme méthode de connexion pour accéder à des journaux des événements de sécurité sur le serveur AD spécifié. Le cas échéant, modifiez le numéro du port. Cette étape est utilisée par l'analyseur de journaux des événements Active Directory. Reportez-vous à la section Workflow d'Identity Firewall.

Note Le lecteur de journaux des événements recherche les événements avec les ID suivants dans le journal des événements de sécurité AD : Windows 2008/2012 : 4624, Windows 2003 : 540. Le serveur de journaux des événements a une limite de 128 Mo. Lorsque cette limite est atteinte, vous pouvez voir l'ID d'événement 1104 dans le lecteur de journaux de sécurité. Pour plus d'informations, reportez-vous à https://technet.microsoft.com/en-us/library/dd315518.


VMware, Inc. 256

https://technet.microsoft.com/en-us/library/dd315518

12 Sélectionnez Utiliser les informations d'identification du domaine (Use Domain Credentials) pour utiliser les informations d'identification de l'utilisateur du serveur LDAP. Si vous souhaitez indiquer un autre compte de domaine pour l'accès aux journaux, désélectionnez Utiliser les informations d'identification du domaine (Use Domain Credentials) et indiquez le nom et le mot de passe de l'utilisateur en question.

Ce compte doit pouvoir lire les journaux des événements de sécurité sur le contrôleur de domaine indiqué à l'étape 10.


14 Sur la page Prêt à terminer, vérifiez les paramètres que vous avez entrés.

15 Cliquez sur Terminer (Finish).

Attention n Si un message d'erreur indiquant que l'opération Ajout du domaine a échoué pour l'entité

à cause d'un conflit d'intérêt apparaît, sélectionnez Fusionner automatiquement. Les domaines seront créés et les paramètres affichés sous la liste de domaines.

Résultats

Le domaine est créé et ses paramètres s'affichent en dessous de la liste de domaines.

Étape suivante

Vérifiez que les événements de connexion du serveur du journal des événements sont activés.

Vous pouvez ajouter, modifier, supprimer, activer ou désactiver des serveurs LDAP en sélectionnant l'onglet Serveurs LDAP (LDAP Servers) dans le panneau situé en dessous de la liste de domaines. Vous pouvez faire de même pour les serveurs de journaux des événements en sélectionnant l'onglet Serveurs de journaux des événements (Event Log Servers) dans ce même panneau. L'ajout de plus d'un serveur Windows (contrôleurs de domaine, serveurs Exchange ou serveurs de fichiers) en tant que serveur de journaux des événements améliore l'association des identités des utilisateurs.

Note Si vous utilisez IDFW, seuls les serveurs AD sont pris en charge.

Synchroniser un domaine Windows avec Active Directory

Par défaut, tous les domaines enregistrés sont automatiquement synchronisés avec Active Directory toutes les 3 heures. Vous pouvez également effectuer une synchronisation à la demande.

Via l'interface utilisateur de vSphere Web Client, vous pouvez effectuer une synchronisation forcée pour des domaines Active Directory. Une synchronisation périodique est effectuée automatiquement une fois par semaine et une synchronisation delta toutes les 3 heures. Il n'est pas possible de synchroniser de manière sélective des sous-arborescences via l'interface utilisateur.


VMware, Inc. 257

Avec NSX 6.4 et versions ultérieures, il est possible de synchroniser de manière sélective des sous-arborescences Active Directory à l'aide d'appels API. Le domaine racine ne peut pas avoir de relations parent-enfant et doit disposer d'un nom unique de répertoire valide.

n /api/1.0/directory/updateDomain dispose d'une option pour spécifier le dossier sous le

domaine racine. Et il existe une option pour effectuer une mise à jour forcée : private boolean forceUpdate .

n /api/directory/verifyRootDN. Vérifiez que la liste des noms uniques racines ne contient

aucune relation parent-enfant. Vérifiez que chaque nom unique racine est un nom unique Active Directory valide.

Procédure


2 Cliquez sur l'onglet Domaines (Domains), puis sélectionnez le domaine à synchroniser.

Important Les modifications apportées dans Active Directory ne s'affichent pas sur NSX Manager tant qu'une synchronisation delta ou complète n'a pas été effectuée.

3 Sélectionnez l'une des options suivantes :

Cliquez sur Pour

Effectuer une synchronisation différentielle dans laquelle les objets AD locaux qui ont changé depuis le dernier événement de synchronisation sont mis à jour

Effectuer une synchronisation complète dans laquelle l'état local de tous les objets AD est mis à jour

Modifier un domaine Windows

Vous pouvez modifier le nom, le nom netBIOS, le serveur LDAP principal et les informations d'identification de compte d'un domaine.

Procédure


2 Cliquez sur l’onglet Domaines (Domains).

3 Sélectionnez un domaine, puis cliquez sur l'icône Modifier le domaine (Edit domain).

4 Apportez les modifications appropriées et cliquez sur Terminer (Finish).


VMware, Inc. 258

Activer l'accès en lecture seule aux journaux de sécurité sous Windows 2008

L'accès en lecture seule aux journaux de sécurité est utilisé par l'analyseur de journaux d'événements dans IDFW.

Une fois que vous avez créé un compte d'utilisateur, vous devez activer l'accès en lecture seule aux journaux de sécurité sur une section de domaine basée sur un serveur Windows 2008 pour accorder l'accès en lecture seule à l'utilisateur.

Note Vous devez effectuer ces étapes sur un contrôleur de domaine du domaine, de l'arborescence ou de la forêt.

Procédure

1 Accédez à Démarrer > Outils d'administration > Utilisateurs et ordinateurs Active Directory (Start > Administrative Tools > Active Directory Users and Computers).

2 Dans l'arborescence de navigation, développez le nœud qui correspond au domaine pour lequel vous voulez activer l'accès aux journaux de sécurité.

3 Sous le nœud que vous venez de développer, sélectionnez le nœud Intégré (Builtin).

4 Double-cliquez sur Lecteurs des journaux d'événements (Event Log Readers) dans la liste de groupes.

5 Sélectionnez l'onglet Membres (Members) dans la boîte de dialogue Propriétés des lecteurs des journaux d'événements.

6 Cliquez sur le bouton Ajouter... (Add...).

La boîte de dialogue Sélectionner des utilisateurs, Sélectionner des contacts, Sélectionner des ordinateurs ou Sélectionner des groupes s'affiche.

7 Si vous avez précédemment créé un groupe pour l'utilisateur « Lecteur AD », sélectionnez ce groupe dans la boîte de dialogue Sélectionner des utilisateurs, Sélectionner des contacts, Sélectionner des ordinateurs ou Sélectionner des groupes. Si vous avez créé uniquement l'utilisateur et pas de groupe, sélectionnez cet utilisateur dans la boîte de dialogue Sélectionner des utilisateurs, Sélectionner des contacts, Sélectionner des ordinateurs ou Sélectionner des groupes.

8 Cliquez sur OK pour fermer la boîte de dialogue Sélectionner des utilisateurs, Sélectionner des contacts, Sélectionner des ordinateurs ou Sélectionner des groupes.

9 Cliquez sur OK pour fermer la boîte de dialogue Propriétés des lecteurs des journaux d'événements.

10 Fermez la fenêtre Utilisateurs et ordinateurs Active Directory.


VMware, Inc. 259

Étape suivante

Une fois que vous avez activé l'accès aux journaux de sécurité, vérifiez les privilèges du répertoire en suivant les étapes dans la section Vérification des privilèges du répertoire.

Vérification des privilèges du répertoire

Vérifiez que le compte d'utilisateur dispose des privilèges requis pour lire les journaux de sécurité.

Une fois que vous avez créé un compte et activé l'accès aux journaux de sécurité, vous devez vérifier la capacité à lire ces journaux.


Activez l'accès aux journaux de sécurité. Reportez-vous à la section Activer l'accès en lecture seule aux journaux de sécurité sous Windows 2008.

Procédure

1 Depuis n'importe quelle station de travail faisant partie du domaine, connectez-vous au domaine en tant qu'administrateur.

2 Accédez à Démarrer > Outils d'administration > Observateur d'événements (Start > Administrative Tools > Event Viewer).

3 Sélectionnez Se connecter à un autre ordinateur... (Connect to Another Computer...) dans le menu Action. La boîte de dialogue Sélectionner un ordinateur s'affiche. (Notez que vous devez exécuter cette action même si vous êtes déjà connecté à la machine pour laquelle vous prévoyez d'afficher le journal des événements.)

4 Cochez la case Un autre ordinateur (Another computer), si elle n'est pas déjà cochée.

5 Dans le champ de texte à côté de la case Un autre ordinateur (Another computer), entrez le nom du contrôleur de domaine. Vous pouvez également cliquer sur le bouton Parcourir... (Browse...) et sélectionner le contrôleur de domaine.

6 Cochez la case Se connecter en tant qu'autre utilisateur (Connect as another user).

7 Cliquez sur le bouton Définir l'utilisateur (Set User...). La boîte de dialogue Observateur d'événements s'affiche.

8 Dans le champ Nom d'utilisateur (User name), entrez le nom d'utilisateur de l'utilisateur que vous avez créé.

9 Dans le champ Mot de passe (Password), entrez le mot de passe de l'utilisateur que vous avez créé.

10 Cliquez sur OK

11 Cliquez de nouveau sur OK.

12 Développez le nœud Journaux Windows (Windows Logs) dans l'arborescence de navigation.


VMware, Inc. 260

13 Sous le nœud Journaux Windows (Windows Logs), sélectionnez le nœud Sécurité. Si vous pouvez voir des événements de journal, le compte dispose des privilèges requis.


VMware, Inc. 261

Utilisation de SpoofGuard 14SpoofGuard protège contre l'usurpation d'adresse IP en conservant une table de référence des noms et des adresses IP de la machine virtuelle. SpoofGuard conserve cette table de référence à l'aide des adresses IP que NSX Manager récupère de VMware Tools lors du démarrage initial d'une machine virtuelle.

Après la synchronisation avec le serveur vCenter Server, NSX Manager collecte les adresses IP de toutes les machines virtuelles invitées de vCenter à partir de VMware Tools sur chaque machine virtuelle. Si une machine virtuelle a été compromise, l'adresse IP peut être usurpée et des transmissions malveillantes peuvent contourner les stratégies de pare-feu.

SpoofGuard est inactif par défaut et vous devez l'activer explicitement sur chaque commutateur logique ou groupe de ports VDS. Lorsqu'un changement d'adresse IP de machine virtuelle est détecté, le pare-feu distribué (DFW) bloque le trafic depuis ou vers cette VM jusqu'à ce que vous approuviez cette nouvelle adresse IP.

Vous créez une stratégie SpoofGuard pour des réseaux spécifiques, qui vous permet d'autoriser les adresses IP signalées par VMware Tools et de les modifier si nécessaire pour empêcher l'usurpation. SpoofGuard fait confiance essentiellement aux adresses MAC des machines virtuelles recueillies dans les fichiers VMX et vSphere SDK. Comme SpoofGuard fonctionne indépendamment des règles de pare-feu, vous pouvez l'utiliser pour bloquer du trafic considéré comme usurpé.

Important SpoofGuard fonctionne uniquement lorsque le pare-feu distribué (DFW) est activé.

Le pare-feu prend en charge les adresses IPv4 et IPv6. La stratégie SpoofGuard prend en charge plusieurs adresses IP attribuées à une vNIC lors de l'utilisation de VMware Tools et de l'écoute DHCP. L'écoute ARP prend en charge jusqu'à 128 adresses détectées par machine virtuelle, par vNIC. La stratégie SpoofGuard surveille et gère les adresses IP signalées par vos machines virtuelles dans l'un des modes suivants.

Faire automatiquement confiance aux attributions IP lors de leur première utilisation

Ce mode autorise la transmission de l'ensemble du trafic de vos machines virtuelles pendant la création d'une table d'attribution d'adresses vNIC à IP. Vous pouvez consulter cette table quand vous le souhaitez pour apporter des modifications d'adresse IP. Ce mode approuve automatiquement toutes les adresses IPv4 et IPv6 qui sont vues en premier sur une vNIC.

Inspecter et approuver manuellement toutes les attributions IP avant leur utilisation

VMware, Inc. 262

Ce mode bloque tout le trafic jusqu'à ce que vous approuviez chaque attribution d'adresse de carte réseau virtuelle à IP. Dans ce mode, plusieurs adresses IPv4 peuvent être approuvées.

Note SpoofGuard autorise toutes les demandes DHCP, quel que soit le mode activé. Cependant, en mode d'inspection manuelle, le trafic ne passe pas tant que l'adresse IP attribuée par DHCP n'a pas été approuvée.

SpoofGuard inclut une stratégie par défaut générée par le système qui s'applique aux groupes de ports et réseaux logiques non couverts par d'autres stratégies SpoofGuard. Un réseau récemment ajouté est automatiquement ajouté à la stratégie par défaut tant que vous ne l'ajoutez pas à une stratégie existante ou que vous ne créez pas de stratégie pour lui.

SpoofGuard est l'un des moyens qui permettent à une règle du pare-feu distribué NSX de déterminer l'adresse IP d'une machine virtuelle. Pour plus d'informations, consultez Découverte d'adresses IP pour les machines virtuelles.


n Créer une stratégie SpoofGuard

n Approuver des adresses IP

n Modifier une adresse IP

n Effacer une adresse IP

Créer une stratégie SpoofGuard

Vous pouvez créer une stratégie SpoofGuard pour spécifier le mode de fonctionnement de réseaux spécifiques. La stratégie générée par le système (par défaut) s'applique aux groupes de ports et aux commutateurs logiques qui ne sont pas couverts par les stratégies SpoofGuard existantes.

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > SpoofGuard.


3 Entrez le nom de la stratégie.

4 Activez (Enable) ou Désactivez (Disable) la stratégie.


VMware, Inc. 263

5 Sélectionnez l'un des Mode d'opération (Operation Mode) suivants :

Option Description

Faire automatiquement confiance aux attributions IP lors de leur première utilisation

Sélectionnez cette option pour approuver toutes les attributions d'adresse IP lors de leur enregistrement initial dans l'instance de NSX Manager.

Inspecter et approuver manuellement toutes les attributions IP avant leur utilisation

Sélectionnez cette option pour exiger une approbation manuelle de toutes les adresses IP. Tout le trafic provenant des adresses IP non approuvées ou y aboutissant est bloqué.

6 Cliquez sur Autoriser l'adresse locale comme adresse valide dans cet espace de noms (Allow

local address as valid address in this namespace) pour autoriser les adresses IP locales dans votre configuration.

Lorsque vous activez une machine virtuelle, mais qu'elle ne parvient pas à se connecter au serveur DHCP, une adresse IP locale lui est attribuée. Cette adresse IP locale est considérée comme valide uniquement si le mode SpoofGuard est défini sur Autoriser l'adresse locale comme adresse valide dans cet espace de noms (Allow local address as valid address in this namespace). Sinon, l'adresse IP locale est ignorée.


8 Sélectionnez le type d'objet auquel cette stratégie doit s'appliquer, puis sélectionnez les objets souhaités.

u Dans NSX 6.4.0, cliquez sur l'icône Ajouter (Add). Sélectionnez le type d'objet auquel cette stratégie doit s'appliquer, puis sélectionnez les objets souhaités.

Un groupe de ports ou un commutateur logique ne peut appartenir qu'à une seule stratégie SpoofGuard.


Étape suivante

Vous pouvez modifier une stratégie en cliquant sur l'icône Modifier (Edit), et la supprimer en cliquant sur l'icône Supprimer (Delete).

Approuver des adresses IP

Si vous demandez à SpoofGuard d'exiger une approbation manuelle de toutes les attributions d'adresse IP, vous devez approuver les attributions d'adresse pour permettre le passage du trafic de ces machines virtuelles.

Procédure

1 Dans SpoofGuard, sélectionnez une stratégie.

Les détails de la stratégie s'affichent sous le tableau des stratégies.


VMware, Inc. 264

2 Dans NSX 6.4.1 et versions ultérieures, sélectionnez l'un des liens d'option du menu déroulant ou Tout (All).

Option Description

vNIC actives Liste de toutes les adresses IP valides

vNIC en attente d'approbation Modifications d'adresse IP nécessitant une approbation avant d'autoriser le trafic depuis ou vers ces machines virtuelles

vNIC inactives Liste des adresses IP ne correspondant pas aux adresses IP publiées

vNIC avec adresse IP en double Adresses IP en double d'une adresse IP attribuée existante dans le centre de données sélectionné

3 Dans NSX 6.4.0, sélectionnez Afficher (View) et cliquez sur l'un des liens d'option.

Option Description

Cartes réseau virtuelles actives Liste de toutes les adresses IP valides

Cartes réseau virtuelles actives depuis la dernière publication

Liste des adresses IP validées depuis la dernière mise à jour de la stratégie

Les IP des cartes réseau virtuelles ont demandé une approbation

Modifications d'adresse IP nécessitant une approbation avant d'autoriser le trafic depuis ou vers ces machines virtuelles

Cartes réseau virtuelles avec IP en double

Adresses IP en double d'une adresse IP attribuée existante dans le centre de données sélectionné

Cartes réseau virtuelles inactives Liste des adresses IP ne correspondant pas aux adresses IP publiées

IP des cartes réseau virtuelles non publiées

Liste de machines virtuelles pour lesquelles vous avez modifié l'attribution d'adresse IP sans l'avoir publiée pour l'instant


n Pour approuver une adresse IP spécifique, cliquez sur Approuver (Approve) en regard de l'adresse IP.

n Pour approuver plusieurs adresses IP, sélectionnez les vNIC appropriées, puis cliquez sur Approuver les adresses IP (Approve IPs).

Modifier une adresse IP

Vous pouvez modifier l'adresse IP affectée à une adresse MAC pour corriger cette adresse IP.

Note SpoofGuard accepte une adresse IP unique provenant des machines virtuelles. Mais vous ne pouvez attribuer une adresse IP qu'une seule fois. Une adresse IP approuvée doit être unique sur NSX. Les adresses IP approuvées en double ne sont pas autorisées.

Procédure



VMware, Inc. 265

2 Dans NSX 6.4.1 et versions ultérieures, sélectionnez l'un des liens d'option du menu déroulant ou Tout (All).

Option Description





3 Pour NSX 6.4.0, sélectionnez Afficher (View) et cliquez sur l'un des liens d'option.

Option Description











4 Ajoutez une adresse IP.

Option Description

NSX 6.4.1 Cliquez sur Ajouter IP (Add IP) et ajoutez une adresse IP.

NSX 6.4.0 Cliquez sur l'icône en forme de crayon en regard d'une adresse IP approuvée (Approved IP), puis cliquez sur le signe + et ajoutez une nouvelle adresse IP.

5 Pour supprimer une adresse IP incorrecte, sélectionnez Effacer (Clear).

6 Cliquez sur OK.

Effacer une adresse IP

Vous effacez une attribution d'adresse IP approuvée d'une stratégie SpoofGuard.

Procédure



VMware, Inc. 266

2 Dans NSX 6.4.1 et versions ultérieures, sélectionnez l'un des liens d'option ou Tout (All).

Option Description





3 Pour NSX 6.4.0, sélectionnez Afficher (View) et cliquez sur l'un des liens d'option.

Option Description











4 Sélectionnez Effacer (Clear) ou Effacer les adresses IP approuvées (Clear Approved IPs)

pour effacer une adresse IP.


VMware, Inc. 267

VPN (Virtual Private Network) 15NSX Edge prend en charge plusieurs types de VPN. VPN-Plus SSL permet à des utilisateurs distants d'accéder à des applications d'entreprise privées. IPSec VPN offre la connectivité de site à site entre une instance de NSX Edge et des sites distants. VPN L2 permet d'étendre votre centre de données en autorisant les machines virtuelles à conserver la connectivité réseau au-delà des limites géographiques.

Vous devez disposer d'une instance de NSX Edge opérationnelle avant de pouvoir utiliser le VPN. Pour obtenir des informations sur la configuration de NSX Edge, reportez-vous à Configuration de NSX Edge.


n Présentation de VPN-Plus SSL

n Présentation de VPN IPSec

n Présentation de VPN L2

Présentation de VPN-Plus SSL

Avec VPN-Plus SSL, les utilisateurs distants peuvent se connecter en toute sécurité à des réseaux privés derrière une passerelle NSX Edge. Les utilisateurs distants peuvent accéder aux serveurs et applications des réseaux privés.

VMware, Inc. 268

VPN VP

Utilisateurs distantsse connectant via lemode d'accès Web

NSXManager

Admin

NSX EdgeSSL VPNexterne

InternetWindowsServer

LAN d'entreprise

Utilisateurs distants se connectant via le client SSL

Les systèmes d'exploitation client suivants sont pris en charge.

Système d'exploitation Versions prises en charge

Windows 8, 10 (y compris avec l'option de démarrage sécurisé de Windows 10 activée)

Mac OS Sierra 10.12.6

Mac OS High Sierra 10.13.4

Mac OS Mojave 10.14.2 à 10.14.6 (pris en charge dans NSX 6.4.4 et versions ultérieures)

Mac OS Catalina 10.15, 10.15.3, 10.15.4 (pris en charge dans NSX 6.4.7 et versions ultérieures)

10.15.6, 10.15.7 (pris en charge à partir de NSX 6.4.10)

Mac OS Big Sur 11.2 et versions ultérieures (pris en charge à partir de NSX 6.4.10)

Linux Fedora 26, 28


VMware, Inc. 269

Système d'exploitation Versions prises en charge

Linux CentOS 6.0, 7.5

Linux Ubuntu 18.04 (pris en charge dans NSX 6.4.6 et versions ultérieures)

Important n Le client SSL VPN-Plus n'est pas pris en charge sur les ordinateurs qui utilisent des

processeurs basés sur ARM.

n Dans le client SSL VPN-Plus sous Windows, la fonctionnalité « Reconnexion automatique » ne fonctionne pas comme prévu lorsque l'adaptateur de bouclage Npcap est « activé ». Cet adaptateur de bouclage interfère avec la fonction du pilote Npcap sur un ordinateur Windows. Assurez-vous que la dernière version du pilote Npcap (0.9983 ou version ultérieure) est installée sur votre ordinateur Windows. Cette version du pilote n'a pas besoin de l'adaptateur de bouclage pour les captures de paquets.

n Des bibliothèques Linux TCL, TK et Services de sécurité réseau (NSS) sont requises pour que l'interface utilisateur fonctionne.

Configurer l'accès réseau VPN-Plus SSL

En mode d'accès réseau, un utilisateur distant peut accéder à des réseaux privés après le téléchargement et l'installation d'un client SSL.


La passerelle VPN SSL requiert que le port 443 soit accessible à partir des réseaux externes et le client VPN SSL impose que l'adresse IP et le port 443 de la passerelle NSX Edge soient accessibles depuis le système client.

Ajouter des paramètres du serveur VPN-Plus SSL

Vous devez ajouter les paramètres du serveur VPN SSL pour activer SSL sur une interface NSX Edge.

Procédure

1 Dans l'onglet VPN-Plus SSL (SSL VPN-Plus), sélectionnez Paramètres du serveur (Server Settings) dans le volet de gauche.

2 Cliquez sur Modifier (Change.).

3 Sélectionnez l'adresse IPv4 ou IPv6.

4 Le cas échéant, modifiez le numéro du port. Ce numéro de port est nécessaire pour configurer le module d'installation.


VMware, Inc. 270

5 Sélectionnez un ou plusieurs chiffrements ou méthodes de chiffrement.

Note Si un des chiffrements GCM suivants est configuré sur le serveur VPN SSL, un problème de compatibilité descendante peut se produire dans certains navigateurs :

n AES128-GCM-SHA256

n ECDHE-RSA-AES128-GCM-SHA256

n ECDHE-RSA-AES256-GCM-SHA38

6 (Facultatif) Dans le tableau Certificats de serveur, utilisez le certificat de serveur par défaut, ou décochez la case Utiliser un certificat par défaut (Use Default Certificate) et cliquez sur le certificat de serveur que vous voulez ajouter.

Restriction n Le service VPN-Plus SSL prend uniquement en charge les certificats RSA.

n Le service VPN-Plus SSL prend en charge le certificat de serveur signé uniquement par l'autorité de certification racine. Le certificat serveur signé par une autorité de certification intermédiaire n'est pas pris en charge.

7 Cliquez sur OK.

Ajouter un pool IP

Le pool IP que vous ajoutez affecte une adresse IP virtuelle à l'utilisateur distant.

Procédure

1 Dans l'onglet Vpn-Plus SSL (SSL Vpn-Plus), sélectionnez Pools d'IP (IP Pools) dans le panneau de gauche.


3 Tapez l'adresse IP de début et de fin du pool IP.

4 Tapez le masque réseau du pool IP.

5 Tapez l'adresse IP à ajouter à l'interface de routage de la passerelle NSX Edge Gateway.

6 (Facultatif) Tapez la description du pool IP.

7 Choisissez d'activer ou de désactiver le pool IP.

8 (Facultatif) Dans le panneau Avancé (Advanced), tapez le nom DNS.

9 (Facultatif) Tapez le nom DNS secondaire.

10 Tapez le suffixe DNS spécifique à la connexion pour la résolution de nom d'hôte basée sur le domaine.

11 Tapez l'adresse du serveur WINS.

12 Cliquez sur OK.


VMware, Inc. 271

Ajouter un réseau privé

Ajoutez le réseau que vous voulez rendre accessible à l'utilisateur distant.

Procédure

1 Dans l'onglet VPN-Plus SSL (SSL VPN-Plus), sélectionnez Réseaux privés (Private Networks) dans le panneau de gauche.

2 Cliquez sur l'icône Ajouter (Add) ( )

3 Tapez l'adresse IP du réseau privé.

4 Saisissez le masque réseau du réseau privé.

5 (Facultatif) Entrez une description du réseau.

6 Indiquez si vous souhaitez envoyer le trafic du réseau privé et Internet via le dispositif NSX Edge sur lequel VPN-Plus SSL est activé ou directement au serveur privé en contournant le dispositif NSX Edge.

7 Si vous avez sélectionné Envoyer le trafic sur le tunnel (Send traffic over the tunnel), sélectionnez Activer l'optimisation TCP (Enable TCP Optimization) pour optimiser la vitesse de connexion à Internet.

Le tunnel des VPN SSL à accès complet traditionnels envoie les données TCP/IP dans une seconde pile TCP/IP pour le chiffrement sur Internet. Cela entraîne la double encapsulation des données de couche d'application dans deux flux TCP distincts. Lors d'une perte de paquets (laquelle peut survenir même dans des conditions optimales de connexion à Internet), un effet de dégradation des performances appelé effondrement TCP-sur-TCP se produit. En d'autres termes, deux instruments TCP corrigent un seul paquet de données IP, altérant la performance du réseau et entraînant des délais d'attente de connexion. L'optimisation TCP élimine ce problème TCP-sur-TCP, garantissant une performance optimale.

8 Une fois l'optimisation activée, spécifiez les numéros de port pour lesquels vous souhaitez optimiser le trafic.

Le trafic des autres ports de ce réseau ne sera pas optimisé.

Note Le trafic de tous les ports est optimisé, si des numéros de port ne sont pas spécifiés.

Une fois le trafic TCP optimisé, le serveur VPN SSL ouvre la connexion TCP au nom du client. La première règle générée automatiquement est alors appliquée, ce qui permet la transmission de toutes les connexions ouvertes à partir d'Edge. Le trafic qui n'est pas optimisé sera évalué par les règles normales de pare-feu Edge. La règle par défaut est une autorisation de type « any any ».

9 Indiquez si vous voulez activer ou désactiver le réseau privé.

10 Cliquez sur OK.


VMware, Inc. 272

Étape suivante

Ajoutez une règle de pare-feu correspondante pour autoriser le trafic du réseau privé.

Ajouter une authentification

En plus de l'authentification d'utilisateur locale, vous pouvez ajouter un serveur d'authentification externe (AD, LDAP, Radius ou RSA) lié à la passerelle SSL. Tous les utilisateurs ayant des comptes sur le serveur authentifié lié seront authentifiés.

Le délai d'authentification maximal via VPN SSL est de 3 minutes. Cela est dû au fait que le délai d'interruption en cas d'absence d'authentification est de 3 minutes et qu'il ne s'agit pas d'une propriété configurable. En conséquence, dans des scénarios dans lesquels le délai d'interruption de l'authentification AD est défini sur plus de 3 minutes ou en cas de serveurs d'authentification multiples dans une autorisation en chaîne nécessitant un délai d'authentification supérieur à 3 minutes, vous ne serez pas authentifié.

Procédure

1 Dans l'onglet VPN-Plus SSL (SSL VPN-Plus), sélectionnez Authentification (Authentication) dans le panneau de gauche.


3 Sélectionnez le type de serveur d'authentification.

4 Selon le type de serveur d'authentification que vous avez sélectionné, remplissez les champs suivants.

u Serveur d'authentification AD

Tableau 15-1. Options de serveur d'authentification AD

Option Description

Activer SSL (Enable SSL)

L'activation de SSL établit un lien chiffré entre un serveur Web et un navigateur.

Note Des problèmes peuvent se produire si vous n'activez pas SSL et si vous essayez de modifier le mot de passe à l'aide de l'onglet VPN-Plus SSL ou à partir de la machine client ultérieurement.

Adresse IP (IP Address)

Adresse IP du serveur d'authentification.

Port Affiche le nom du port par défaut. Modifiez-le si nécessaire.

Délai d'expiration (Timeout)

Période en secondes pendant laquelle le serveur AD doit répondre.

État (Status) Sélectionnez Activé (Enabled) ou Désactivé (Disabled) pour indiquer si le serveur est activé ou non.


VMware, Inc. 273

Tableau 15-1. Options de serveur d'authentification AD (suite)

Option Description

Base de recherche (Search base)

Partie de l'arborescence des répertoires externe dans laquelle effectuer la recherche. La base de recherche peut être l'équivalent de l'unité d'organisation (UO), du contrôleur de domaine (DC) ou du nom de domaine (AD) du répertoire externe.

Exemples :

n OU=Users,DC=aslan,DC=local

n OU=VPN,DC=aslan,DC=local

Bind DN Utilisateur sur le serveur AD externe autorisé à rechercher le répertoire AD au sein de la base de recherche définie. Le plus souvent, le Bind DN est autorisé à effectuer des recherches dans tout le répertoire. Le rôle du Bind DN est d'interroger le répertoire à l'aide du filtre de requête et de la base de recherche pour le nom unique pour authentifier les utilisateurs AD. Lorsque le nom unique est renvoyé, celui-ci et le mot de passe sont utilisés pour authentifier l'utilisateur AD.

Exemple : CN=ldap.edge,OU=users,OU=Datacenter Users,DC=aslan,DC=local

Relier le mot de passe (Bind Password)

Mot de passe permettant d'authentifier l'utilisateur AD.

Confirmer le mot de passe relié (Retype Bind Password)

Confirmez le mot de passe.

Nom d'attribut de connexion (Login Attribute Name)

Nom avec lequel l'ID d'utilisateur entré par l'utilisateur distant est mis en correspondance. Pour Active Directory, le nom d'attribut de connexion est sAMAccountName.

Filtre de recherche (Search Filter)

Valeurs de filtre par lesquelles la recherche doit être limitée. Le format du filtre de recherche est attribute operator value.

Si vous avez besoin de limiter la base de recherche à un groupe spécifique dans Active Directory et d'interdire la recherche à l'ensemble de l'unité d'organisation,

n ne placez pas le nom de groupe dans la base de recherche, mais indiquez simplement OU et DC.

n Ne placez pas objectClass et memberOf dans la même chaîne de filtre de recherche. Exemple de format correct pour le filtre de recherche : memberOf=CN=VPN_Users,OU=Users,DC=aslan,DC=local


VMware, Inc. 274

Tableau 15-1. Options de serveur d'authentification AD (suite)

Option Description

Utiliser ce serveur pour l'authentification secondaire (Use this server for secondary authentication)

Si cette option est sélectionnée, ce serveur AD est utilisé comme deuxième niveau d'authentification.

Fermer la session si l'authentification échoue (Terminate Session if authentication fails)

Lorsque cette option est sélectionnée, la session se termine si l'authentification échoue.

u Serveur d'authentification LDAP

Tableau 15-2. Options du serveur d'authentification LDAP

Option Description

Activer SSL (Enable SSL)

L'activation de SSL établit un lien chiffré entre un serveur Web et un navigateur.


Adresse IP du serveur externe.





Base de recherche (Search base)

Partie de l'arborescence des répertoires externe dans laquelle effectuer la recherche. La base de recherche peut être l'équivalent de l'organisation, du groupe ou du nom de domaine (AD) du répertoire externe.

Bind DN Utilisateur sur le serveur externe autorisé à rechercher le répertoire AD dans la base de recherche définie. Le plus souvent, le Bind DN est autorisé à effectuer des recherches dans tout le répertoire. Le rôle du Bind DN est d'interroger le répertoire à l'aide du filtre de requête et de la base de recherche pour le nom unique pour authentifier les utilisateurs AD. Lorsque le nom unique est renvoyé, celui-ci et le mot de passe sont utilisés pour authentifier l'utilisateur AD.

Relier le mot de passe (Bind Password)

Mot de passe permettant d'authentifier l'utilisateur AD.


VMware, Inc. 275

Tableau 15-2. Options du serveur d'authentification LDAP (suite)

Option Description

Confirmer le mot de passe relié (Retype Bind Password)

Confirmez le mot de passe.

Nom d'attribut de connexion (Login Attribute Name)

Nom avec lequel l'ID d'utilisateur entré par l'utilisateur distant est mis en correspondance. Pour Active Directory, le nom d'attribut de connexion est sAMAccountName.

Filtre de recherche (Search Filter)

Valeurs de filtre par lesquelles la recherche doit être limitée. Le format du filtre de recherche est attribute operator value.


Si cette option est sélectionnée, ce serveur est utilisé comme deuxième niveau d'authentification.



u Serveur d'authentification RADIUS

L'authentification RADIUS est désactivée en mode FIPS.

Tableau 15-3. Options du serveur d'authentification RADIUS

Option Description


Adresse IP du serveur externe.





Secret Secret partagé spécifié lors de l'ajout de l'agent d'authentification dans la console de sécurité RSA.

Confirmer le secret (Retype secret)

Confirmez le secret partagé.

Adresse IP NAS (NAS IP Address)

Adresse IP à configurer et utiliser comme attribut RADIUS 4, Adresse IP NAS, sans changer l'adresse IP source dans l'en-tête IP des paquets RADIUS.


VMware, Inc. 276

Tableau 15-3. Options du serveur d'authentification RADIUS (suite)

Option Description

Nombre de tentatives (Retry Count)

Nombre de tentatives de contact du serveur RADIUS à effectuer avant de faire échouer l'authentification si le serveur ne répond pas.





u Serveur d'authentification RSA-ACE

L'authentification RSA est désactivée en mode FIPS.

Tableau 15-4. Options du serveur d'authentification RSA-ACE

Option Description



Fichier de configuration (Configuration File)

Cliquez sur Parcourir (Browse) pour sélectionner le fichier sdconf.rec que vous avez

téléchargé à partir de RSA Authentication Manager.


Adresse IP source (Source IP Address)

Adresse IP de l'interface NSX Edge à travers laquelle le serveur RSA est accessible.


VMware, Inc. 277

Tableau 15-4. Options du serveur d'authentification RSA-ACE (suite)

Option Description





u Serveur d'authentification local

Tableau 15-5. Options du serveur d'authentification local

Option Description

Activer la stratégie de mots de passe (Enable password policy)

Si cette option est sélectionnée, définit une règle de mot de passe. Spécifiez les valeurs requises.

Activer la stratégie de mots de passe (Enable password policy)

Si cette option est sélectionnée, définit une règle de verrouillage de compte. Spécifiez les valeurs requises.

1 Dans Nombre de tentatives, tapez le nombre maximal de tentatives qu'un utilisateur distant peut effectuer pour accéder à son compte après l'entrée d'un mot de passe incorrect.

2 Dans Durée de nouvelle tentative, tapez la période au terme de laquelle le compte de l'utilisateur distant est verrouillé lors de tentatives de connexion infructueuses.

Par exemple, si vous spécifiez la valeur 5 pour Nombre de tentatives et 1 minute pour Durée de nouvelle tentative, le compte de l'utilisateur distant sera verrouillé s'il effectue cinq tentatives infructueuses de connexion en une minute.

3 Dans Durée de verrouillage, tapez la période pendant laquelle le compte utilisateur reste verrouillé. Passé ce délai, le compte est automatiquement déverrouillé.



VMware, Inc. 278

Tableau 15-5. Options du serveur d'authentification local (suite)

Option Description





5 (Facultatif) Ajoutez l'authentification du certificat client.

a En regard de Authentification de certificat (Certificate Authentication), cliquez sur Modifier (Change).

b Cochez la case Activer l'authentification du certificat client (Enable client certificate authentication).

c Sélectionnez un certificat client émis par l'autorité de certification racine et cliquez sur OK.

Restriction n Sur le portail Web de VPN-Plus SSL et le client d'accès complet de VPN-Plus SSL

(client PHAT), le certificat client ou d'utilisateur qui est signé uniquement par l'autorité de certification racine est pris en charge. Le certificat client signé par une autorité de certification intermédiaire n'est pas pris en charge.

n L'authentification du certificat client est prise en charge uniquement sur un client VPN-Plus SSL qui est installé sur un ordinateur Windows. Ce type d'authentification n'est pas pris en charge sur un client VPN-Plus SSL installé sur des ordinateurs Linux et Mac.

Ajouter un module d'installation

Créez un module d'installation du client VPN-Plus SSL pour l'utilisateur distant.

Procédure

1 Dans l'onglet VPN-Plus SSL (SSL VPN-Plus), sélectionnez Module d'installation (Installation Package) dans le panneau de gauche.


3 Tapez un nom de profil pour le module d'installation.


VMware, Inc. 279

4 Dans Passerelle (Gateway), tapez l'adresse IP ou le nom de domaine complet de l'interface publique d'un dispositif NSX Edge.

Cette adresse IP ou ce nom de domaine complet est lié au client SSL. Une fois le client installé, cette adresse IP ou ce nom de domaine complet s'affiche sur le client SSL.

5 Tapez le numéro de port spécifié dans les paramètres du serveur pour VPN-Plus SSL. Reportez-vous à la section Ajouter des paramètres du serveur VPN-Plus SSL.

6 (Facultatif) Pour lier des interfaces de liaison montante NSX Edge supplémentaires au client SSL,

a Cliquez sur l'icône Ajouter (Add) ( ).

b Tapez l'adresse IP et le numéro de port.

c Cliquez sur OK.

7 Le module d'installation est créé pour le système d'exploitation Windows par défaut. Sélectionnez Linux ou Mac pour créer un module d'installation pour les systèmes d'exploitation Linux ou Mac.

8 (Facultatif) Entrez une description pour le module d'installation.

9 Sélectionnez Activer (Enable) pour afficher le module d'installation sur la page Module d'installation.

10 Sélectionnez les options suivantes selon le cas.

Option Description

Lancer le client à l'ouverture de session

Le client VPN SSL se lance lorsque l'utilisateur distant se connecte à son système.

Autoriser la mémorisation du mot de passe

Active l'option.

Activer l'installation en mode silencieux

Masque les commandes d'installation de l'utilisateur distant.

Masquer l'adaptateur réseau SSL du client

Masque l'adaptateur VPN-Plus SSL VMware installé sur l'ordinateur de l'utilisateur distant, ainsi que le module d'installation du VPN SSL.

Masquer l'icône de la barre d'état système client

Masque l'icône de la barre d'état du VPN SSL qui indique si la connexion VPN est active ou non.

Créer une icône de poste de travail Crée une icône pour appeler le client SSL sur le poste de travail de l'utilisateur.

Activer l'exploitation en mode silencieux

Masque la fenêtre contextuelle qui indique que l'installation est terminée.

Validation du certificat de sécurité du serveur

Le client VPN SSL valide le certificat du serveur VPN SSL avant d'établir la connexion sécurisée.

Bloquer l'utilisateur lors de l'échec de la validation des certificats

Si la validation du certificat échoue, bloquez l'utilisateur de VPN SSL.

11 Cliquez sur OK.


VMware, Inc. 280

Ajouter un utilisateur

Ajoutez un utilisateur distant à la base de données locale.

Procédure

1 Dans le panneau de gauche de l'onglet VPN-Plus SSL (SSL VPN-Plus), sélectionnez Utilisateurs (Users).


3 Tapez l'ID d'utilisateur.

4 Tapez le mot de passe.

5 Confirmez le mot de passe.

6 (Facultatif) Tapez le prénom et le nom de famille de l'utilisateur.

7 (Facultatif) Tapez une description de l'utilisateur.

8 Dans Détails relatifs au mot de passe, sélectionnez Le mot de passe n'expire jamais (Password never expires) afin que l'utilisateur conserve toujours le même mot de passe.

9 Sélectionnez Autoriser la modification du mot de passe (Allow change password) pour laisser l'utilisateur changer le mot de passe.

10 Sélectionnez Modifier le mot de passe lors de la prochaine connexion (Change password on next login) si vous souhaitez que l'utilisateur change le mot de passe lors de sa prochaine connexion.

11 Définissez le statut de l'utilisateur.

12 Cliquez sur OK.

Activer le service VPN-Plus SSL

Après avoir configuré le service VPN-Plus SSL, activez le service pour que les utilisateurs distants puissent commencer à accéder aux réseaux privés.

Procédure

1 Dans l'onglet VPN-Plus SSL (SSL VPN-Plus), sélectionnez Tableau de bord (Dashboard) dans le panneau de gauche.

2 Cliquez sur Démarrer (Start).

Le tableau de bord affiche le statut du service, le nombre de sessions VPN SSL actives, les statistiques des sessions et les détails relatifs au flux de données. Cliquez sur Détails (Details) en regard de Nombre de sessions actives pour afficher des informations sur les connexions simultanées aux réseaux privés derrière la passerelle NSX Edge.

Étape suivante

1 Ajoutez une règle SNAT permettant de convertir l'adresse IP du dispositif NSX Edge en adresse IP VPN Edge.


VMware, Inc. 281

2 Dans un navigateur Web, accédez à l'adresse IP de l'interface NSX Edge en tapant https://NSXEdgeIPAddress.

3 Connectez-vous à l'aide du nom d'utilisateur et du mot de passe que vous avez créés à la section Ajouter un utilisateur, puis téléchargez le module d'installation.

4 Activez le transfert de port sur votre routeur pour le numéro de port utilisé à la section Ajouter des paramètres du serveur VPN-Plus SSL.

5 Lancez le client VPN, sélectionnez votre serveur VPN et connectez-vous. Vous pouvez maintenant accéder aux services sur votre réseau. Les journaux de la passerelle VPN-Plus SSL sont envoyés au serveur syslog configuré sur le dispositif NSX Edge. Les journaux client VPN-Plus SSL sont stockés dans le répertoire suivant sur l'ordinateur de l'utilisateur distant : %PROGRAMFILES%/VMWARE/SSLVPN Client/.

Ajouter un script

Vous pouvez ajouter plusieurs scripts de connexion et de déconnexion. Par exemple, vous pouvez lier un script de connexion pour lancer Internet Explorer avec gmail.com. Lorsque l'utilisateur distant se connecte au client SSL, Internet Explorer ouvre la page gmail.com.

Procédure

1 Dans le panneau de gauche de l'onglet VPN-Plus SSL (SSL Vpn-Plus), sélectionnez Scripts de connexion/déconnexion (Login/Logoff Scripts).


3 Dans Script, cliquez sur Parcourir (Browse) et sélectionnez le script à lier à la passerelle NSX Edge Gateway.

4 Sélectionnez le Type de script.

Option Description

Connexion Effectue l'action du script lorsque l'utilisateur distant se connecte au VPN SSL.

Déconnexion Effectue l'action du script lorsque l'utilisateur distant se déconnecte du VPN SSL.

Les deux Effectue l'action du script lorsque l'utilisateur distant se connecte à VPN SSL et lorsqu'il s'en déconnecte.

5 Tapez une description pour le script.

6 Sélectionnez Activé (Enabled) pour activer le script.

7 Cliquez sur OK.


VMware, Inc. 282

Installer le client VPN-Plus SSL

Utilisez le client VPN SSL Full Access (PHAT) pour vous connecter à un réseau privé configuré en tant qu'utilisateur distant. Le client est pris en charge sur les postes de travail Windows, Mac et Linux.

Les rubriques suivantes expliquent les étapes d'installation du client VPN-Plus SSL sur différents systèmes d'exploitation.

n Installer le client VPN-Plus SSL sur un site Windows distant

Suivez les étapes de cette rubrique pour installer le client VPN-Plus SSL sur un site Windows distant.

n Installer le client VPN-Plus SSL sur un site Linux distant

Suivez les étapes de cette rubrique pour installer le client VPN-Plus SSL sur un site Linux distant.

n Installer le client VPN-Plus SSL sur un site Mac distant

Suivez les étapes de cette rubrique pour installer le client VPN-Plus SSL sur un ordinateur Mac distant.

Installer le client VPN-Plus SSL sur un site Windows distant

Suivez les étapes de cette rubrique pour installer le client VPN-Plus SSL sur un site Windows distant.

Procédure

1 Sur le site client distant, ouvrez une fenêtre de navigateur et tapez https://IPInterfaceExterneEdge/sslvpn-plus /, IPInterfaceExterneEdge étant l'adresse IP de

l'interface externe Edge sur laquelle vous avez activé le service VPN-Plus SSL.

2 Connectez-vous au portail à l'aide les informations d'identification de l'utilisateur distant.

3 Cliquez sur l'onglet Accès complet (Full Access).

4 Cliquez sur le nom du module du programme d'installation dans la liste.

5 Cliquez sur le lien Cliquez ici (click here) pour télécharger le package du programme d'installation.

Le client SSL est téléchargé.

6 Extrayez les fichiers téléchargés et exécutez le fichier Installer.exe pour installer le client.

Étape suivante

Connectez-vous au client SSL avec les informations d'identification spécifiées dans la section Utilisateurs. Le client VPN-Plus SSL valide le certificat du serveur VPN SSL.

Le client Windows est authentifié si l'option Validation du certificat de sécurité du serveur (Server security certificate validation) est sélectionnée par défaut lors de la création du module d'installation.


VMware, Inc. 283

Pour le navigateur Internet Explorer (IE), ajoutez une autorité de certification approuvée au magasin de certificats de confiance. En cas d'échec de la validation du certificat de serveur, vous êtes invité à contacter votre administrateur système. En cas de réussite de la validation du certificat de serveur, vous êtes invité à vous connecter.

L'ajout d'une autorité de certification de confiance au magasin d'approbations est indépendant du workflow du VPN SSL.

Installer le client VPN-Plus SSL sur un site Linux distant

Suivez les étapes de cette rubrique pour installer le client VPN-Plus SSL sur un site Linux distant.


Installez les packages Linux TCL et TK sur l'ordinateur distant.

Vous devez disposer de privilèges racine pour installer le client VPN-Plus SSL.

Procédure





4 Cliquez sur le nom du package du programme d'installation et enregistrez le fichier compressé linux_phat_client.tgz sur l'ordinateur distant.

5 Extrayez le fichier compressé. Le répertoire linux_phat_client est créé.

6 Ouvrez la CLI Linux et accédez au répertoire linux_phat_client.

7 Exécutez la commande $./install_linux_phat_client.sh.

Étape suivante

Connectez-vous à l'interface utilisateur graphique du VPN SSL avec les informations d'identification spécifiées dans la section Utilisateurs.

Attention n L'authentification RSA à deux facteurs n'est pas prise en charge pour la connexion au client

VPN SSL sur les systèmes d'exploitation Linux.

n La CLI du client Linux VPN SSL CLI ne valide pas les certificats de serveur. Si la validation du certificat de serveur est requise, utilisez l'interface utilisateur graphique du VPN SSL pour la connexion à la passerelle.


VMware, Inc. 284

Le client Linux VPN SSL valide le certificat de serveur en le comparant au magasin de certificats du navigateur par défaut. En cas d'échec de la validation du certificat de serveur, vous êtes invité à contacter votre administrateur système. En cas de réussite de la validation du certificat de serveur, vous êtes invité à vous connecter.

L'ajout d'une autorité de certification de confiance au magasin d'approbations (par exemple au magasin de certificats de Firefox) est indépendant du workflow du VPN SSL.

Installer le client VPN-Plus SSL sur un site Mac distant

Suivez les étapes de cette rubrique pour installer le client VPN-Plus SSL sur un ordinateur Mac distant.


Vous devez disposer de privilèges racine pour installer le client VPN-Plus SSL.

Procédure





4 Cliquez sur le nom du package du programme d'installation et enregistrez le fichier compressé mac_phat_client.tgz sur l'ordinateur distant.

5 Extrayez le fichier compressé. Le répertoire mac_phat_client est créé.

6 Pour installer le client VPN-Plus SSL, double-cliquez sur le fichier naclient.pkg.

Suivez les étapes de l'assistant pour terminer l'installation.

Si votre installation du client VPN SSL échoue, vérifiez le fichier journal d'installation : /tmp/naclient_install.log.

Pour résoudre les problèmes d'installation sur Mac OS High Sierra, consultez-le Guide de dépannage de NSX.

Étape suivante

Connectez-vous au client SSL avec les informations d'identification spécifiées dans la section Utilisateurs.

Attention L'authentification à deux facteurs n'est pas prise en charge pour la connexion au client VPN SSL sur les systèmes d'exploitation Mac.


VMware, Inc. 285

Le client VPN SSL Mac confirme le certificat du serveur via Keychain, la base de données qui stocke par défaut les certificats sur le système d'exploitation Mac. En cas d'échec de la validation du certificat de serveur, vous êtes invité à contacter votre administrateur système. En cas de réussite de la validation du certificat de serveur, vous êtes invité à vous connecter.

Configurer des paramètres de serveur proxy dans le client VPN-Plus SSL

À partir de NSX 6.4.6, la configuration du serveur proxy est prise en charge sur le client VPN-Plus SSL sur les ordinateurs Windows, Mac et Linux. Dans NSX 6.4.5 et versions antérieures, la configuration du serveur proxy est prise en charge uniquement sur le client VPN-Plus SSL sur un ordinateur Windows.

Attention Dans NSX 6.4.5 et versions antérieures :

n Le client VPN-Plus SSL sur Mac OS permet de configurer les paramètres du serveur proxy, mais les utilisateurs distants ne doivent pas le faire.

n Les utilisateurs distants du système d'exploitation Linux doivent éviter de configurer les paramètres du serveur proxy sur le client VPN-Plus SSL via l'interface de ligne de commande Linux.

La procédure suivante décrit les étapes de configuration des paramètres du serveur proxy dans un client VPN-Plus SSL.


Le client VPN-Plus SSL est installé sur l'ordinateur Windows distant.

Procédure

1 Double-cliquez sur l'icône du bureau du client VPN-Plus SSL sur l'ordinateur distant.

La fenêtre Client VPN-Plus SSL - Connexion s'ouvre.

2 Accédez aux paramètres du proxy.

n Sur un ordinateur Windows et Mac, cliquez sur Paramètres, puis sur l'onglet Paramètres du proxy.

n Sur un ordinateur Linux, cliquez sur Paramètres du proxy.


VMware, Inc. 286

3 Spécifiez les paramètres du serveur proxy.

a Cochez la case Utiliser le proxy (Use Proxy).

b Sous Type de proxy (Type Of Proxy), configurez un des types de serveur proxy.

Option Description

Utiliser les paramètres d'IE Cette option est uniquement disponible dans le client VPN-Plus SSL Windows.

Utilisez la configuration du serveur proxy qui est spécifiée dans votre navigateur IE.

HTTP Spécifiez les paramètres suivants pour un serveur proxy HTTP :

n Nom du serveur proxy ou une adresse IP du serveur proxy.

n Port du serveur proxy. Le port par défaut est le port 80, que vous pouvez modifier.

SOCKS ver 4 Cette option est uniquement disponible dans le client VPN-Plus SSL Windows.

Spécifiez les paramètres suivants pour un serveur proxy SOCKS 4.0 :



SOCKS ver 5 Spécifiez les paramètres suivants pour un serveur proxy SOCKS 5.0 :



n (Facultatif) Nom d'utilisateur et mot de passe pour accéder au serveur SOCKS 5.0.

4 Pour enregistrer des paramètres du serveur proxy, cliquez sur OK.

Journaux VPN-Plus SSL

Les journaux de la passerelle VPN-Plus SSL sont envoyés au serveur Syslog configuré sur le dispositif NSX Edge.

Le tableau suivant répertorie les emplacements, sur l'ordinateur de l'utilisateur distant, dans lesquels sont stockés les journaux du client VPN-Plus SSL.

Système d'exploitation Emplacement du fichier journal

Windows 8 C:\Users\nom d'utilisateur\AppData\Local\VMware\vpn\svp_client.log

Windows 10 C:\Users\nom d'utilisateur\AppData\Local\VMware\vpn\svp_client.log

Linux Fichiers journaux système

Mac Fichier journal d'installation : /tmp/naclient_install.logFichiers journaux système


VMware, Inc. 287

Modifier les journaux du client VPN-Plus SSL et le niveau de journal

1 Dans l'onglet VPN-Plus SSL (SSL VPN-Plus), cliquez sur Paramètres du serveur (Server Settings) dans le panneau de gauche.

2 Accédez à la section Stratégie de journalisation et développez la section pour afficher les paramètres actuels.

3 Cliquez sur Modifier (Change).

4 Cochez la case Activer la journalisation (Enable logging) pour activer la journalisation.

OU

Décochez la case Activer la journalisation (Enable logging) pour désactiver la journalisation.

5 Sélectionnez le niveau de journal requis.

Note Les journaux du client VPN-Plus SSL sont activés par défaut et le niveau de journal est défini sur REMARQUE.

6 Cliquez sur OK.

Modifier la configuration client

Vous pouvez modifier la manière dont le tunnel du client VPN SSL répond lorsque l'utilisateur distant se connecte au VPN SSL.

Procédure

1 Dans le panneau de gauche de l'onglet VPN-Plus SSL (SSL VPN-Plus), sélectionnez Configuration du client (Client Configuration).

2 Sélectionnez le Mode de tunnel (Tunneling Mode).

En mode Tunnel fractionné, seul le VPN passe à travers la passerelle NSX Edge Gateway. En mode Tunnel complet, la passerelle NSX Edge Gateway devient la passerelle par défaut de l'utilisateur distant et l'ensemble du trafic (VPN, local et Internet) passe par elle.

3 Si vous avez sélectionné le mode Tunnel complet :

a Sélectionnez Exclure les sous-réseaux locaux (Exclude local subnets) pour empêcher le trafic local de passer dans le tunnel VPN.

b Tapez l'adresse IP pour la passerelle par défaut du système de l'utilisateur distant.

4 Sélectionnez Activer la reconnexion automatique (Enable auto reconnect) si vous voulez que l'utilisateur distant se reconnecte automatiquement au client VPN SSL après avoir été déconnecté.

5 Sélectionnez Notification de mise à niveau du client (Client upgrade notification) pour que l'utilisateur distant reçoive une notification lorsqu'une mise à niveau pour le client est disponible. L'utilisateur distant peut alors choisir d'installer la mise à niveau.

6 Cliquez sur OK.


VMware, Inc. 288

Modifier les paramètres généraux

Vous pouvez modifier les paramètres VPN par défaut.

Procédure

1 Dans le panneau de gauche de l'onglet VPN-Plus SSL (SSL VPN-Plus), sélectionnez Paramètres généraux (General Settings).

2 Procédez aux sélections requises.

Sélectionner Pour

Empêcher une connexion multiple à l'aide du même nom d'utilisateur

Autoriser un utilisateur distant à se connecter une seule fois avec un nom d'utilisateur.

Activer la compression Activer la compression intelligente des données basée sur TCP et améliorer la vitesse de transfert des données.

Activer la journalisation Conserver un journal du trafic traversant la passerelle du VPN SSL.

Forcer le clavier virtuel Autoriser les utilisateurs distants à saisir des informations de connexion client ou Web uniquement via le clavier virtuel.

Répartir de manière aléatoire les touches du clavier virtuel

Rendre aléatoires les touches du clavier virtuel.

Activer le délai d'attente forcé Déconnecter l'utilisateur distant à l'expiration du délai spécifié. Tapez le délai d'expiration en minutes.

Délai d'inactivité de la session Si la session de l'utilisateur ne montre aucune activité pendant la période spécifiée, terminez la session de l'utilisateur une fois ce délai expiré.

Le délai d'inactivité du SSLVPN tient compte de tous les paquets, notamment des paquets de contrôle envoyés par les données d'application et les données utilisateur, dans le cadre de la détection du délai d'expiration. Par conséquent, même s'il n'existe aucune donnée utilisateur, la session n'expire pas si une application transmet périodiquement un paquet de contrôle (MDNS, par exemple).

Notification de l'utilisateur Taper un message à afficher pour l'utilisateur distant une fois qu'il s'est connecté.

3 Cliquez sur OK.

Modifier l'aspect du portail Web

Vous pouvez modifier la bannière client liée au client VPN SSL.

Procédure

1 Dans l'onglet Dispositifs NSX Edge (NSX Edges), double-cliquez sur un dispositif NSX Edge.

2 Cliquez sur l'onglet Gérer (Manage), puis sur l'onglet VPN-Plus SSL (SSL VPN-Plus).

3 Dans le panneau de gauche, sélectionnez Personnalisation du portail (Portal Customization).

4 Taper l'intitulé du portail.

5 Entrez le nom de l'entreprise de l'utilisateur distant.


VMware, Inc. 289

6 Dans Logo, cliquez sur Modifier (Change) et sélectionnez de préférence une image JPEG pour le logo de l'entreprise.

Il n'existe aucune dimension préférée pour la taille du logo.

7 Dans Couleurs (Colors), cliquez sur la palette de couleurs en regard de l'élément numéroté pour lequel vous désirez modifier la couleur et sélectionnez la couleur désirée.

8 Si nécessaire, modifiez la bannière du client. Sélectionnez une image BMP pour la bannière.

La taille préférée de la bannière client est de 390 X 75 pixels.

9 Cliquez sur OK.

Utilisation de pools d'adresses IP pour VPN SSL

Vous pouvez modifier ou supprimer un pool d'adresses IP.

Pour obtenir des informations sur l'ajout d'un pool d'adresses IP, reportez-vous à Configurer l'accès réseau VPN-Plus SSL.

Modifier un pool IP

Vous pouvez modifier un pool IP.

Procédure

1 Dans le panneau de gauche de l'onglet VPN-Plus SSL (SSL VPN-Plus), cliquez sur Pool IP (IP Pool).

2 Sélectionnez le pool IP que vous voulez modifier.

3 Cliquez sur l'icône Modifier (Edit) ( ).

La boîte de dialogue Modifier un pool IP s'ouvre.


5 Cliquez sur OK.

Supprimer un pool IP

Vous pouvez supprimer un pool IP.

Procédure


2 Sélectionnez le pool IP que vous voulez supprimer.

3 Cliquez sur l'icône Supprimer (Delete) ( ).

Le pool IP sélectionné est supprimé.


VMware, Inc. 290

Activer un pool IP

Vous pouvez activer un pool IP si vous voulez que l'utilisateur distant se voie affecter une adresse IP de ce pool.

Procédure


2 Sélectionnez le pool d'adresses IP à activer.

3 Cliquez sur l'icône Activer (Enable) ( ).

Désactiver un pool IP

Vous pouvez désactiver un pool IP si vous ne voulez pas que l'utilisateur distant se voie affecter une adresse IP de ce pool.

Procédure

1 Dans l'onglet VPN-Plus SSL (SSL VPN-Plus), sélectionnez Pools d'IP (IP Pool) dans le panneau de gauche.

2 Sélectionnez le pool IP que vous souhaitez désactiver.

3 Cliquez sur l'icône Désactiver (Disable) ( ).

Modifier l'ordre d'un pool IP

Pour attribuer une adresse IP à un utilisateur distant depuis un pool IP, VPN SSL utilise l'ordre indiqué dans le tableau de pool IP.

Procédure


2 Sélectionnez le pool IP dont vous voulez modifier l'ordre.

3 Cliquez sur l'icône Monter (Move Up) ( ) ou Descendre ( ).

Utilisation de réseaux privés

Vous pouvez modifier ou supprimer un réseau privé auquel un utilisateur distant peut accéder.

Pour obtenir des informations sur l'ajout d'un réseau privé, reportez-vous à Configurer l'accès réseau VPN-Plus SSL.

Supprimer un réseau privé

Vous pouvez supprimer un réseau privé


VMware, Inc. 291

Procédure

1 Dans le panneau de gauche de l'onglet VPN-Plus SSL (SSL VPN-Plus), cliquez sur Réseaux privés (Private Networks).

2 Sélectionnez le réseau que vous voulez supprimer, puis cliquez sur l'icône Supprimer (Delete)

( ).

Activer un réseau privé

Lorsque vous activez un réseau privé, l'utilisateur distant peut y accéder via VPN-Plus SSL.

Procédure


2 Cliquez sur le réseau que vous souhaitez activer.

3 Cliquez sur l'icône Activer (Enable) ( ).

Le réseau sélectionné est activé.

Désactiver un réseau privé

Lorsque vous désactivez un réseau privé, l'utilisateur distant ne peut pas y accéder via VPN-Plus SSL.

Procédure


2 Cliquez sur le réseau que vous souhaitez désactiver.

3 Cliquez sur l'icône Désactiver (Disable) ( ).

Le réseau sélectionné est désactivé.

Modifier la séquence d'un réseau privé

VPN-Plus SSL permet aux utilisateurs distants d'accéder à des réseaux privés dans l'ordre où ils s'affichent sur le panneau Réseaux privés.

Si vous sélectionnez Activer l'optimisation TCP (Enable TCP Optimization) pour un réseau privé, certaines applications telles que FTP en mode actif peuvent ne pas fonctionner dans ce sous-réseau. Pour ajouter un serveur FTP configuré en mode actif, vous devez ajouter un autre réseau privé pour ce serveur FTP avec l'optimisation TCP désactivée. En outre, le réseau privé TCP actif doit être activé, et doit être placé au-dessus du réseau privé du sous-réseau.


VMware, Inc. 292

Procédure


2 Cliquez sur l'icône Modifier l'ordre (Change Order) ( ).

3 Sélectionnez le réseau dont vous souhaitez modifier l'ordre.

4 Cliquez sur l'icône Monter (Move Up) ( ) ou Descendre (Move Down) ( ).

5 Cliquez sur OK.

Étape suivante

Pour ajouter un serveur FTP configuré en mode actif, reportez-vous à la section Configurer un réseau privé pour un serveur FTP actif.

Configurer un réseau privé pour un serveur FTP actif

Vous pouvez ajouter un serveur FTP configuré en mode actif au réseau privé. Pour le FTP actif, la connexion de contrôle est initiée par le serveur FTP principal sur la machine client qui ne prend pas en charge l'optimisation TCP.


Le serveur FTP est configuré en mode actif.

Procédure


2 Ajoutez le réseau privé que vous voulez configurer pour le FTP actif. Pour plus d'informations, reportez-vous à la section Ajouter un réseau privé .

3 Décochez la case Activer l'optimisation TCP (Enable TCP Optimization).

4 Dans le champ Ports, ajoutez le numéro de port du réseau privé.

5 Sélectionnez l'état Activé (Enabled) pour activer le réseau privé.

6 Placez le réseau privé que vous voulez configurer pour le FTP actif au-dessus des autres réseaux privés qui sont configurés. Pour plus d'informations, consultez Modifier la séquence d'un réseau privé.

Étape suivante

Ajoutez une règle de pare-feu correspondante pour autoriser le trafic du réseau privé.

Utilisation des modules d'installation

Vous pouvez supprimer ou modifier un module d'installation pour le client SSL.


VMware, Inc. 293

Pour obtenir des informations sur la création d'un module d'installation, reportez-vous à Configurer l'accès réseau VPN-Plus SSL.

Modifier un module d'installation

Vous pouvez modifier un module d'installation.

Procédure

1 Dans l'onglet VPN-Plus SSL (SSL VPN-Plus), cliquez sur Module d'installation (Installation Package) dans le panneau de gauche.

2 Sélectionnez le module d'installation que vous voulez modifier.

3 Cliquez sur l'icône Modifier ( ).

La boîte de dialogue Modifier un module d'installation s'ouvre.


5 Cliquez sur OK.

Supprimer un module d'installation

Vous pouvez supprimer un module d'installation.

Procédure

1 Dans l'onglet VPN-Plus SSL (SSL VPN-Plus), cliquez sur Module d'installation (Installation Package) dans le panneau de gauche.

2 Sélectionnez le module d'installation que vous voulez supprimer.

3 Cliquez sur l'icône Supprimer (Delete) ( ).

Gestion des utilisateurs

Vous pouvez modifier ou supprimer les utilisateurs de la base de données locale.

Pour plus d'informations sur l'ajout d'un utilisateur, reportez-vous à Configurer l'accès réseau VPN-Plus SSL.

Modifier un utilisateur

Vous pouvez modifier les détails pour un utilisateur, sauf l'ID d'utilisateur.

Procédure

1 Dans le panneau de gauche de l'onglet VPN-Plus SSL (SSL VPN-Plus), cliquez sur Utilisateurs (Users).




VMware, Inc. 294

4 Cliquez sur OK.

Supprimer un utilisateur

Vous pouvez supprimer un utilisateur.

Procédure


2 Utilisateurs (Users)Dans le panneau Configurer (Configure), cliquez sur Utilisateurs (Users).

3 Sélectionnez l'utilisateur à supprimer et cliquez sur l'icône Supprimer (Delete) ( ).

Modifier le mot de passe d'un utilisateur

Vous pouvez modifier le mot de passe d'un utilisateur.

Procédure


2 Cliquez sur l'icône Modifier le mot de passe (Change Password).

3 Composez et confirmez le nouveau mot de passe.

4 Cliquez sur Modifier le mot de passe lors de la prochaine connexion pour modifier le mot de passe lorsque l'utilisateur se connectera à son système la prochaine fois.

5 Cliquez sur OK.

Utilisation de scripts de connexion et de fermeture de session

Vous pouvez lier un script d'ouverture ou de fermeture de session à NSX Edge gateway.

Modifier un script

Vous pouvez modifier le type, la description et l'état d'un script de connexion ou de déconnexion lié à la passerelle NSX Edge Gateway.

Procédure

1 Dans le panneau de gauche de l'onglet VPN-Plus SSL (SSL VPN-Plus), cliquez sur Scripts de connexion/déconnexion (Login/Logoff Scripts).

2 Sélectionnez un script et cliquez sur l'icône Modifier (Edit) ( ).


4 Cliquez sur OK.


VMware, Inc. 295

Supprimer un script

Vous pouvez supprimer un script de connexion ou de fermeture de session.

Procédure


2 Sélectionnez un script et cliquez sur l'icône Supprimer (Delete) ( ).

Activer un script

Vous devez activer un script pour qu'il fonctionne.

Procédure


2 Sélectionnez un script et cliquez sur l'icône Activer (Enable) ( ).

Désactiver un script

Vous pouvez désactiver un script de connexion/fermeture de session.

Procédure


2 Sélectionnez un script, puis cliquez sur l'icône Désactiver (Disable) ( ).

Modifier l'ordre d'un script

Vous pouvez modifier l'ordre d'un script. Par exemple, si vous avez un script de connexion pour ouvrir gmail.com dans Internet Explorer placé au-dessus d'un script de connexion pour ouvrir yahoo.com, gmail.com s'affiche avant yahoo.com lorsque l'utilisateur distant se connecte au VPN SSL. Maintenant, si vous inversez l'ordre des scripts de connexion, yahoo.com s'affiche avant gmail.com.

Procédure


2 Sélectionnez le script dont vous souhaitez modifier l'ordre, puis cliquez sur l'icône Monter

(Move Up) ( ) ou Descendre (Move Down) ( ).

3 Cliquez sur OK.


VMware, Inc. 296

Présentation de VPN IPSec

NSX Edge prend en charge l'établissement d'un réseau privé virtuel VPN IPSec entre une instance NSX Edge et des sites distants. L'authentification de certificat, le mode de clé prépartagée et le trafic de monodiffusion IP sont pris en charge entre l'instance de NSX Edge et les sites VPN distants.

À partir de NSX Data Center 6.4.2, vous pouvez configurer à la fois un service VPN IPSec basé sur les stratégies et un service VPN IPSec basé sur le routage. Cependant, vous ne pouvez configurer, gérer et modifier les paramètres d'un VPN IPSec basé sur le routage qu'à l'aide des REST API. Vous ne pouvez pas configurer ou modifier les paramètres d'un VPN IPSec basé sur l'itinéraire dans le vSphere Web Client. Pour plus d'informations sur l'utilisation des API pour configurer des VPN IPSec basés sur le routage, consultez le Guide des API de NSX.

Dans NSX 6.4.1 et versions antérieures, vous pouvez uniquement configurer des services VPN IPSec basés sur les stratégies.

VPN IPSec basé sur les stratégies

Dans un VPN IPSec basé sur les stratégies, vous configurez explicitement les sous-réseaux derrière NSX Edge sur le site local qui nécessitent une communication sécurisée et chiffrée avec les sous-réseaux distants sur le site homologue.

Lorsque le site VPN IPSec local émet du trafic depuis des sous-réseaux locaux non protégés vers les sous-réseaux distants protégés sur le site homologue, le trafic est abandonné.

Les plages d'adresses des sous-réseaux locaux qui se trouvent derrière un dispositif NSX Edge ne doivent pas chevaucher les adresses IP du site homologue VPN. Si les adresses IP de l'homologue local et de l'homologue distant sur un même tunnel VPN IPsec se chevauchent, le transfert de trafic via le tunnel risque de ne pas être cohérent.

Vous pouvez déployer un agent NSX Edge derrière un périphérique NAT. Dans ce type de déploiement, le périphérique NAT convertit l'adresse VPN d'une instance NSX Edge en une adresse accessible publiquement sur Internet. Les sites VPN distants utilisent cette adresse publique pour accéder à l'instance de NSX Edge.

Vous pouvez aussi placer des sites VPN distants derrière un périphérique NAT. Vous devez fournir l'adresse IP publique du site VPN distant, ainsi que son ID (adresse de nom de domaine complet ou adresse IP) pour configurer le tunnel. Des deux côtés, une conversion NAT statique bijective est indispensable pour l'adresse du VPN.

La taille de la passerelle ESG détermine le nombre maximal de tunnels pris en charge, comme indiqué dans le tableau suivant.


VMware, Inc. 297

Tableau 15-6. Nombre de tunnels IPSec pris en charge

Taille de la passerelle ESG Nombre de tunnels IPSec

Compacte

512

Grande 1600

Super grande

4096

Extra grande

6000

Restriction L'architecture inhérente d'un VPN IPSec basé sur les stratégies vous empêche de configurer la redondance de tunnel VPN.

Pour obtenir un exemple détaillé de configuration d'un tunnel IPSec basé sur les stratégies entre un dispositif NSX Edge et une passerelle VPN distante, consultez la section Exemple de configuration d'un site VPN IPSec basé sur les stratégies.

VPN IPSec basé sur le routage

VPN IPSec basé sur le routage est similaire à GRE (Generic Routing Encapsulation) sur IPSec, à la différence près qu'aucune encapsulation supplémentaire n'est ajoutée au paquet avant l'application du traitement IPSec.

Dans cette approche de la tunnellisation VPN, des interfaces de tunnel virtuel (VTI) sont créées sur le dispositif ESG. Chaque VTI est associée à un tunnel IPSec. Le trafic crypté est acheminé d'un site à un autre site au moyen des interfaces VTI. Le traitement IPSec se produit uniquement sur les interfaces VTI.

Redondance de tunnel VPN

Avec le service VPN IPSec basé sur le routage, vous pouvez configurer la redondance de tunnel VPN. La redondance de tunnel fournit une connectivité de chemin de données sans interruption entre les deux sites lorsque le lien du fournisseur de services Internet échoue ou lorsque la passerelle VPN distante échoue.

Important n Dans NSX Data Center 6.4.2 et versions ultérieures, la redondance de tunnel VPN IPSec est

prise en charge uniquement à l'aide de BGP. Le routage dynamique OSPF n'est pas pris en charge pour le routage via des tunnels VPN IPSec.

n N'utilisez pas de routage statique pour les tunnels VPN IPSec basés sur le routage pour obtenir la redondance de tunnel VPN.


VMware, Inc. 298

La figure suivante illustre une représentation logique de la redondance de tunnel VPN IPSec entre deux sites. Dans cette figure, le Site A et le Site B représentent deux centres de données. Pour cet exemple, on suppose que le Site A dispose de passerelles VPN Edge qui ne sont peut-être pas gérées par NSX et que le Site B dispose d'un dispositif virtuel Edge Services Gateway géré par NSX.

Figure 15-1. Redondance de tunnel dans un VPN IPSec basé sur l'itinéraire

Site A

Tunnel VPN

Tunnel VPN

Routeur

BGPVTI

BGPVTI

Liaison montante

Liaison montante

Liaison montanteVTI

BGP

VTIBGP

Sous-réseaux Sous-réseaux

Site B

Comme illustré dans la figure, vous pouvez configurer deux tunnels VPN IPSec indépendants en utilisant des VTI. Le routage dynamique est configuré à l'aide du protocole BGP pour obtenir la redondance de tunnel. Les deux tunnels VPN IPSec restent en service s'ils sont disponibles. Tout le trafic destiné à aller du Site A au Site B via la passerelle ESG est routé via la VTI. Le trafic de données subit un traitement IPSec et sort de son interface de liaison montante ESG associée. Tout le trafic IPSec entrant reçu de la passerelle VPN du Site B sur l'interface de liaison montante de la passerelle ESG est transféré vers la VTI après déchiffrement, puis le routage habituel a lieu.

Vous devez configurer les temporisateurs de durée de retenue et de durée de survie du protocole BGP pour détecter toute perte de connectivité avec l'homologue dans le délai de basculement requis.

Certains des points clés sont vous devez vous souvenir quant au service VPN IPSec basé sur le routage sont les suivants :

n Vous pouvez configurer des tunnels VPN IPSec basés sur les stratégies et basés sur le routage sur un même dispositif ESG. Cependant, vous ne pouvez pas configurer un tunnel basé sur les stratégies et un tunnel basé sur le routage avec le même site homologue VPN.

n NSX prend en charge un maximum de 32 VTI sur un seul dispositif ESG. Autrement dit, vous pouvez configurer un maximum de 32 sites homologues VPN basés sur le routage.

n NSX ne prend pas en charge la migration de tunnels VPN IPSec existants basés sur les stratégies vers des tunnels basés sur le routage, et vice-versa.


VMware, Inc. 299

Pour plus d'informations sur la configuration d'un site VPN IPSec basé sur le routage, consultez la section Configurer un site VPN IPSec basé sur le routage.

Pour obtenir un exemple détaillé de configuration d'un tunnel VPN IPSec basé sur le routage entre un dispositif NSX Edge local et une passerelle VPN distante Cisco CSR 1000V, consultez la section Utilisation d'un dispositif Cisco CSR 1000V.

Configurer un site VPN IPSec basé sur les stratégies

Vous pouvez configurer des tunnels VPN IPSec basés sur les stratégies entre des sous-réseaux locaux et des sous-réseaux homologues.

Note Si vous vous connectez à un site distant à l'aide d'un tunnel VPN IPSec, le routage dynamique sur la liaison montante Edge ne peut pas obtenir l'adresse IP de ce site.

Les rubriques de cette section vous expliquent comment configurer un site VPN IPSec basé sur les stratégies.

Activer le service VPN IPSec

Vous devez activer le service VPN IPSec pour que le trafic passe du sous-réseau local au sous-réseau homologue.


Vous devez configurer au moins un site VPN IPSec sur le dispositif NSX Edge avant d'activer le service VPN IPSec.

Procédure




4 Cliquez sur Gérer > VPN > VPN IPSec.

5 En regard de Statut du service VPN IPSec, cliquez sur Démarrer (Start).

Générer des certificats signés par une autorité de certification pour les VPN IPSec avec OpenSSL

Pour activer l'authentification des certificats pour IPSec, vous devez importer les certificats du serveur et les certificats signés par une autorité de certification correspondants. Si vous le souhaitez, vous pouvez utiliser un outil de ligne de commande open source tel qu'OpenSSL pour générer des certificats signés par une autorité de certification.


OpenSSL doit être installé.


VMware, Inc. 300

Procédure

1 Sur une machine Linux ou Mac équipée d'OpenSSL, ouvrez le fichier /opt/local/etc/openssl/openssl.cnf ou /System/Library/OpenSSL/openssl.cnf.

2 Vérifiez que dir = ..

3 Exécutez les commandes suivantes :

mkdir newcertsmkdir certsmkdir reqmkdir privateecho "01" > serialtouch index.txt

4 Exécutez la commande permettant de générer un certificat signé par une autorité de certification :

openssl req -new -x509 -newkey rsa:2048 -keyout private/cakey.pem -out cacert.pem -days 3650

5 Sur NSX Edge1, procédez comme suit :

a Générez une demande de signature de certificat (CSR).

Pour connaître les étapes détaillées, reportez-vous à la section Configurer un certificat signé par une autorité de certification.

b Copiez le contenu du fichier PEM (privacy-enhanced mail) et enregistrez-le dans un fichier dans req/edge1.req.

6 Exécutez la commande suivante pour signer la CSR :

sudo openssl ca -policy policy_anything -out certs/edge1.pem -in req/edge1.req

7 Sur NSX Edge2, générez une CSR, copiez le contenu du fichier PEM et enregistrez-le dans un fichier dans req/edge2.req.

8 Exécutez la commande suivante pour signer la CSR :

sudo openssl ca -policy policy_anything -out certs/edge2.pem -in req/edge2.req

9 Téléchargez le certificat PEM qui se trouve à la fin du fichier certs/edge1.pem vers Edge1.

10 Téléchargez le certificat PEM qui se trouve à la fin du fichier certs/edge2.pem vers Edge2.

11 Importez le certificat signé (cacert.pem) et tant que certificat signé par une autorité de

certification vers Edge1 et Edge2.

12 Dans la configuration globale d'IPSec pour Edge1 et Edge2, sélectionnez le certificat PEM et le certificat CA téléchargés, et enregistrez la configuration.


VMware, Inc. 301

13 Accédez à Gérer > Paramètres > Certificats. Sélectionnez le certificat signé que vous avez importé et enregistrez la chaîne DN.

14 Rétablissez la chaîne DN au format C=IN,ST=ka,L=blr,O=bmware,OU=vmware,CN=edge2.eng.vmware.com et enregistrez-la

pour Edge1 et Edge2.

15 Créez des sites VPN IPsec sur Edge1 et Edge2 en utilisant l'ID local et l'ID homologue comme chaîne de nom unique (DN) au format spécifié.

Résultats

Vérifiez l'état en cliquant sur Afficher les statistiques ou sur Afficher les statistiques IPSec (Show IPSec Statistics). Cliquez sur le canal pour consulter le statut du tunnel. L'état du canal doit être activé et l'état du tunnel doit être Actif.

Spécifier une configuration globale de VPN IPSec

Suivez les étapes de cette rubrique pour activer un VPN IPSec sur l'instance de NSX Edge.


Pour activer l'authentification des certificats, vous devez importer les certificats du serveur et les certificats signés par une autorité de certification correspondants. Si vous le souhaitez, vous pouvez utiliser un outil de ligne de commande open source tel qu'OpenSSL pour générer des certificats signés par une autorité de certification.

Vous ne pouvez pas utiliser de certificats autosignés pour le VPN IPSec. Ces certificats peuvent être utilisés uniquement pour l'équilibrage de charge et le VPN SSL.

Procédure





5 En regard de Configuration globale, cliquez sur Modifier ou sur Changer (Change).

6 Entrez une clé prépartagée globale pour les sites dont le point de terminaison homologue est défini sur « quelconque ».

Pour afficher la clé prépartagée, cliquez sur l'icône Afficher la clé pré-partagée ( ) ou cochez la case Afficher la clé partagée (Display shared key).


VMware, Inc. 302

7 Configurez les extensions globales.

Le tableau suivant décrit les extensions globales.

Extension Description

add_spd Les valeurs autorisées sont on et off. La valeur par défaut est on, même

lorsque vous ne configurez pas cette extension.

Lorsque add_spd=off :

n Des stratégies de sécurité sont installées uniquement lorsque le tunnel est actif.

n Si le tunnel est actif, les paquets sont envoyés chiffrés via le tunnel.

n Si le tunnel est arrêté, les paquets sont envoyés non chiffrés, si un itinéraire est disponible.

Lorsque add_spd=on :

n Des stratégies de sécurité sont installées que le tunnel soit établi ou non.

n Si le tunnel est actif, les paquets sont envoyés chiffrés via le tunnel.

n Si le tunnel est arrêté, les paquets sont abandonnés.

ike_fragment_size Si l'unité de transmission maximale (MTU) est petite, vous pouvez définir la taille de fragment IKE à l'aide de cette extension afin d'éviter les problèmes dans la négociation IKE. Par exemple, ike_fragment_size=900

ignore_df Les valeurs autorisées sont on et off. La valeur par défaut est off.

n Lorsque ignore_df=off, NSX Edge copie la valeur du bit « DF (ne pas

fragmenter) » du paquet de texte clair dans le paquet chiffré. Cela signifie que si le bit DF est défini sur le paquet de texte clair, après le chiffrement, le bit DF est également défini sur le paquet.

n Lorsque ignore_df=on, NSX Edge ignore la valeur du bit DF dans le

paquet de texte clair, et le bit DF est toujours défini sur 0 dans le paquet chiffré.

n Définissez cet indicateur sur on lorsque le bit DF est défini dans le paquet

de texte clair et que la taille du paquet après le chiffrement dépasse la valeur de MTU du paquet TCP. Si le bit DF est défini, le paquet est abandonné et, si le bit est désactivé, le paquet est fragmenté.

8 Activez l'authentification de certificat, puis sélectionnez le certificat de service, le certificat

d'autorité de certification et la liste de révocation des certificats (CRL) appropriés.

9 Cliquez sur Enregistrer ou sur OK, puis cliquez sur Publier les modifications (Publish Changes).

Activer la journalisation pour VPN IPSec

Vous pouvez activer la journalisation de l'ensemble du trafic VPN IPSec.

Par défaut, la journalisation est activée et est définie sur le niveau AVERTISSEMENT.

Procédure




VMware, Inc. 303



5 Activer la journalisation pour journaliser le trafic entre le sous-réseau local et le sous-réseau homologue.


6.4.6 et versions ultérieures a En regard de Configuration de la journalisation, cliquez sur Modifier.

b Cliquez sur le bouton bascule pour activer la journalisation, puis sélectionnez le niveau de journalisation.

c Cliquez sur Enregistrer.

6.4.5 et versions antérieures a En regard de Stratégie de journalisation (Logging Policy), cochez la case

.

b Cochez la case Activer la journalisation (Enable logging), puis sélectionnez le niveau de journalisation.


Configurer des paramètres de VPN IPSec

Vous devez configurer au moins une adresse IP externe sur le dispositif NSX Edge pour fournir le service VPN IPSec.

Procédure






6 Entrez un nom pour le site VPN IPSec.

7 Configurez les paramètres de point de terminaison du site VPN IPSec.

a Entrez l'ID local pour identifier l'instance locale de NSX Edge. Cet ID local est l'ID homologue sur le site distant.

L'ID local peut être n'importe quelle chaîne. Utilisez de préférence l'adresse IP publique du VPN ou un nom de domaine qualifié (FQDN) pour le service VPN en tant qu'ID local.

b Entrez une adresse IP ou un nom de domaine complet pour le point de terminaison local.

Si vous ajoutez un tunnel IP-vers-IP à l'aide d'une clé prépartagée, l'ID local et l'adresse IP du point de terminaison local peuvent être identiques.

c Entrez les sous-réseaux à partager entre les sites VPN IPSec au format CIDR. Utilisez une virgule de séparation si vous entrez plusieurs sous-réseaux.


VMware, Inc. 304

d Entrez l'ID homologue pour identifier le site homologue.

n Pour les homologues utilisant l'authentification de certificat, cet ID doit correspondre au nom unique du certificat de l'homologue. Entrez le nom unique du certificat sous forme de chaîne de valeurs séparées par des virgules dans l'ordre suivant sans espaces : C=xxx,ST=xxx,L=xxx,O=xxx,OU=xxx,CN=xxx,E=xxx.

n Pour les homologues PSK, l'ID homologue peut être n'importe quelle chaîne. Utilisez de préférence l'adresse IP publique du VPN ou un nom de domaine qualifié complet (FQDN) pour le service VPN en tant qu'ID d'homologue.

Note Si le dispositif Edge dispose de plusieurs interfaces de liaison montante qui peuvent atteindre l'homologue IPSec distant, le routage doit être effectué de telle sorte que le trafic IPSec sorte de l'interface Edge, qui est configurée avec une adresse IP homologue locale.

e Entrez une adresse IP ou un nom de domaine complet pour le point de terminaison homologue. La valeur par défaut est any. Si vous conservez la valeur par défaut, vous

devez configurer la clé prépartagée globale.

f Entrez l'adresse IP interne du sous-réseau homologue au format CIDR. Utilisez une virgule de séparation si vous tapez plusieurs sous-réseaux.


VMware, Inc. 305

8 Configurez les paramètres du tunnel.

a (Facultatif) Sélectionnez une suite de conformité de sécurité pour configurer le profil de sécurité du site VPN IPSec avec des valeurs prédéfinies défini par la suite.

La sélection par défaut est aucun, ce qui signifie que vous devez spécifier manuellement

les valeurs de configuration pour la méthode d'authentification, le profil IKE et le profil de tunnel. Lorsque vous sélectionnez une suite de conformité, les valeurs qui sont prédéfinies dans cette suite de conformité standard sont automatiquement attribuées et vous ne pouvez pas les modifier. Pour plus d'informations sur les suites de conformité, reportez-vous à la section Suites de conformité prises en charge.

Note n La suite de conformité est prise en charge dans NSX Data Center 6.4.5 ou version

ultérieure.

n Si le mode FIPS est activé sur le dispositif Edge, vous ne pouvez pas spécifier une suite de conformité.

b Sélectionnez l'un des protocoles IKE (Internet Key Exchange) suivants pour configurer une association de sécurité (SA) dans la suite de protocoles IPSec.

Option Description

IKEv1 Lorsque vous sélectionnez cette option, le VPN IPSec initie et répond au protocole IKEv1 uniquement.

IKEv2 Lorsque vous sélectionnez cette option, le VPN IPSec initie et répond au protocole IKEv2 uniquement.

IKE-Flex Lorsque vous sélectionnez cette option, et si l'établissement de tunnel échoue avec le protocole IKEv2, le site source ne se rétablit pas et n'établit pas de connexion avec le protocole IKEv1. En revanche, si le site distant initie une connexion avec le protocole IKEv1, la connexion est acceptée.

Important Si vous configurez plusieurs sites avec les mêmes points de terminaison locaux et distants, veillez à sélectionner la même version d'IKE et la même clé prépartagée sur tous ces sites VPN IPSec.

c Dans le menu déroulant Algorithme Digest (Digest Algorithm), sélectionnez l'un des algorithmes de hachage sécurisés suivants :

n SHA1

n SHA_256


VMware, Inc. 306

d Dans le menu déroulant Algorithme de chiffrement (Encryption Algorithm), sélectionnez l'un des algorithmes de chiffrement pris en charge suivants :

n AES (AES128-CBC)

n AES256 (AES256-CBC)

n Triple DES (3DES192-CBC).

n AES-GCM (AES128-GCM)

Note n L'algorithme de chiffrement AES-GCM n'est pas compatible avec FIPS.

n À partir de NSX 6.4.5, l'algorithme de chiffrement Triple DES est obsolète dans le service VPN IPSec.

Le tableau suivant décrit les paramètres de chiffrement utilisés sur la passerelle VPN homologue pour les paramètres de chiffrement sélectionnés sur le dispositif NSX Edge local.

Tableau 15-7. Paramètres de chiffrement

Paramètres de chiffrement sur NSX Edge

Paramètres IKE sur la passerelle VPN homologue Paramètres IPSec sur la passerelle VPN homologue

AES-256 AES-256 AES-256

AES-128 AES-128 AES-128

3DES 3DES 3DES

AES-GCM, IKEv1 AES-128 AES-GCM

AES-GCM, IKEv2 AES-128 ou AES-GCM AES-GCM

e Dans Méthode d'authentification, sélectionnez l'une des options suivantes :

Option Description

PSK (Pre Shared Key) Indique que la clé secrète partagée entre NSX Edge et le site homologue doit être utilisée pour l'authentification. La clé secrète peut être une chaîne d'une longueur maximale de 128 octets.

L'authentification PSK est désactivée en mode FIPS.

Certificat Indique que le certificat défini au niveau global doit être utilisé pour l'authentification.

f (Facultatif) Entrez la clé prépartagée du site VPN IPSec homologue.


VMware, Inc. 307

g Pour afficher la clé sur le site homologue, cliquez sur l'icône Afficher la clé pré-partagée ( ) ou cochez la case Afficher la clé partagée (Display Shared Key).

h Dans le menu déroulant Groupe Diffie-Hellman (DH) (Diffie-Hellman (DH) Group), sélectionnez l'un des schémas cryptographiques suivants permettant au site homologue et au dispositif NSX Edge d'établir un secret partagé sur un canal de communication non sécurisé.

n DH-2

n DH-5

n DH-14

n DH-15

n DH-16

DH14 est sélectionné par défaut pour les modes FIPS et non FIPS. DH2 et DH5 ne sont pas disponibles lorsque le mode FIPS est activé.

9 Configurez les paramètres avancés.

a Si le site VPN IPSec distant ne prend pas en charge PFS, désactivez l'option Confidentialité persistante (PFS) (Perfect forward secrecy (PFS)). Par défaut, PFS est activé.

b (Facultatif) Pour utiliser le VPN IPSec en mode de répondeur uniquement, cochez la case Répondeur uniquement (Responder only).

Dans ce mode, le VPN IPSec ne lance jamais de connexion.

c (Facultatif) Dans la zone de texte Extension, tapez l'une des opérations suivantes :

n securelocaltrafficbyip=IPAddress pour rediriger le trafic local du dispositif Edge vers le tunnel VPN IPSec. L'adresse IP est la valeur par défaut. Pour plus d'informations, reportez-vous à l'article http://kb.vmware.com/kb/20080007.

n passthroughSubnets=PeerSubnetIPAddress pour prendre en charge les sous-réseaux se chevauchant.

10 Cliquez sur Ajouter ou sur OK, puis cliquez sur Publier les modifications (Publish Changes).

La configuration VPN IPSec est enregistrée sur le dispositif NSX Edge.


VMware, Inc. 308

https://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2080007

Étape suivante

Activez le service VPN IPSec.

Info-bulle Dans vSphere Web Client, vous pouvez suivre ces étapes sur la page VPN IPSec afin de générer le script de configuration pour la passerelle VPN homologue.

n Dans NSX 6.4.6 et versions ultérieures, sélectionnez le site VPN IPSec, puis cliquez sur Actions > Générer la configuration homologue.

n Dans NSX 6.4.5 et versions antérieures, sélectionnez le site VPN IPSec, puis cliquez sur l'icône Générer la configuration homologue. Dans la boîte de dialogue qui s'ouvre, cliquez sur Générer la configuration homologue.

Le script de configuration est généré. Vous pouvez utiliser ce script comme référence pour configurer les paramètres VPN IPSec sur la passerelle VPN homologue.

Suites de conformité prises en charge

À partir de NSX Data Center 6.4.5, vous pouvez spécifier une suite de conformité pour configurer les différents paramètres dans le profil de sécurité d'un site VPN IPSec.

Une suite de conformité de sécurité dispose d'un ensemble prédéfini de valeurs pour divers paramètres de sécurité. Considérez une suite de conformité comme un modèle prédéfini qui vous aide à configurer automatiquement le profil de sécurité d'une session VPN IPSec selon un norme définie. Par exemple, l'Agence nationale de la sécurité du gouvernement des États-Unis publie la suite CNSA, et cette norme est utilisée pour les applications de sécurité nationales. Lorsque vous sélectionnez une suite de conformité, le profil de sécurité d'un site VPN IPSec est automatiquement configuré avec des valeurs prédéfinies, et vous ne pouvez pas modifier ces valeurs. En spécifiant une suite de conformité, vous vous évitez la configuration individuelle de chaque paramètre dans le profil de sécurité.

NSX prend en charge sept suites de conformité de sécurité. Le tableau suivant répertorie les valeurs prédéfinies pour divers paramètres de configuration dans chaque suite de conformité prise en charge.

Tableau 15-8. Suites de conformité : valeurs de paramètre de configuration prédéfinies

Paramètre de configuration

Suite de conformité

CNSA Suite-B-GCM-128

Suite-B-GCM-256

Suite-B-GMAC-128

Suite-B-GMAC-256

Prime Foundation

Version d'IKE

IKEv2 IKEv2 IKEv2 IKEv2 IKEv2 IKEv2 IKEv1

Algorithme Digest

SHA 384 SHA 256 SHA 384 SHA 256 SHA 384 SHA 256 SHA 256


VMware, Inc. 309

Tableau 15-8. Suites de conformité : valeurs de paramètre de configuration prédéfinies (suite)

Paramètre de configuration

Suite de conformité

Algorithme de chiffrement

AES 256 AES 128 AES 256 AES 128 AES 256 AES GCM 128

AES 128

Chiffrement de tunnel

AES 256 AES GCM 128

AES GCM 256

AES GMAC 128

AES GMAC 256

AES GCM 128

AES 128

Algorithme Digest de tunnel

SHA 384 NULL NULL NULL NULL NULL SHA 256

Authentification

n Certificat RSA (clé 3 072 bits)

n Certificat ECDSA (courbe P-384)

Certificat ECDSA (courbe P-256)





Certificat RSA (clé 2 048 bits et SHA-256)

Groupe DH DH15 et ECDH20

ECDH19 ECDH20 ECDH19 ECDH20 ECDH19 DH14

Attention À partir de NSX 6.4.6, les suites de conformité « Suite-B-GMAC-128 » et « Suite-B-GMAC-256 » sont obsolètes. Si vous avez configuré des sites VPN IPSec dans NSX 6.4.5 avec l'une de ces deux suites de conformité obsolètes, vous pouvez toujours mettre à niveau les dispositifs Edge vers la version 6.4.6. Cependant, un message d'avertissement s'affiche pour vous informer que les sites VPN IPSec utilisent une suite de conformité vulnérable.

Attention Lorsque vous configurez un site VPN IPSec à l'aide des suites de conformité « Prime » et « Foundation », il n'est pas possible de configurer les extensions de site ikelifetime et

salifetime. Ces extensions de site sont préconfigurées en fonction de la norme.

Lorsque vous sélectionnez la suite de conformité « CNSA », les groupes DH DH15 et ECDH20 sont configurés en interne sur le dispositif NSX Edge. Toutefois, les mises en garde suivantes existent lorsque vous sélectionnez cette suite de conformité :

n Si le service VPN IPSec sur un dispositif NSX Edge est configuré en tant qu'initiateur, NSX envoie uniquement ECDH20 afin d'établir une association de sécurité IKE avec le site VPN IPSec distant. Par défaut, NSX utilise ECDH20, car il est plus sûr que DH15. Si un site VPN IPSec de répondeur tiers est configuré avec DH15 uniquement, le répondeur envoie


VMware, Inc. 310

un message d'erreur de charge utile IKE non valide et demande à l'initiateur d'utiliser le groupe DH15. L'initiateur réinitialise SA IKE avec le groupe DH15 et un tunnel est établi entre les deux sites VPN IPSec. Toutefois, si la solution de VPN IPSec tiers ne prend pas en charge une erreur de charge utile IKE non valide, le tunnel n'est jamais établi entre les deux sites.

n Si le service VPN IPSec sur un dispositif NSX Edge est configuré en tant que répondeur, le tunnel est toujours établi selon le groupe DH qui est partagé par le site VPN IPSec initiateur.

n Lorsque les sites VPN IPSec initiateur et répondeur utilisent un dispositif NSX Edge, le tunnel est toujours établi avec ECDH20.

Configurer un site VPN IPSec basé sur le routage

Vous souhaitez configurer un tunnel IPSec basé sur le routage entre un dispositif NSX Edge sur le site local et une passerelle VPN distante sur le site homologue.

Contrairement à la configuration d'un tunnel IPSec basé sur les stratégies, où vous configurez des sous-réseaux locaux et distants, dans une configuration de tunnel IPSec basé sur l'itinéraire, vous ne définissez pas les sous-réseaux locaux et homologues qui souhaitent communiquer entre eux. Dans une configuration de tunnel IPSec basé sur le routage, vous devez définir une VTI avec une adresse IP privée sur le site local et le site homologue. Le trafic des sous-réseaux locaux est acheminé, via la VTI, vers les sous-réseaux homologues. Utilisez un protocole de routage dynamique, tel que BGP, pour acheminer le trafic via le tunnel IPSec. Le protocole de routage dynamique décide du trafic (en fonction du sous-réseau dont il provient) est acheminé via le tunnel IPSec vers le sous-réseau homologue.

Les étapes suivantes expliquent la procédure de configuration d'un tunnel IPSec basé sur le routage entre les deux sites :

1 Configurez les paramètres de VPN IPSec sur le dispositif NSX Edge local. Dans NSX Data Center 6.4.2 et versions ultérieures, vous pouvez uniquement configurer les paramètres de VPN IPSec basés sur l'itinéraire à l'aide de REST API. Pour plus d'informations, consultez le Guide des API de NSX.

n Adresse IP du point de terminaison local et ID local pour identifier la passerelle du dispositif NSX Edge local.

n Adresse IP du point de terminaison homologue et ID homologue pour identifier la passerelle VPN homologue.

n Version IKE pour configurer une association de sécurité entre les deux sites.

n Algorithme Digest.

n Algorithme de chiffrement.

n Mécanisme d'authentification (clé prépartagée ou certificat).

n Schéma de chiffrement à clé publique du groupe Diffie-Hellman (DH).

n Activation ou désactivation de la fonction PFS (Perfect Forward Secrecy).

n Activation ou désactivation du mode Répondeur uniquement.


VMware, Inc. 311

n Interface de tunnel virtuel (VTI) sur le dispositif NSX Edge. Fournissez une adresse IP privée statique pour la VTI.

Note La VTI que vous configurez est une VTI statique. Par conséquent, elle ne peut pas avoir plusieurs adresses IP. La meilleure pratique consiste à garantir que l'adresse IP de la VTI, aussi bien sur le site local et que le site homologue, se trouve sur le même sous-réseau.

2 Utilisez l'API de téléchargement de la configuration IPSec pour récupérer la configuration de l'homologue à titre de référence et configurer la passerelle VPN homologue.

3 Configurez l'homologation BGP entre les VTI sur les deux sites. L'homologation garantit que le protocole BGP sur le site local annonce les sous-réseaux locaux à la passerelle VPN homologue. De même, le protocole BGP sur le site homologue annonce les sous-réseaux distants à la passerelle VPN locale. Pour plus de détails sur la configuration du protocole BGP, consultez la section Routage du Guide d'administration de NSX.

Important Dans NSX 6.4.2 et versions ultérieures, le routage statique et le routage dynamique OSPF via un tunnel IPSec ne sont pas pris en charge.

4 Si vous souhaitez configurer la redondance de tunnel sur plusieurs tunnels, configurez les valeurs Durée de retenue (Hold Down) et Durée de survie (Keep Alive) des temporisateurs du protocole BGP. Les valeurs de temporisateur vous aident à détecter toute perte de connectivité avec la passerelle VPN distante dans le délai de basculement requis.

Pour obtenir un exemple détaillé de la configuration d'un tunnel IPSec basé sur le routage entre un dispositif NSX Edge local et une passerelle VPN distante Cisco CSR 1000V, consultez la section Utilisation d'un dispositif Cisco CSR 1000V.

Modifier le site VPN IPSec

Vous pouvez modifier un site VPN IPSec.

Procédure





5 Sélectionnez le site VPN IPSec que vous voulez modifier.

6 Cliquez sur l'icône Modifier (Edit) ( ou ).


8 Cliquez sur Enregistrer ou sur OK, puis cliquez sur Publier les modifications (Publish Changes).


VMware, Inc. 312

Désactiver le site VPN IPSec

Vous pouvez désactiver un site VPN IPSec.

Procédure





5 Sélectionnez le site VPN IPSec que vous voulez désactiver.

6 Désactivez le site.

n Dans NSX 6.4.6 et versions ultérieures, cliquez sur Actions > Désactiver.

n Dans NSX 6.4.5 et versions antérieures, cliquez sur l'icône Désactiver (Disable) ( ).

Supprimer un site VPN IPSec

Vous pouvez supprimer un site VPN IPSec.

Procédure





5 Sélectionnez le service VPN IPSec que vous voulez supprimer.


Terminologie d'IPsec

IPSec est une structure de normes ouvertes. De nombreux termes techniques figurent dans les journaux de NSX Edge et d'autres dispositifs VPN que vous pouvez utiliser pour dépanner le service VPN IPSEC.

Voici des termes que vous pouvez être amené à rencontrer :

n ISAKMP (Internet Security Association and Key Management Protocol) est un protocole défini par RFC 2408 pour établir les associations de sécurité (Security Associations - SA) et les clés cryptographiques dans un environnement Internet. ISAKMP ne fournit qu'une structure d'authentification et d'échange de clés et cette structure est indépendante de l'échange de clés.


VMware, Inc. 313

n Oakley est un protocole d'échange de clés qui permet aux utilisateurs authentifiés d'échanger des éléments de création de clé à travers une connexion non sécurisée à l'aide de l'algorithme d'échange de clés de Diffie-Hellman.

n IKE (Internet Key Exchange) est une combinaison de la structure ISAKMP et d'Oakley. NSX Edge fournit IKEv1, IKEv2 et IKE-Flex.

n L'échange de clés Diffie-Hellman (DH) est un protocole cryptographique qui permet à deux utilisateurs qui ne se connaissent pas d'établir conjointement une clé de secret partagée sur un canal de communication non sécurisé. VSE prend en charge DH groupe 2 (1 024 bits) et groupe 5 (1 536 bits).

Phase 1 et phase 2 d'IKEv1

IKEv1 est une méthode standard qui permet d'établir des communications sécurisées authentifiées.

Paramètres de la phase 1La phase 1 configure une authentification mutuelle des entités homologues, négocie des paramètres cryptographiques et crée des clés de sessions. Les paramètres de la phase 1 utilisés par NSX Edge sont les suivants :

n Mode principal.

n Triple DES, AES-128, AES-256 [Configurable]. AES-GCM n'est pas pris en charge dans la Phase 1, donc AES-128 est utilisé en interne.

n SHA1, SHA_256.

n Groupe MODP 2, 5, 14, 15 et 16.

n Clé secrète prépartagée et certificat [Configurable].

n Durée de validité de l'association de sécurité de 28 800 secondes (huit heures) sans renouvellement de clé lifebytes.

n Mode agressif d'ISAKMP désactivé

Important n VPN IPSec prend en charge uniquement le renouvellement de clé basé sur le temps. Vous

devez désactiver le renouvellement de clé lifebytes.


Paramètres de la phase 2La phase 2 d'IKE négocie un tunnel IPSec en créant des éléments de création de clé pour le tunnel IPSec à utiliser (soit en utilisant les clés de la phase 1 d'IKE, soit en effectuant un nouvel échange de clés). Les paramètres de la phase 2 d'IKE pris en charge par NSX Edge sont les suivants :

n Triple DES, AES-128, AES-256 et AES-GCM [Correspondance avec le paramètre de la phase 1].


VMware, Inc. 314

n SHA1, SHA_256.

n Mode tunnel d'ESP.

n Groupe MODP 2, 5, 14, 15 et 16.

n Secret d'envoi parfait pour le renouvellement de clé.

n Durée de validité de l'association de sécurité de 3 600 secondes (une heure) sans renouvellement de clé lifebytes.

n Sélecteurs de tous les protocoles IP, tous les ports, entre les deux réseaux, utilisant les sous-réseaux IPv4

Important n VPN IPSec prend en charge uniquement le renouvellement de clé basé sur le temps. Vous

devez désactiver le renouvellement de clé lifebytes.


Exemples de modes de transaction

NSX Edge prend en charge le mode principal pour la phase 1 et le mode rapide pour la phase 2.

NSX Edge propose une stratégie qui exige un certificat/une clé prépartagée, 3DES/AES128/AES256/AES-GCM, SHA1/SHA256 et un groupe DH 2/5/14/15/16. L'homologue doit accepter cette stratégie. Sinon, la phase de négociation échoue.

Phase 1 : Transactions en mode principal

Cet exemple illustre un échange de négociation en phase 1 exécuté depuis NSX Edge vers un périphérique Cisco.

Les transactions suivantes ont lieu dans l'ordre entre le dispositif NSX Edge et un périphérique VPN Cisco en mode principal.

1 NSX Edge vers Cisco

n Proposition : encrypt 3des-cbc, sha, psk, group5(group2)

n DPD activé

2 Cisco vers NSX Edge

n Contient la proposition choisie par Cisco

n Si le périphérique Cisco n'accepte pas les paramètres envoyés par le dispositif NSX Edge à l'étape 1, il envoie le message avec l'indicateur NO_PROPOSAL_CHOSEN et termine la négociation.


n Clé DH et nonce


VMware, Inc. 315


n Clé DH et nonce

5 NSX Edge vers Cisco (chiffré)

n Incluez l'ID (PSK).

6 Cisco vers NSX Edge (chiffré)

n Incluez l'ID (PSK).

n Si le périphérique Cisco estime que la PSK ne correspond pas, le périphérique Cisco envoie un message avec l'indicateur INVALID_ID_INFORMATION et la phase 1 échoue.

Phase 2 : Transactions en mode rapide

Les transactions suivantes ont lieu dans l'ordre entre le dispositif NSX Edge et un périphérique VPN Cisco en mode rapide.


NSX Edge propose la stratégie de phase 2 à l'entité homologue. Par exemple :

Aug 26 12:16:09 weiqing-desktop ipsec[5789]:"s1-c1" #2: initiating Quick ModePSK+ENCRYPT+TUNNEL+PFS+UP+SAREFTRACK {using isakmp#1 msgid:d20849ac proposal=3DES(3)_192-SHA1(2)_160 pfsgroup=OAKLEY_GROUP_MODP1024}


Le périphérique Cisco renvoie NO_PROPOSAL_CHOSEN s'il ne trouve pas de stratégie correspondante à la proposition. Sinon, le périphérique Cisco envoie l'ensemble de paramètres choisis.


Pour faciliter le débogage, vous pouvez activer la journalisation IPSec sur NSX Edge et activer crypto debug dans Cisco (debug crypto isakmp <level>).

Exemple de configuration d'un site VPN IPSec basé sur les stratégies

Cet exemple contient un scénario de configuration pour une connexion VPN IPSec point à point de base entre un dispositif NSX Edge et un VPN Cisco ou WatchGuard à l'autre extrémité.

Pour ce scénario, NSX Edge connecte le réseau interne 192.168.5.0/24 à Internet. Les interfaces de NSX Edge sont configurées comme suit :

n Interface de liaison montante : 10.115.199.103

n Interface interne : 192.168.5.1


VMware, Inc. 316

La passerelle VPN sur le site distant connecte le réseau interne 172.15.0.0/16 à Internet. Les interfaces de la passerelle distante sont configurées comme suit :

n interface de liaison montante : 10.24.120.90

n Interface interne : 172.16.0.1

Figure 15-2. Connexion du dispositif NSX Edge à une passerelle VPN distante

V

NSX Edge

192.168.5.1

10.115.199.103 10.24.120.90

Internet

192.168.5.0/24

172.16.0.1

172.15.0.0/16

Note Pour les tunnels IPSec entre deux dispositifs NSX Edge, vous pouvez utiliser le même scénario en configurant le deuxième dispositif NSX Edge en tant que passerelle distante.NSX Edge

Procédure






6 Dans la zone de texte Nom (Name), entrez le nom du site VPN IPSec.

7 Dans la zone de texte ID local (Local Id), tapez 10.115.199.103 pour l'adresse IP de

l'instance de NSX Edge. Cet ID local devient l'ID de l'homologue sur le site distant.

8 Dans la zone de texte Point de terminaison local (Local Endpoint), tapez 10.115.199.103.

Si vous ajoutez une adresse IP au tunnel IP à l'aide d'une clé prépartagée, l'ID local et l'adresse IP du point terminal local peuvent être identiques.

9 Dans la zone de texte Sous-réseaux locaux (Local Subnets), tapez 192.168.5.0/24.

10 Sous ID homologue (Peer Id), tapez 10.24.120.90 pour identifier de manière unique le site

homologue.

11 Dans la zone de texte Point de terminaison homologue (Peer Endpoint), tapez 10.24.120.90.


VMware, Inc. 317

12 Dans la zone de texte Sous-réseaux homologues (Peer Subnets), tapez 172.15.0.0/16.

13 Sélectionnez la Version IKE (IKE Version). Par exemple, sélectionnez IKEv2.

14 Sélectionnez l'Algorithme Digest (Digest Algorithm). Par exemple, sélectionnez SHA_256.

15 Sélectionnez l'Algorithme de chiffrement (Encryption Algorithm). Par exemple, sélectionnez AES.

16 Sélectionnez une Méthode d'authentification (Authentication Method). Par exemple, sélectionnez PSK.

17 Tapez la Clé prépartagée (Pre-shared Key).

18 Pour afficher la clé prépartagée sur le site homologue, cliquez sur l'icône Afficher la clé pré-partagée ( ) ou cochez la case Afficher la clé partagée (Display Shared Key).

19 Sélectionnez le schéma cryptographique Groupe Diffie-Hellman (DH) (Diffie-Hellman (DH) Group). Par exemple, sélectionnez DH14.

20 Cliquez sur Ajouter ou sur OK.

La configuration du site VPN IPSec est enregistrée sur le dispositif NSX Edge.

Étape suivante

Activez le service VPN IPSec.

Utilisation d'un routeur à services intégrés Cisco 2821

Ce qui suit décrit les configurations qui ont été effectuées à l'aide du système d'exploitation Cisco IOS.

Procédure

1 Configurer des interfaces et la route par défaut

interface GigabitEthernet0/0ip address 10.24.120.90 255.255.252.0duplex autospeed autocrypto map MYVPN!interface GigabitEthernet0/1ip address 172.16.0.1 255.255.0.0duplex autospeed auto!ip route 0.0.0.0 0.0.0.0 10.24.123.253

2 Configurer la stratégie d'IKE

Router# config termRouter(config)# crypto isakmp policy 1Router(config-isakmp)# encryption 3desRouter(config-isakmp)# group 2


VMware, Inc. 318

Router(config-isakmp)# hash shaRouter(config-isakmp)# lifetime 28800Router(config-isakmp)# authentication pre-shareRouter(config-isakmp)# exit

3 Associer chaque entité homologue avec son secret prépartagé

Router# config termRouter(config)# crypto isakmp key vshield address 10.115.199.103Router(config-isakmp)# exit

4 Définir la transformation d'IPSEC

Router# config termRouter(config)# crypto ipsec transform-set myset esp-3des esp-sha-hmacRouter(config-isakmp)# exit

5 Créer la liste d'accès d'IPSEC

Router# config termEnter configuration commands, one per line. End with CNTL/Z.Router(config)# access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.5.0 0.0.0.255Router(config)# exit

6 Relier la stratégie à une carte de chiffrement et l'étiqueter

Dans l'exemple suivant, la carte de chiffrement est étiquetée MYVPN.

Router# config termRouter(config)# crypto map MYVPN 1 ipsec-isakmp% NOTE: This new crypto map will remain disabled until a peer and a valid access list have been configured.Router(config-crypto-map)# set transform-set mysetRouter(config-crypto-map)# set pfs group1Router(config-crypto-map)# set peer 10.115.199.103Router(config-crypto-map)# match address 101Router(config-crypto-map)# exit

Exemple : Configuration

router2821#show running-config outputBuilding configuration...

Current configuration : 1263 bytes!


VMware, Inc. 319

version 12.4service timestamps debug datetime msecservice timestamps log datetime msecno service password-encryption!hostname router2821!boot-start-markerboot-end-marker!! card type command needed for slot 0! card type command needed for slot 1enable password cisco!no aaa new-model!resource policy!ip subnet-zero!ip cef!no ip dhcp use vrf connected!!no ip ips deny-action ips-interface!crypto isakmp policy 1encr 3desauthentication pre-sharegroup 2crypto isakmp key vshield address 10.115.199.103!crypto ipsec transform-set myset esp-3des esp-sha-hmac!crypto map MYVPN 1 ipsec-isakmpset peer 10.115.199.103set transform-set mysetset pfs group1match address 101!interface GigabitEthernet0/0ip address 10.24.120.90 255.255.252.0duplex autospeed autocrypto map MYVPN!interface GigabitEthernet0/1ip address 172.16.0.1 255.255.0.0duplex autospeed auto!ip classlessip route 0.0.0.0 0.0.0.0 10.24.123.253!


VMware, Inc. 320

ip http serverno ip http secure-server!access-list 101 permit ip 172.16.0.0 0.0.255.255 192.168.5.0 0.0.0.255!control-plane!line con 0line aux 0line vty 0 4password ciscologinline vty 5 15password ciscologin!scheduler allocate 20000 1000!end

Utilisation d'un Cisco ASA 5510

Utilisez la sortie suivante pour configurer un Cisco ASA 5510.

ciscoasa# show running-config output: Saved:ASA Version 8.2(1)18!hostname ciscoasaenable password 2KFQnbNIdI.2KYOU encryptedpasswd 2KFQnbNIdI.2KYOU encryptednames!interface Ethernet0/0nameif untrustedsecurity-level 100ip address 10.24.120.90 255.255.252.0!interface Ethernet0/1nameif trustedsecurity-level 90ip address 172.16.0.1 255.255.0.0!interface Ethernet0/2shutdownno nameifno security-levelno ip address!interface Ethernet0/3shutdown no nameif


VMware, Inc. 321

no security-levelno ip address!interface Management0/0shutdownno nameifno security-levelno ip address!boot system disk0:/asa821-18-k8.binftp mode passiveaccess-list ACL1 extended permit ip 172.16.0.0 255.255.0.0 192.168.5.0 255.255.255.0access-list ACL1 extended permit ip 192.168.5.0 255.255.255.0 172.16.0.0 255.255.0.0access-list 101 extended permit icmp any anypager lines 24mtu untrusted 1500mtu trusted 1500no failovericmp unreachable rate-limit 1 burst-size 1icmp permit any untrustedicmp permit any trustedno asdm history enablearp timeout 14400access-group 101 in interface untrustedaccess-group 101 out interface untrustedaccess-group 101 in interface trustedaccess-group 101 out interface trustedroute untrusted 10.115.0.0 255.255.0.0 10.24.123.253 1route untrusted 192.168.5.0 255.255.255.0 10.115.199.103 1timeout xlate 3:00:00timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolutetimeout tcp-proxy-reassembly 0:01:00dynamic-access-policy-record DfltAccessPolicyno snmp-server locationno snmp-server contactcrypto ipsec transform-set MYSET esp-3des esp-sha-hmaccrypto ipsec security-association lifetime seconds 28800crypto ipsec security-association lifetime kilobytes 4608000crypto map MYVPN 1 match address ACL1crypto map MYVPN 1 set pfscrypto map MYVPN 1 set peer 10.115.199.103crypto map MYVPN 1 set transform-set MYSETcrypto map MYVPN interface untrustedcrypto isakmp enable untrustedcrypto isakmp policy 1authentication pre-shareencryption 3des


VMware, Inc. 322

hash shagroup 2lifetime 86400telnet 10.0.0.0 255.0.0.0 untrustedtelnet timeout 5ssh timeout 5console timeout 0no threat-detection basic-threatno threat-detection statistics access-listno threat-detection statistics tcp-interceptusername admin password f3UhLvUj1QsXsuK7 encryptedtunnel-group 10.115.199.103 type ipsec-l2ltunnel-group 10.115.199.103 ipsec-attributespre-shared-key *!!prompt hostname contextCryptochecksum:29c3cc49460831ff6c070671098085a9: end

Utilisation d'un dispositif Cisco CSR 1000V

Vous souhaitez configurer des tunnels VPN IPSec basés sur le routage entre un dispositif NSX Edge et un dispositif virtuel Cisco CSR 1000V.

Configuration de NSX Edge

La sortie CLI suivante illustre la configuration du VPN IPSec basé sur le routage sur le dispositif NSX Edge :

Edge IPsec VPN Config:{ "ipsec" : { "global" : { "extension" : null, "crlCertificates" : [], "pskForDynamicIp" : null, "id" : null, "caCertificates" : [], "serviceCertificate" : null }, "logging" : { "logLevel" : "debug", "enable" : true }, "disableEvent" : null, "enable" : true, "sites" : [ { "name" : "VPN2 to edge-ext tun 2 192.168.14.2", "encryptionAlgorithm" : "3des", "psk" : "****",


VMware, Inc. 323

"tunnelInterfaceId" : 1, "authenticationMode" : "psk", "peerIp" : "111.111.111.5", "ipsecSessionType" : "routebasedsession", "pskEncryption" : null, "digestAlgorithm" : "sha1", "enabled" : true, "localSubnets" : [ "0.0.0.0/0" ], "description" : "VPN to edge subnet2", "mtu" : null, "peerId" : "111.111.111.5", "extension" : null, "ikeOption" : "ikev2", "localIp" : "51.51.51.1", "peerSubnets" : [ "0.0.0.0/0" ], "responderOnly" : false, "certificate" : null, "dhGroup" : "dh2", "siteId" : "ipsecsite-53", "localId" : "51.51.51.1", "tunnelInterfaceLabel" : "vti-1", "enablePfs" : true }, { "peerIp" : "71.71.71.5", "authenticationMode" : "psk", "ipsecSessionType" : "routebasedsession", "tunnelInterfaceId" : 2, "psk" : "****", "name" : "VPN to edge-ext tun 1 192.168.13.2", "encryptionAlgorithm" : "3des", "description" : "VPN to edge subnet1", "localSubnets" : [ "0.0.0.0/0" ], "enabled" : true, "pskEncryption" : null, "digestAlgorithm" : "sha1", "ikeOption" : "ikev2", "extension" : null, "peerSubnets" : [ "0.0.0.0/0" ], "localIp" : "61.61.61.1", "peerId" : "71.71.71.5", "mtu" : null, "siteId" : "ipsecsite-54", "localId" : "61.61.61.1", "enablePfs" : true, "tunnelInterfaceLabel" : "vti-2", "responderOnly" : false,


VMware, Inc. 324

"certificate" : null, "dhGroup" : "dh2" } ] }}

La sortie CLI suivante illustre la configuration de la VTI sur le dispositif NSX Edge :

Edge VTI Tunnels Config:{ "vtiTunnels" : [ { "name" : "vti-1", "mtu" : 1416, "label" : "vti-1", "sourceAddress" : "51.51.51.1", "destinationAddress" : "111.111.111.5", "tunnelAddresses" : [ "192.168.14.2/24" ], "mode" : "VTI", "enabled" : true }, { "enabled" : false, "tunnelAddresses" : [ "192.168.13.2/24" ], "mode" : "VTI", "sourceAddress" : "61.61.61.1", "destinationAddress" : "71.71.71.5", "label" : "vti-2", "mtu" : 1416, "name" : "vti-2" } ]}

Configuration du dispositif Cisco CSR 1000V

Le script suivant configure les deux tunnels IPSec basés sur le routage correspondants sur le dispositif Cisco CSR 1000V :

crypto ikev2 proposal PH1PROPOSALencryption 3desintegrity sha1group 2crypto ikev2 proposal PH2PROPOSALencryption 3desintegrity sha1group 2crypto ikev2 policy PH1POLICYproposal PH1PROPOSAL


VMware, Inc. 325

crypto ikev2 policy PH2POLICYproposal PH2PROPOSALcrypto ikev2 keyring PH1KEYpeer SITE1 address 61.61.61.1 pre-shared-key sharedvalue!crypto ikev2 keyring PH2KEYpeer SITE2 address 51.51.51.1 pre-shared-key sharedvalue!crypto ikev2 profile PH1PROFILEmatch identity remote address 61.61.61.1 255.255.255.0identity local address 71.71.71.5authentication remote pre-share key sharedvalueauthentication local pre-share key sharedvaluecrypto ikev2 profile PH2PROFILEmatch identity remote address 51.51.51.1 255.255.255.0identity local address 111.111.111.5authentication remote pre-share key sharedvalueauthentication local pre-share key sharedvaluecrypto ipsec transform-set TSET esp-3des esp-sha-hmacmode tunnelcrypto ipsec profile IPSEC_PROF1set transform-set TSETset ikev2-profile PH1PROFILEresponder-onlycrypto ipsec profile IPSEC_PROF2set transform-set TSETset ikev2-profile PH2PROFILEresponder-only

interface Tunnel1ip address 192.168.13.1 255.255.255.0tunnel source 71.71.71.5tunnel mode ipsec ipv4tunnel destination 61.61.61.1tunnel protection ipsec profile IPSEC_PROF1interface Tunnel2ip address 192.168.14.1 255.255.255.0tunnel source 111.111.111.5tunnel mode ipsec ipv4tunnel destination 51.51.51.1tunnel protection ipsec profile IPSEC_PROF2interface GigabitEthernet1ip address dhcpnegotiation autointerface GigabitEthernet2no ip addressnegotiation autointerface GigabitEthernet2.2encapsulation dot1Q 23ip address 81.81.81.5 255.255.255.0


VMware, Inc. 326

interface GigabitEthernet2.3encapsulation dot1Q 19ip address 111.111.111.5 255.255.255.0interface GigabitEthernet2.4encapsulation dot1Q 22ip address 71.71.71.5 255.255.255.0

Configuration d'un WatchGuard Firebox X500

Vous pouvez configurer votre WatchGuard Firebox X500 comme passerelle distante.

Note Reportez-vous à la documentation de WatchGuard Firebox pour connaître les étapes exactes.

Procédure

1 Dans Firebox System Manager, sélectionnez Outils (Tools) > Gestionnaire de stratégie (Policy Manager).

2 Dans Gestionnaire de stratégie, sélectionnezRéseau (Network) > Configuration.

3 Configurez les interfaces, puis cliquez sur OK.

4 (Facultatif) Sélectionnez Réseau (Network) > Routes pour configurer une route par défaut.

5 Sélectionnez Réseau (Network) > VPN de succursale (Branch Office VPN) > IPSec manuel (Manual IPSec) pour configurer la passerelle distante.

6 Dans la boîte de dialogue Configuration IPSec, cliquez sur Passerelles (Gateways) pour configurer la passerelle distante IPSEC.

7 Dans la boîte de dialogue Configuration IPSec, cliquez sur Tunnels pour configurer un tunnel.

8 Dans la boîte de dialogue Configuration IPSec, cliquez sur Ajouter (Add) pour ajouter une stratégie de routage.

9 Cliquez sur Fermer (Close).

10 Confirmez que le tunnel est fonctionnel.

Présentation de VPN L2

Avec VPN L2, vous pouvez étendre plusieurs réseaux logiques (VLAN et VXLAN) sur l'ensemble des sites géographiques choisis. Il est en outre possible de configurer plusieurs sites sur un serveur VPN de niveau 2 (L2).

Les machines virtuelles demeurent sur le même sous-réseau lorsqu'elles sont déplacées entre des sites et leurs adresses IP ne changent pas. L'optimisation côté sortie permet à Edge de router n'importe quel paquet envoyé localement vers l'adresse IP d'optimisation côté sortie et de ponter tout le reste.


VMware, Inc. 327

Par conséquent, avec le service VPN L2, les entreprises peuvent migrer des charges de travail entre différents sites physiques de façon transparente. Les charges de travail peuvent s'exécuter sur des réseaux VXLAN ou VLAN. Pour les fournisseurs de services cloud, le service VPN L2 fournit un mécanisme aux locataires intégrés sans modifier les adresses IP existantes des charges de travail et des applications.

Note n À partir de NSX Data Center 6.4.2, vous pouvez configurer le service VPN L2 sur les tunnels

SSL et IPSec. Toutefois, vous pouvez configurer le service VPN L2 sur des tunnels IPSec uniquement à l'aide des API REST. Pour plus d'informations sur la configuration de VPN L2 sur IPSec, consultez le Guide des API de NSX.

n Dans NSX 6.4.1 et versions antérieures, vous pouvez configurer le service VPN L2 uniquement sur les tunnels SSL.


VMware, Inc. 328

Figure 15-3. Extension de VXLAN sur plusieurs sites à l'aide de VPN L2

NSX

Réseau deliaison montante

VPN

Réseaude couche 3

NSX Edge

Site A : Réseau reposant sur VXLAN Site B : Réseau reposant sur VXLAN

JonctionVXLAN de vNIC

VXLAN 5010

VM 1 VM 2

VM 3 VM 4

VXLAN 5011

NSX


VPN

NSX Edge

JonctionVXLAN de

vNIC

VXLAN 5010

VM 5 VM 6

VM 7 VM 8

VXLAN 5011

Client SSL /Homologue IPSec

Serveur SSL /Homologue IPSec

Le client et le serveur VPN de niveau 2 (L2) apprennent les adresses MAC des sites locaux et distants en fonction du trafic qui les emprunte. L'optimisation côté sortie maintient le routage local, car la passerelle par défaut de toutes les machines virtuelles est toujours résolue vers la passerelle locale à l'aide de règles de pare-feu. Les machines virtuelles qui ont été déplacées vers le site B peuvent également accéder aux segments de niveau 2 qui ne sont pas étendus sur le site A.

Si NSX n'est pas déployé sur l'un des sites, un dispositif Edge autonome peut être déployé sur ce site.

Dans le graphique suivant, VPN L2 étend le VLAN 10 du réseau jusqu'au VXLAN 5010 et le VLAN 11 jusqu'au VXLAN 5011. La machine virtuelle 1 pontée avec VLAN 10 peut donc accéder aux machines virtuelles 2, 5 et 6.


VMware, Inc. 329

Figure 15-4. Extension d'un site non NSX avec des réseaux VLAN vers un site NSX avec des réseaux VXLAN à l'aide de VPN L2


VPN


Routeurspar défaut

Réseaude couche 3

NSX Edgeautonome

Site A : Réseau reposant sur VLAN Site B : Réseau reposant sur VXLAN

VLAN 10-11 de vNICde jonction

VM 1 VM 2 VM 3 VM 4

VLAN 10 VLAN 11

NSX


VPN

Serveur SSL /Homologue IPSec

NSX Edge

JonctionVXLAN de

vNICVXLAN 5010

VM 5 VM 6

VM 7 VM 8

VXLAN 5011

Meilleures pratiques relatives à VPN L2

Les recommandations présentées dans cette section s'appliquent à VPN L2 sur un tunnel SSL et VPN L2 sur un tunnel IPSec.

Recommandation Pour des performances optimales de VPN L2, déployez de préférence un dispositif NSX Edge de très grand format sur le client et le serveur pour les raisons suivantes :

n Augmentation de la taille du tampon TCP.

n L'épinglage de CPU est possible dans les CPU virtuelles 1, 3 et 5. L'épinglage de CPU est impossible dans les grands et super grands formats.


VMware, Inc. 330

La configuration de VPN L2 selon les meilleures pratiques peut éviter certains problèmes comme la mise en boucle et la duplication de commandes Ping et de réponses.

Options L2VPN pour limiter le bouclage

Deux options permettent de limiter le bouclage. Les dispositifs NSX Edge et les machines virtuelles peuvent résider sur un seul ou sur plusieurs hôtes ESXi différents.

Option 1 : Dispositifs Edge L2VPN et machines virtuelles sur des hôtes ESXi différents

1. Déployer les machines virtuelles et les dispositifs Edges L2VPN sur des hôtes ESXi distincts

Liaisons montantes

Actif

Veille

Liaisons montantes

Actif

Actif

Route basée surle port virtuel d'origine Stratégie d'association

Mode promiscuité :Désactivé

dvPortGroup

Interfacede jonction vDS

SINK

dvPortGroup

Association Active/Active :Non prise en charge

1 Déployez les dispositifs Edge et les machines virtuelles sur des hôtes ESXi distincts.

2 Configurez comme suit la règle d'association et de basculement pour le groupe de ports distribués associé à la carte réseau virtuelle du dispositif Edge :

a Définissez l'équilibrage de charge sur « Itinéraire basé sur le port virtuel d'origine ».

b Configurez une liaison montante comme active et mettez l'autre en veille.

3 Configurez comme suit la règle d'association et de basculement pour le groupe de ports distribués associé aux machines virtuelles :

a Toutes les règles d'association conviennent.

b Plusieurs liaisons montantes actives peuvent être configurées.


VMware, Inc. 331

4 Configurez les dispositifs Edge pour qu'ils utilisent le mode de port de réception et désactivez le mode de promiscuité sur la carte réseau virtuelle.

Note n Désactiver le mode Proximité : si vous utilisez vSphere Distributed Switch.

n Activer le mode Proximité : si vous utilisez un commutateur virtuel pour configurer l'interface de jonction.

Si le mode Proximité est activé sur un commutateur virtuel, certains des paquets provenant des liaisons montantes qui ne sont pas actuellement utilisées par le port de proximité ne sont pas ignorés. Vous devez activer et désactiver ReversePathFwdCheckPromisc qui va ignorer

explicitement tous les paquets provenant des liaisons montantes actuellement inutilisées, pour le port de proximité.

Pour bloquer les paquets en double, activez la vérification RPF pour le mode Proximité à partir de l'interface de ligne de commande ESXi sur laquelle NSX Edge est présent :

esxcli system settings advanced set -o /Net/ReversePathFwdCheckPromisc -i 1esxcli system settings advanced list -o /Net/ReversePathFwdCheckPromiscPath: /Net/ReversePathFwdCheckPromiscType: integerInt Value: 1Default Int Value: 0Max Value: 1Min Value: 0String Value:Default String Value:Valid Characters:Description: Block duplicate packet in a teamed environment when the virtual switch is set to Promiscuous mode.

Dans la stratégie de sécurité Groupe de ports (PortGroup), passez l'option Mode de proximité (Promiscous Mode) de Accepter (Accept) à Refuser (Reject), puis définissez-la de nouveau sur Accepter (Accept) pour activer la modification configurée.

n Option 2 : Dispositifs Edge et machines virtuelles sur le même hôte ESXi


VMware, Inc. 332

2. Déployer les machines virtuelles et les dispositifs Edges L2VPN sur le même hôte

L'ordre des liaisons montantes Actif/Veille doit être

identique sur les dvPortGroups.

Liaisons montantes

Actif

Veille Veille

Liaisons montantes

Actif

Route basée surle port virtuel d'origine

Route basée surle port virtuel d'origine

Mode promiscuité :Désactivé

dvPortGroup

Interfacede jonction vDS

SINK

dvPortGroup

a Configurez comme suit la stratégie d'association et de basculement du groupe de ports distribués associé à la carte réseau virtuelle de jonction du dispositif Edge :

1 Définissez l'équilibrage de charge sur Itinéraire basé sur le port virtuel d'origine.

2 Configurez une liaison montante comme active et mettez l'autre en veille.

b Configurez comme suit la règle d'association et de basculement pour le groupe de ports distribués associé aux machines virtuelles :

1 Toutes les règles d'association conviennent.

2 Une seule liaison montante peut être active.

3 L'ordre des liaisons montantes actives/en veille doit être identique pour le groupe de ports distribués des machines virtuelles et celui de la carte réseau virtuelle du dispositif Edge.

c Configurez le dispositif Edge autonome côté client pour qu'il utilise le mode de port de réception et désactivez le mode de promiscuité sur la carte réseau virtuelle.

Configurer un port de réception

Lorsqu'une instance Edge gérée par NSX est configurée comme client VPN L2, une partie de la configuration est réalisée automatiquement par NSX. Lorsqu'une instance de NSX Edge autonome est configurée comme client VPN L2, ces étapes de configuration doivent être réalisées automatiquement par NSX.


VMware, Inc. 333

Si NSX n'est pas déployé sur l'un des sites VPN, vous pouvez configurer un VPN L2 en déployant un dispositif NSX Edge autonome sur ce site. Un dispositif Edge autonome est déployé à l'aide d'un fichier OVF sur un hôte non géré par NSX. Cela permet de déployer un dispositif Edge Services Gateway pour fonctionner en tant que client VPN L2.

Si une vNIC de jonction de dispositif Edge autonome est connectée à une instance vSphere Distributed Switch, le mode promiscuité ou un port de réception est requis pour la fonctionnalité VPN L2. L'utilisation du mode de promiscuité peut entraîner des pings et des réponses en double. Pour cette raison, utilisez le mode de port de réception dans la configuration de VPN L2 sur un dispositif NSX Edge autonome.

Procédure

1 Récupérez le numéro de port de la vNIC de jonction que vous voulez configurer comme port de réception.

a Connectez-vous à vSphere Web Client et accédez à Page d'accueil (Home) > Mise en réseau (Networking).

b Cliquez sur le groupe de ports distribués auquel l'interface de jonction NSX Edge est connectée, puis cliquez sur Ports pour afficher les ports et les machines virtuelles connectées. Notez le numéro de port associé à l'interface de jonction.

Utilisez ce numéro de port lors de l'extraction et de la mise à jour des données opaques.

2 Récupérez la valeur dvsUuid du commutateur vSphere Distributed Switch.

a Connectez-vous à l'interface utilisateur de vCenter Mob à l'adresse https://<vc-ip>/mob.

b Cliquez sur Contenu (content).

c Cliquez sur le lien associé à rootFolder (par exemple, group-d1 (Datacenters)).

d Cliquez sur le lien associé à childEntity (par exemple, datacenter-1).

e Cliquez sur le lien associé à networkFolder (par exemple, group-n6).

f Cliquez sur le lien du nom DVS correspondant à l'instance de vSphere Distributed Switch associée aux dispositifs NSX Edge (par exemple, dvs-1 (Mgmt_VDS)).

g Copiez la valeur de la chaîne uuid.

Utilisez cette valeur pour dvsUuid lors de l'extraction et de la mise à jour des données opaques.

3 Vérifiez si des données opaques existent pour le port spécifié.

a Accédez à https://<vc-ip>/mob/?moid=DVSManager&vmodl=1.

b Cliquez sur fetchOpaqueDataEx.


VMware, Inc. 334

c Dans le champ selectionSet, collez l'entrée XML suivante :

<selectionSet xsi:type="DVPortSelection"> <dvsUuid>c2 1d 11 50 6a 7c 77 68-e6 ba ce 6a 1d 96 2a 15</dvsUuid>  <portKey>393</portKey> </selectionSet>

Utilisez le numéro de port et la valeur dvsUuid que vous avez récupérés pour l'interface de jonction NSX Edge.

d Définissez isRuntime sur false.

e Cliquez sur Appeler la méthode (Invoke Method).

Si le résultat affiche des valeurs pour vim.dvs.OpaqueData.ConfigInfo, cela signifie que des

données opaques sont déjà définies, utilisez l'opération edit lorsque vous définissez le port

de réception. Si la valeur de vim.dvs.OpaqueData.ConfigInfo est vide, utilisez l'opération add lorsque vous définissez le port de réception.

4 Configurez le port de réception dans le navigateur d'objet géré vCenter (MOB).

a Accédez à https://<vc-ip>/mob/?moid=DVSManager&vmodl=1.

b Cliquez sur updateOpaqueDataEx.

c Dans le champ selectionSet, collez l'entrée XML suivante :

<selectionSet xsi:type="DVPortSelection"> <dvsUuid>c2 1d 11 50 6a 7c 77 68-e6 ba ce 6a 1d 96 2a 15</dvsUuid>  <portKey>393</portKey> </selectionSet>

Utilisez la valeur dvsUuid que vous avez récupérée à partir du MOB de vCenter.


VMware, Inc. 335

d Dans le champ opaqueDataSpec, collez l'une des entrées XML suivantes :

Utilisez cette entrée pour activer un port de réception si aucune donnée opaque n'est définie (operation est défini sur add) :

<opaqueDataSpec> <operation>add</operation> <opaqueData> <key>com.vmware.etherswitch.port.extraEthFRP</key> <opaqueData xsi:type="vmodl.Binary">AAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=</opaqueData> </opaqueData></opaqueDataSpec>

Utilisez cette entrée pour activer un port de réception si des données opaques sont déjà définies (operation est défini sur edit) :

<opaqueDataSpec> <operation>edit</operation> <opaqueData> <key>com.vmware.etherswitch.port.extraEthFRP</key> <opaqueData xsi:type="vmodl.Binary">AAABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=</opaqueData> </opaqueData></opaqueDataSpec>

Utilisez cette entrée pour désactiver un port de réception :

<opaqueDataSpec> <operation>edit</operation> <opaqueData> <key>com.vmware.etherswitch.port.extraEthFRP</key> <opaqueData xsi:type="vmodl.Binary">AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=</opaqueData> </opaqueData></opaqueDataSpec>

e Définissez isRuntime sur false.

f Cliquez sur Appeler la méthode (Invoke Method).


VMware, Inc. 336

VPN L2 sur SSL

Pour étendre votre réseau à l'aide d'un VPN L2, vous configurez un serveur VPN de niveau 2 (L2) (dispositif Edge de destination) et un client VPN de niveau 2 (L2) (dispositif Edge source). Vous devez ensuite activer le service VPN de niveau 2 (L2) sur le serveur et le client.

Les rubriques de cette section vous expliquent comment configurer le service VPN L2 sur des tunnels SSL.


Une sous-interface doit avoir été ajoutée à une interface de jonction du dispositif NSX Edge. Reportez-vous à la section Ajouter une sous-interface.

Configurer un serveur VPN de niveau 2 (L2)

Le serveur VPN de niveau 2 (L2) représente le dispositif NSX Edge de destination auquel le client doit être connecté.

Procédure




4 Cliquez sur Gérer > VPN > VPN L2.

5 En regard de Mode VPN L2 (L2 VPN Mode), sélectionnez Serveur (Server).

6 En regard de Détails de la configuration globale, cliquez sur Modifier ou sur Changer.

7 Dans Adresse IP de l'écouteur (Listener IP), entrez l'adresse IP principale ou secondaire d'une interface externe du dispositif NSX Edge.

8 Le port par défaut du service VPN L2 est 443. Si nécessaire, modifiez le numéro de port.

9 Sélectionnez un ou plusieurs algorithmes de chiffrement pour chiffrer la communication entre le serveur et le client.

n Dans NSX 6.4.6 et versions ultérieures, cliquez sur l'icône Modifier ( ). Sélectionnez un ou plusieurs algorithmes de chiffrement, puis cliquez sur Enregistrer.

n Dans NSX 6.4.5 et versions antérieures, sélectionnez un algorithme dans la zone de liste. Pour sélectionner plusieurs valeurs, appuyez sur Ctrl et cliquez sur les algorithmes dans la liste.

10 Sélectionnez le certificat à lier au serveur VPN SSL.

Important VPN L2 sur SSL prend en charge uniquement les certificats RSA.

11 Cliquez sur Enregistrer ou sur OK.


VMware, Inc. 337

Ajouter les sites homologues

Vous pouvez connecter plusieurs sites au serveur VPN de niveau 2.

Note Modifier les paramètres de configuration de site entraîne la déconnexion et la reconnexion par NSX Edge de toutes les connexions existantes.

Procédure




4 En regard de Mode VPN L2 (L2 VPN Mode), sélectionnez Serveur (Server).

5 Dans Détails de la configuration du site (Site Configuration Details), cliquez sur Ajouter (Add).

6 Spécifiez la configuration du site homologue VPN L2.

a Entrez un nom unique pour le site homologue.

b Entrez un nom d'utilisateur et un mot de passe avec lesquels le site homologue doit être authentifié. Les informations d'identification de l'utilisateur sur le site homologue doivent être identiques à celles du côté client.

c Dans Interfaces étirées (Stretched Interfaces), cliquez sur ou sur Sélectionner des sous-interfaces (Select Sub Interfaces) pour sélectionner les sous-interfaces à étendre auprès du client.

d Sélectionnez l'interface de jonction pour le dispositif Edge.

Les sous-interfaces configurées sur la vNIC de jonction sont affichées.

e Double-cliquez sur les sous-interfaces à étendre.

f Cliquez sur Ajouter ou sur OK.

g Si la passerelle par défaut pour les machines virtuelles est la même sur les deux sites, entrez les adresses IP de passerelle dans la zone de texte Adresse de la passerelle d'optimisation de sortie (Egress Optimization Gateway Address). Ces adresses IP sont les adresses pour lesquelles le trafic doit être acheminé localement ou pour lesquelles le trafic doit être bloqué sur le tunnel.


VMware, Inc. 338

h (Facultatif) Cochez la case Réseaux non étirés (Unstretched Networks) lorsque vous voulez que les machines virtuelles des réseaux non étirés communiquent avec les machines virtuelles qui se trouvent derrière le dispositif Edge client VPN L2 sur le réseau étiré. De plus, vous voulez que cette communication soit routée via le même tunnel VPN L2. Les sous-réseaux non étirés peuvent se trouver derrière le dispositif Edge serveur VPN L2, le dispositif Edge client VPN L2 ou les deux.

Par exemple, imaginez que vous avez créé un tunnel VPN L2 pour étirer le sous-réseau 192.168.10.0/24 entre deux sites de centre de données à l'aide du service VPN L2 de NSX.

Derrière le dispositif Edge serveur VPN L2, vous disposez de deux sous-réseaux supplémentaires (par exemple, 192.168.20.0/24 et 192.168.30.0/24). Lorsque des réseaux non étirés sont activés, les VM sur les sous-réseaux 192.168.20.0/24 et 192.168.30.0/24 peuvent communiquer avec les VM qui se trouvent derrière le dispositif Edge client VPN L2 sur le réseau étendu (192.168.10.0/24). Cette communication est acheminée via le même tunnel VPN L2.

i Si vous avez activé les réseaux non étirés, procédez comme suit en fonction de l'emplacement des sous-réseaux non étirés :

n Lorsque des sous-réseaux non étirés se trouvent derrière le dispositif Edge client VPN L2, entrez l'adresse réseau du réseau non étiré au format CIDR tout en ajoutant le site homologue (client) sur le dispositif Edge serveur VPN L2. Pour entrer plusieurs réseaux non étirés, séparez les adresses de réseau par des virgules.

n Lorsque des sous-réseaux non étirés se trouvent derrière le dispositif Edge serveur VPN L2, laissez la zone de texte Réseaux non étirés (Unstretched Networks) vide. En d'autres termes, n'entrez pas l'adresse réseau des réseaux non étirés lors de l'ajout du site client (homologue) sur le serveur VPN L2.

Dans l'exemple précédent, comme les sous-réseaux non étirés se trouvent derrière le dispositif Edge serveur VPN L2, vous devez laisser la zone de texte Réseaux non étirés (Unstretched Networks) vide dans la fenêtre Ajouter le site pair.

7 Cliquez sur Ajouter ou sur OK, puis cliquez sur Publier les modifications (Publish Changes).

Activer le service VPN de niveau 2 (L2) sur le serveur

Vous devez activer le service VPN de niveau 2 (L2) sur le serveur VPN de niveau 2 (L2) (NSX Edge de destination). Si HA est déjà configurée sur ce dispositif Edge, assurez-vous que plus d'une interface interne est configurée sur Edge. Si une seule interface est présente et qu'elle a déjà été utilisée par HA, la configuration de VPN L2 sur la même interface interne échoue.

Procédure




VMware, Inc. 339

3 Double-cliquez sur un dispositif NSX Edge de destination, puis accédez à Gérer (Manage) > VPN > VPN L2 (L2 VPN).

4 En regard de État du service VPN L2 (L2 VPN Service Status), cliquez sur Démarrer (Start).

Étape suivante

Créez une règle NAT ou de pare-feu du côté du pare-feu accessible depuis Internet afin de permettre au client et au serveur de se connecter l'un à l'autre.

Configurer un client VPN de niveau 2 (L2)

Le client VPN L2 est le dispositif NSX Edge source qui initie la communication avec le dispositif Edge de destination (serveur VPN L2).

Vous pouvez également configurer un dispositif Edge autonome comme client VPN de niveau 2 (L2). Reportez-vous à la section Configurer un dispositif Edge autonome en tant que client VPN de niveau 2.

Procédure



3 Double-cliquez sur un dispositif Edge que vous souhaitez configurer en tant que client VPN L2.


5 En regard de Mode VPN L2 (L2 VPN Mode), sélectionnez Client.

6 En regard de Détails de la configuration globale, cliquez sur Modifier ou sur Changer.

7 Spécifiez les détails du client VPN L2.

a Entrez l'adresse du serveur VPN L2 auquel ce client doit être connecté. L'adresse peut être un nom d'hôte ou une adresse IP.

b Modifiez le port par défaut auquel le client VPN L2 doit être connecté, si nécessaire.

c Sélectionnez l'algorithme de chiffrement pour la communication avec le serveur.

d Dans Interfaces étirées (Stretched Interfaces), cliquez sur ou sur Sélectionner des sous-interfaces (Select Sub Interfaces) pour sélectionner les sous-interfaces à étendre au serveur.

e Sélectionnez l'interface de jonction pour le dispositif Edge.

Les sous-interfaces configurées sur la vNIC de jonction sont affichées.

f Double-cliquez sur les sous-interfaces à étendre et cliquez sur Ajouter ou sur OK.


VMware, Inc. 340

g Dans Adresse de la passerelle d'optimisation de sortie (Egress Optimization Gateway Address), entrez l'adresse IP de passerelle des sous-interfaces ou les adresses IP vers lesquelles le trafic ne doit pas être acheminé via le tunnel.

h (Facultatif) Cochez la case Réseaux non étirés (Unstretched Networks) lorsque vous voulez que les machines virtuelles sur les réseaux non étirés communiquent avec les machines virtuelles qui se trouvent derrière le dispositif Edge serveur VPN L2 sur le réseau étiré. De plus, vous voulez que cette communication soit routée via le même tunnel VPN L2. Les sous-réseaux non étirés peuvent se trouver derrière le dispositif Edge serveur VPN L2, le dispositif Edge client VPN L2 ou les deux.

Par exemple, imaginez que vous avez créé un tunnel VPN L2 pour étirer le sous-réseau 192.168.10.0/24 entre deux sites de centre de données à l'aide du service VPN L2 de NSX.

Derrière le dispositif Edge serveur VPN L2, vous disposez de deux sous-réseaux supplémentaires (par exemple, 192.168.20.0/24 et 192.168.30.0/24). Lorsque des réseaux non étirés sont activés, les machines virtuelles sur des sous-réseaux 192.168.20.0/24 et 192.168.30.0/24 peuvent communiquer avec les machines virtuelles qui se trouvent derrière le dispositif Edge serveur VPN L2 sur le réseau étendu (192.168.10.0/24). Cette communication est acheminée via le même tunnel VPN L2.

i Si vous avez activé les réseaux non étendus, procédez comme suit en fonction de l'emplacement des sous-réseaux non étendus :

n Lorsque des sous-réseaux non étirés se trouvent derrière le dispositif Edge serveur VPN L2, entrez l'adresse réseau du réseau non étiré au format CIDR tout en configurant le dispositif Edge client VPN L2. Pour entrer plusieurs réseaux non étirés, séparez les adresses de réseau par des virgules.

n Lorsque des sous-réseaux non étirés se trouvent derrière le dispositif Edge client VPN L2, laissez la zone de texte Réseaux non étirés (Unstretched Networks) vide. En d'autres termes, n'entrez pas l'adresse réseau des réseaux non étirés sur le dispositif Edge client VPN L2.

Dans l'exemple précédent, comme les sous-réseaux non étirés se trouvent derrière le dispositif Edge serveur VPN L2, vous devez entrer les réseaux non étirés sous la forme 192.168.20.0/24, 192.168.30.0/24 lors de la configuration du dispositif Edge client

VPN L2.

j Dans Détails utilisateur (User Details), tapez les informations d'identification de l'utilisateur lui permettant de s'authentifier auprès du serveur.


VMware, Inc. 341

8 Cliquez sur l'onglet Avancé (Advanced) et spécifiez les détails de l'autre client.

a (Facultatif) Activez uniquement les connexions de proxy sécurisées.

Lorsqu'un client NSX Edge ne dispose pas d'un accès direct à Internet et doit atteindre le dispositif NSX Edge source (serveur) via un serveur proxy, vous devez spécifier les paramètres du serveur proxy.

b Entrez l'adresse, le port, le nom d'utilisateur et le mot de passe du serveur proxy.

c Pour activer la validation du certificat du serveur, sélectionnez Valider le certificat du serveur (Validate Server Certificate) et sélectionnez le certificat d'autorité de certification approprié.

d Cliquez sur Enregistrer ou sur OK, puis cliquez sur Publier les modifications (Publish Changes).

Étape suivante

Vérifiez que le pare-feu connecté à Internet autorise le trafic à circuler entre le dispositif Edge VPN L2 et Internet. Le port de destination est 443.

Activer le service VPN de niveau 2 (L2) sur le client

Vous devez activer le service VPN de niveau 2 (L2) sur le client VPN de niveau 2 (L2) (NSX Edge source).

Procédure



3 Double-cliquez sur le dispositif NSX Edge que vous avez configuré en mode client VPN L2.


5 En regard de État du service VPN L2 (L2 VPN Service Status), cliquez sur Démarrer (Start).

Étape suivante

n Pour permettre au client et au serveur de se connecter l'un à l'autre, créez des règles NAT ou de pare-feu du côté du pare-feu accessible depuis Internet.

n Si une carte réseau virtuelle (vNIC) de jonction bénéficiant d'un groupe de ports standard est en cours d'extension, activez manuellement le trafic de VPN L2 en procédant comme suit :

a Donnez à l'option Mode Promiscuité (Promiscuous mode) la valeur Accepter (Accept).

b Donnez à l'option Transmissions forcées (Forged Transmits) la valeur Accepter (Accept).

Pour plus d'informations sur le fonctionnement du mode Proximité et les transmissions forgées, consultez la section Sécuriser les commutateurs vSphere standard dans la documentation de VMware vSphere ® .


VMware, Inc. 342

Afficher des statistiques de VPN L2

Vous pouvez afficher les statistiques du tunnel VPN L2, comme l'état du tunnel, les octets envoyés et reçus ainsi que d'autres statistiques, sur les dispositifs Edge serveur et client VPN L2.

Procédure

1 Affichez les statistiques sur le dispositif Edge client VPN L2.

a Double-cliquez sur le dispositif NSX Edge que vous avez configuré en mode client VPN L2.

b Cliquez sur Gérer > VPN > VPN L2.

c Développez la section Statut du tunnel, puis cliquez sur l'icône Actualiser pour afficher les statistiques du tunnel.

2 Affichez les statistiques sur le dispositif Edge serveur VPN L2.

a Double-cliquez sur le dispositif NSX Edge que vous avez configuré en mode serveur VPN L2.

b Accédez à la page VPN L2.

c Dans la section Détails de la configuration du site, cliquez sur le lien Afficher les statistiques ou Afficher les statistiques L2VPN (Show L2VPN Statistics).

Les statistiques de tous les sites homologues qui sont configurés sur le serveur VPN L2 s'affichent.

Étape suivante

Pour afficher les réseaux configurés sur une interface de jonction, accédez à Gérer (Manage) > Paramètres (Settings) > Interfaces correspondant au dispositif Edge, puis cliquez sur Relier (Trunk) dans la colonne Type.

VPN L2 sur IPSec

À partir de NSX Data Center 6.4.2, vous pouvez étendre vos réseaux de couche 2 entre deux sites avec le service VPN L2 sur IPSec. Avant de configurer le service VPN L2 sur IPSec, vous devez tout d'abord créer un tunnel VPN IPSec basé sur le routage. Vous consommez ensuite ce tunnel VPN IPSec basé sur le routage pour créer un tunnel VPN L2 entre les deux sites.

Il n'est pas possible de créer et de modifier un tunnel VPN IPSec basé sur l'itinéraire à l'aide de vSphere Web Client. Vous devez utiliser les REST API de NSX. Pour plus d'informations sur la création de tunnels VPN IPSec basés sur le routage, consultez le Guide des API de NSX.

Workflow de configuration d'un service VPN L2 sur IPSec

Vous devez utiliser les API REST de NSX pour configurer le service VPN L2 sur IPSec sur le serveur et le client Edge.


VMware, Inc. 343

Commencez par configurer le service VPN L2 en mode serveur (hub) sur le dispositif NSX Edge en procédant comme suit. Le dispositif Edge que vous configurez en mode serveur doit être un dispositif NSX Edge.

1 Créez un tunnel VPN IPSec basé sur le routage avec le dispositif Edge que vous souhaitez configurer en tant que serveur (hub) VPN L2. Un ID de site est généré automatiquement lorsque vous créez le tunnel.

2 Créez un tunnel VPN L2 pour un client, puis liez ce tunnel VPN L2 à l'ID de site généré à l'étape 1.

3 Récupérez le code d'homologue de ce client. Ce code d'homologue devient le code d'entrée (code partagé) permettant de configurer le service VPN L2 sur le client Edge.

4 Activez le service VPN L2 sur IPSec.

Si vous souhaitez étendre le réseau L2 avec d'autres sites, répétez les trois étapes précédentes sur le serveur pour les clients VPN L2 d'autres sites.

Configurez à présent le service VPN L2 en mode client (spoke) sur un autre dispositif Edge en procédant comme suit. Ce dispositif Edge peut être géré par NSX ou autonome.

1 Créez un tunnel VPN IPSec basé sur le routage avec les mêmes paramètres que ceux utilisés pour configurer le tunnel VPN IPSec basé sur le routage sur le serveur Edge.

2 Configurez le dispositif Edge en mode spoke.

3 Créez un tunnel VPN L2 à l'aide de l'ID de site généré sur le serveur et du code d'homologue récupéré à partir du serveur.

4 Activez le service VPN L2 sur IPSec.

Dispositif Edge autonome en tant que client VPN L2

Avec NSX, vous pouvez configurer des connexions VPN L2 avec des périphériques Edge ou des dispositifs virtuels Edge sur le site client, que NSX soit déployé ou non sur les sites clients.

Les dispositifs Edge déployés sur un site client où NSX n'est pas déployé sont appelés dispositifs Edge autonomes. Un dispositif Edge autonome est déployé à l'aide d'un fichier OVF sur un hôte non géré par NSX.

Configurer un dispositif Edge autonome en tant que client VPN de niveau 2Si l'un des sites que vous souhaitez étendre n'est pas sauvegardé sur NSX, vous pouvez déployer un dispositif Edge autonome en tant que client VPN de niveau 2 sur ce site.

Pour changer le mode FIPS sur un dispositif Edge autonome, exécutez la commande fips enable ou fips disable. Pour plus d'informations, consultez la Référence de l'interface de ligne de commandes de NSX.


VMware, Inc. 344

Vous pouvez déployer une paire de clients Edge L2VPN autonomes et activer HA entre eux pour la prise en charge de la redondance du VPN. Les deux clients Edge VPN L2 autonomes sont appelés nœud 0 et nœud 1. Il n'est pas obligatoire de spécifier des paramètres de configuration HA sur les deux dispositifs Edge L2VPN autonomes au moment du déploiement. Toutefois, vous devez activer HA au moment du déploiement.

Les étapes de la procédure suivante s'appliquent lorsque vous souhaitez déployer le dispositif Edge autonome en tant que client VPN L2 pour acheminer le trafic via un tunnel SSL ou un tunnel VPN IPSec.


Vous avez créé un groupe de ports de jonction pour l'interface de jonction du dispositif Edge autonome auquel se connecter. Ce groupe de ports requiert une configuration manuelle :

n Si le groupe de ports de jonction est situé sur un commutateur vSphere standard, procédez ainsi :

n Activez les transmissions forgées.

n Activez le mode Proximité.

Reportez-vous au Guide de mise en réseau vSphere.

n Si le groupe de ports de jonction est situé sur un vSphere Distributed Switch, procédez ainsi :

n Activez les transmissions forgées. Reportez-vous au Guide de mise en réseau vSphere.

n Activez le port de réception pour la vNic de jonction ou le mode promiscuité. Il est recommandé d'activer un port de réception.

Le port de réception doit être configuré après le déploiement du dispositif Edge autonome, car vous devez modifier la configuration du port connecté à la vNIC de jonction du dispositif Edge.

Procédure

1 Connectez-vous à l'aide de vSphere Web Client à l'instance de vCenter Server qui gère l'environnement non-NSX.

2 Sélectionnez les Hôtes et clusters (Hosts and Clusters), puis développez les clusters pour afficher les hôtes disponibles.

3 Cliquez avec le bouton droit sur l'hôte sur lequel vous souhaitez installer le dispositif Edge autonome et sélectionnez Déployer le modèle OVF (Deploy OVF Template).

4 Entrez l'URL pour télécharger et installer le fichier OVF à partir d'Internet ou cliquez sur Parcourir (Browse) pour accéder au dossier de l'ordinateur qui contient le fichier OVF Edge autonome, puis cliquez sur Suivant (Next).

5 Sur la page Détails de modèle OVF, vérifiez les détails du modèle et cliquez sur Suivant (Next).


VMware, Inc. 345

6 Sur la page Sélectionner un nom et un dossier, saisissez un nom pour le dispositif Edge autonome et sélectionnez le dossier ou le centre de données dans lequel vous souhaitez effectuer le déploiement. Cliquez ensuite sur Suivant (Next).

7 Sur la page Sélectionner un stockage, sélectionnez l'emplacement dans lequel stocker les fichiers du modèle déployé.

8 Sur la page Sélectionner les réseaux, configurer les réseaux que le modèle déployé doit utiliser. Cliquez sur Suivant (Next).

n L'interface publique est l'interface de liaison montante.

n L'interface de jonction est utilisée pour créer des sous-interfaces pour les réseaux qui seront étendus. Connectez cette interface au groupe de ports de jonction créé.

n L'interface HA est utilisée pour configurer la haute disponibilité sur les dispositifs Edge L2VPN autonomes. Sélectionnez un groupe de ports distribués pour l'interface HA.

9 Sur la page Personnaliser le modèle, spécifiez les valeurs suivantes.

a Composez et confirmez le mot de passe administrateur de l'interface de ligne de commande.

b Composez et confirmez le mot de passe d'activation de l'interface de ligne de commande.

c Composez et confirmez le mot de passe racine de l'interface de ligne de commande.

d Tapez l'adresse IP de liaison montante, la longueur de préfixe et, facultativement, la passerelle par défaut et l'adresse IP du DNS.

e Sélectionnez le chiffrement à utiliser pour l'authentification. La valeur sélectionnée doit correspondre au chiffrement utilisé sur le serveur VPN L2.

Note Effectuez cette étape uniquement lorsque vous souhaitez configurer un VPN L2 sur SSL.

f Pour activer l'optimisation de sortie, tapez les adresses IP de la passerelle pour laquelle le trafic doit être acheminé localement ou pour laquelle le trafic doit être bloqué dans le tunnel.

g (Facultatif) Cochez la case Activer le réglage libre TCP lorsque vous souhaitez que la connexion TCP existante (par exemple, une session SSH) sur la VM sur VPN L2 reste active après la migration de la VM.

Ce réglage est désactivé par défaut. Lorsque ce paramètre est désactivé, la connexion TCP existante sur la VM sur VPN L2 est perdue après la migration de la VM. Vous devez ouvrir une nouvelle connexion TCP sur la VM une fois la migration effectuée.

h Pour activer la haute disponibilité sur le dispositif Edge L2VPN autonome, cochez la case Activer la haute disponibilité pour ce dispositif (Enable High Availability for this appliance).

i (Facultatif) Tapez l'adresse IP du premier dispositif Edge L2VPN autonome (nœud 0). L'adresse IP doit se trouver dans le sous-réseau IP /30.


VMware, Inc. 346

j (Facultatif) Tapez l'adresse IP du second dispositif Edge L2VPN autonome (nœud 1). L'adresse IP doit se trouver dans le sous-réseau IP /30.

k (Facultatif) Sur le dispositif nœud 0, sélectionnez 0 pour attribuer l'adresse IP du nœud 0 pour l'interface HA. De même, sur le dispositif nœud 1, sélectionnez 1 pour que l'adresse IP du nœud 1 soit utilisée pour l'interface HA.

l (Facultatif) Spécifiez un nombre entier pour la durée d'intervalle d'inactivité en secondes. Par exemple, tapez 15.

Note Si vous spécifiez des paramètres de configuration HA lors du déploiement d'un client Edge VPN L2 autonome, la VM du dispositif Edge autonome obtient un état HA en veille jusqu'à ce que HA soit entièrement configurée. Cela signifie que les interfaces réseau sur la VM du dispositif Edge sont désactivées. Assurez-vous de définir les nœuds homologues HA pour créer les dispositifs actifs et en veille. Pour des instructions détaillées, reportez-vous à la section Configurer HA sur des clients L2VPN autonomes.

m Tapez l'adresse et le port du serveur VPN de niveau 2.

Si vous configurez le client VPN L2 de sorte qu'il achemine le trafic via le tunnel VPN IPSec, vous devez spécifier l'adresse IP du site homologue et le code de l'homologue.

n Tapez le nom d'utilisateur et le mot de passe avec lesquels le site homologue doit être authentifié.

Note Effectuez cette étape uniquement lorsque vous souhaitez configurer un VPN L2 sur SSL.

o Dans les sous-interfaces VLAN (ID de tunnel), tapez le ou les ID de VLAN des réseaux que vous souhaitez étendre. Vous pouvez répertorier les ID de VLAN sous forme de liste séparée par des virgules ou de plage. Par exemple, 2,3,10-20.

Si vous souhaitez modifier l'ID de VLAN du réseau avant d'étendre celui-ci au site Edge autonome, tapez l'ID de VLAN du réseau, puis l'ID de tunnel entre parenthèses. Par exemple, 2(100),3(200). L'ID de tunnel permet de mapper les réseaux en cours d'étirement. En revanche, vous ne pouvez pas spécifier l'ID de tunnel avec une plage. Par exemple, ce qui suit n'est pas autorisé : 10(100)-14(104). Vous devez le réécrire ainsi : 10(100),11(101),12(102),13(103),14(104).

p Si le dispositif Edge autonome ne dispose pas d'un accès direct à Internet et doit atteindre le dispositif NSX Edge source (serveur) via un serveur proxy, tapez l'adresse, le port, le nom d'utilisateur et le mot de passe du proxy.

q Si une autorité de certification racine est disponible, vous pouvez la coller dans la section Certificat.

r Cliquez sur Suivant (Next).

10 Dans la page Prêt à terminer, passez en revue les paramètres du dispositif Edge autonome et cliquez sur Terminer (Finish).


VMware, Inc. 347

Étape suivante

n Mettez sous tension le dispositif Edge autonome.

n Notez le numéro de port de la vNIC de jonction et configurez le port de réception. Reportez-vous à la section Configurer un port de réception.

n Si vous avez spécifié des paramètres de configuration HA, tels que l'adresse IP HA, la valeur d'index HA et la durée d'intervalle d'inactivité lors du déploiement des dispositifs Edge L2VPN autonomes, vous pouvez valider la configuration HA sur la console des nœuds déployés avec la commande show configuration.

n Si vous n'avez pas spécifié les paramètres de configuration HA pendant le déploiement, vous pouvez le faire plus tard depuis la console NSX Edge en exécutant la commande ha set-config sur chaque nœud.

Effectuez toute modification de configuration supplémentaire au moyen de l'interface de ligne de commande du dispositif Edge autonome. Reportez-vous à Référence de l'interface de ligne de commandes de NSX.

Configurer HA sur des clients L2VPN autonomes

Connectez-vous à la console NSX Edge de dispositifs Edge L2VPN autonomes pour spécifier les paramètres de configuration HA et établir HA entre les deux dispositifs Edge L2VPN.

Vous avez déployé deux clients Edge L2VPN autonomes appelés L2VPN-Client-01 et L2VPN-Client-02 avec la même configuration. L'adresse de sous-réseau IP /30 de L2VPN-Client-01 est 192.168.1.1 et celle de L2VPN-Client-02 est 192.168.1.2. Dans cette rubrique, Node-1 fait référence à L2VPN-Client-01 et Node-2 à L2VPN-Client-02.


n Activez HA sur les deux dispositifs Edge L2VPN.

n Assurez-vous que les paramètres de configuration de HA, tels que l'adresse IP HA, la valeur d'index HA et la durée d'intervalle d'inactivité, sont configurés sur les deux nœuds.

n Vérifiez que les deux clients Edge L2VPN autonomes disposent de la même configuration VPN.

Procédure

1 Connectez-vous à chaque nœud et exécutez la commande ha get-local node sur les deux

nœuds individuellement afin de récupérer les adresses MAC des trois cartes d'interface vNIC.

Par exemple, sur Node-1 :

nsx-l2vpn-edge(config)# ha get-localnode00:50:56:90:12:ea 00:50:56:90:97:ca 00:50:56:90:d9:69


VMware, Inc. 348


nsx-l2vpn-edge(config)# ha get-localnode00:50:56:90:1c:75 00:50:56:90:34:c1 00:50:56:90:36:80

2 Exécutez la commande ha set-peernode sur les deux nœuds individuellement afin

d'attribuer l'adresse MAC de Node-1 à Node-2 et l'adresse MAC de Node-2 à Node-1.

Par exemple, attribuez l'adresse MAC de Node-2 à Node-1 :

nsx-l2vpn-edge(config)# ha set-peernode 00:50:56:90:1c:75 00:50:56:90:34:c1 00:50:56:90:36:80

Par exemple, attribuez l'adresse MAC de Node-1 à Node-2 :

nsx-l2vpn-edge(config)# ha set-peernode 0:50:56:90:12:ea 00:50:56:90:97:ca 00:50:56:90:d9:69

3 Pour démarrer HA, exécutez la commande ha admin-state UP sur chaque nœud.

Par exemple, sur Node-1 et Node-2 :

nsx-l2vpn-edge(config)# ha admin-state UP

Note Veillez à taper UP en majuscules, comme indiqué dans l'exemple.

4 Exécutez la commande commit sur les deux nœuds individuellement pour enregistrer la

configuration HA et établir HA entre Node-1 et Node-2.

Par exemple, sur Node-1 et Node-2 :

nsx-l2vpn-edge(config)# commitHigh Availability Feature is enabled on this appliance. Please make sure to makesimilar configuration on paired Standalone Edge appliance.

Résultats

La configuration HA est enregistrée sur les deux nœuds et HA est établi entre les nœuds.

Étape suivante

Connectez-vous à chaque nœud et vérifiez l'état de HA en exécutant la commande show service highavailability sur les deux nœuds.

L'interface de ligne de commande sur le nœud L2VPN-Client-01 indique la sortie suivante :


VMware, Inc. 349

L'état HA de L2VPN-Client-1 est actif

L'état d'accessibilité du nœud homologue 192.168.1.2 est actif

L'interface de ligne de commande sur le nœud L2VPN-Client-02 indique la sortie suivante :


VMware, Inc. 350

L'état HA de L2VPN-Client-2 est en veille

L'état d'accessibilité du nœud homologue 192.168.1.1 est actif

À tout moment, si vous voulez vérifier l'état du lien de HA, exécutez la commande show service highavailability link sur chaque nœud. Cette commande répertorie les adresses de sous-

réseau IP /30 locales et homologues que vous avez configurées lors du déploiement des nœuds L2VPN autonomes.


nsx-l2vpn-edge> show service highavailability linkLocal IP address: 192.168.1.1/30Peer IP Address: 192.168.1.2/30

Approches pour désactiver HA sur les dispositifs Edge L2VPN autonomes

NSX fournit deux approches pour désactiver HA sur des dispositifs Edge L2VPN autonomes.

Supposons que vous avez déployé deux dispositifs Edge L2VPN autonomes appelés L2VPN-Client-1 et L2VPN-Client-2, et que vous avez établi HA entre ces deux dispositifs. L2VPN-Client-1 est le dispositif actif et L2VPN-Client-2 est le dispositif en veille.

Dans la première approche, vous pouvez effectuer les étapes suivantes pour désactiver HA :

1 Supprimez ou mettez hors tension le dispositif en veille (L2-VPN-Client-2) directement.

2 Connectez-vous à la console du dispositif actif (L2-VPN-Client-1) et exécutez la commande ha disable.


VMware, Inc. 351

L'avantage de cette approche est que le temps de basculement HA est minimal. Toutefois, cette approche présente les limites suivantes :

n Vous devez mettre hors tension le dispositif L2VPN en veille manuellement.

n Cette approche peut entraîner une situation de double état actif. Par exemple, vous pouvez oublier de mettre hors tension le dispositif en veille et le démarrer. Cela peut entraîner l'activation des deux dispositifs L2VPN.

Dans la seconde approche, vous pouvez effectuer les étapes suivantes pour désactiver HA :

1 Supprimez ou mettez hors tension l'un ou l'autre des dispositifs L2VPN, celui actif ou celui en veille.

2 Connectez-vous à la console de l'autre dispositif et exécutez la commande ha disable pour

désactiver la fonctionnalité HA sur ce dispositif.

Dans la seconde approche également, le temps de basculement HA est minimal. Toutefois, la seconde approche présente les limites suivantes :

n Vous devez mettre hors tension le dispositif L2VPN manuellement.

n Cette approche peut également mener à une situation de double état actif. Par exemple, vous pouvez oublier de mettre hors tension le dispositif et le démarrer. Cela peut entraîner l'activation des deux dispositifs L2VPN.

n Le service est interrompu lorsque vous supprimez le dispositif actif, car le basculement HA peut ne pas se produire immédiatement pour activer le dispositif en veille.

Remplacer un client L2VPN autonome ayant échoué

Si un client L2VPN autonome a échoué ou est tombé en panne, vous pouvez remplacer ce dispositif échoué en déployant un nouveau client L2VPN autonome et configurer ce dispositif qui vient d'être déployé à partir de la console NSX Edge.

Supposons que vous avez déjà déployé deux dispositifs clients L2VPN autonomes appelés L2VPN-Client-01 et L2VPN-Client-02, et activé HA sur les deux dispositifs. Le nœud L2VPN-Client-01 a échoué ou est tombé en panne. Pour remplacer ce nœud ayant échoué, vous déployez un nouveau dispositif client L2VPN autonome appelé L2VPN-Client-Replace et spécifiez la même configuration de VPN que le nœud actif.

Procédure

1 Connectez-vous à la console du nœud actif (L2VPN-Client-02) et consultez son index HA.

2 Exécutez la commande ha get-localnode sur le nœud L2VPN-Client-02 pour récupérer

les adresses MAC de vNIC et copiez la sortie d'interface de ligne de commande de cette commande.


VMware, Inc. 352

3 Déployez un nouveau dispositif client L2VPN autonome et nommez-le L2VPN-Client-Replace. Pendant le déploiement, veillez à spécifier les détails suivants :

a Activez la fonctionnalité HA.

b Tapez l'adresse IP HA correcte pour le nœud 0 et le nœud 1. Les adresses IP doivent se trouver dans le sous-réseau IP /30.

c Sélectionnez la valeur d'index HA.

n Si le nœud avec l'index HA 1 a échoué, sélectionnez 0 pour l'index HA du dispositif L2VPN-Client-Replace.

n Si le nœud avec l'index HA 0 a échoué, sélectionnez 1 pour l'index HA du dispositif L2VPN-Client-Replace.

4 Connectez-vous à la console du nouveau dispositif L2VPN-Client-Replace et procédez comme suit :

a Exécutez la commande ha set-peernode et définissez l'adresse MAC du nœud

homologue (L2VPN-Client-02).

b Exécutez la commande ha get-localnode et copiez la sortie d'interface de ligne de

commande de cette commande.

5 Connectez-vous à la console du nœud actif (L2VPN-Client-02) et exécutez la commande ha set-peernode pour définir les adresses MAC de vNIC du dispositif qui vient d'être déployé

(L2VPN-Client-Replace).

6 Enfin, exécutez la commande commit sur les dispositifs L2VPN-Client-02 et L2VPN-Client-

Replace.

Scénario : ajouter un réseau VLAN ou VXLAN étendu

L'entreprise ACME Enterprise dispose de deux centres de données privés : « site A » et « site B ». NSX Data Center est déployé sur les deux centres de données. En tant qu'administrateur de NSX, vous souhaitez migrer les charges de travail (applications) du site A vers le site B en étendant les réseaux VLAN sur le site A aux réseaux VXLAN sur le site B.

NSX L2 VPN prend en charge l'optimisation de sortie en utilisant la même adresse IP de passerelle sur les deux sites. Ce scénario utilise la fonctionnalité d'optimisation de sortie et s'assure que les adresses IP des applications ne changent pas après la migration.

La figure suivante illustre la topologie logique d'extension des réseaux entre deux sites à l'aide du service VPN L2 sur les dispositifs NSX Edge.


VMware, Inc. 353


VPN


Routeurspar défaut

Réseaude couche 3

NSX Edge

Site A : Réseau reposant sur VLAN Site B : Réseau reposant sur VXLAN

VLAN 10-11de vNICde jonction

VM 1 VM 2 VM 3 VM 4

VLAN 10 VLAN 11

NSX

NSX


VPN

Serveur SSL / Homologue IPSec

NSX Edge

JonctionVXLAN de

vNIC VXLAN 5010

VM 5 VM 6

VM 7 VM 8

VXLAN 5011

Le service VPN L2 sur le dispositif NSX Edge sur le site A est configuré en mode « client » et le service VPN L2 sur le dispositif NSX Edge sur le site B est configuré en mode « serveur ». En tant qu'administrateur, votre objectif consiste à créer un tunnel VPN L2 et à effectuer une extension de couche 2 entre les sites A et B, par exemple :

n L'ID de tunnel 200 étend le réseau VLAN 10 sur le site A au réseau VXLAN 5010 sur le site B.

n L'ID de tunnel 201 étend le réseau VLAN 11 sur le site A au réseau VXLAN 5011 sur le site B.

La figure suivante illustre la représentation logique de l'extension de couche 2 entre les deux sites.


VMware, Inc. 354

machine virtuelle

machinevirtuelle

machinevirtuelle

machinevirtuelle

NSX Edge

Client VPN L2

NSX Edge

ID de tunnel : 200Extension de couche 2

ID de tunnel : 201VLAN 11

VLAN 10

VXLAN 5011

VXLAN 5010

Extension de couche 2

Serveur VPN L2

Mémoriser Dans ce scénario, les deux sites possèdent des dispositifs gérés par NSX. Pour effectuer une extension de couche 2 entre deux sites, le dispositif Edge qui est configuré en mode « serveur » doit être un dispositif NSX Edge. Cependant, le dispositif Edge qui est configuré en mode « client » peut être un dispositif NSX Edge ou un dispositif Edge autonome, qui n'est pas géré par NSX.

Si le site du client utilise un dispositif Edge autonome, vous pouvez étendre uniquement les réseaux VLAN sur le site du client avec les réseaux VLAN ou VXLAN sur le site du serveur.

Vous pouvez effectuer une extension de couche 2 en configurant le service VPN L2 sur SSL ou en configurant le service VPN L2 sur IPSec. La procédure suivante décrit les étapes d'extension des réseaux de couche 2 à l'aide du service VPN L2 sur SSL.

Procédure

1 Accédez au dispositif Edge VPN L2 sur le site B et configurez une interface vnic de type « jonction ». Ajoutez deux sous-interfaces sur cette interface.

Pour des instructions détaillées sur la configuration d'une interface sur le dispositif Edge et l'ajout de sous-interfaces, reportez-vous à la section Configurer une interface .

Par exemple, dans ce scénario, configurez « vnic 1 » sur le dispositif Edge serveur pour vous connecter à un groupe de ports distribués. Ajoutez des sous-interfaces qui se connectent aux commutateurs logiques avec les VNI 5010 et 5011. Chaque sous-interface doit disposer d'un ID de tunnel unique. Le tableau suivant illustre la configuration de la sous-interface sur le dispositif Edge serveur VPN L2.

Tableau 15-9. Sous-interfaces sur l'interface vnic 1 du dispositif Edge serveur VPN L2

Nom Adresses IP Réseau VNI ID de tunnel État

sub_vxlan1 192.168.10.10/24 VXLAN-Réseau1 5010 200 Connecté

sub_vxlan2 192.168.100.10/24

VXLAN-Réseau2 5011 201 Connecté


VMware, Inc. 355

2 Accédez au dispositif Edge VPN L2 sur le site A et configurez une interface vnic de type « jonction ». Ajoutez deux sous-interfaces sur cette interface.

Par exemple, dans ce scénario, configurez « vnic 2 » sur le dispositif Edge client pour vous connecter à un groupe de ports standard. Ajoutez des sous-interfaces qui se connectent aux VLAN 10 et 11. Les ID de tunnel sur le dispositif Edge client doivent correspondre aux ID de tunnel que vous avez spécifiés sur le dispositif Edge serveur. Le tableau suivant illustre la configuration de la sous-interface sur le dispositif Edge client VPN L2.

Tableau 15-10. Sous-interfaces sur l'interface vnic 2 du dispositif Edge serveur VPN L2

Nom Adresses IP VLAN ID de tunnel État

sub_vlan1 192.168.10.10/24 10 200 Connecté

sub_vlan2 192.168.100.10/24 11 201 Connecté

3 Configurez le dispositif Edge VPN L2 sur le site B.

a Définissez le mode VPN L2 en tant que Serveur.

b Spécifiez les paramètres de configuration globale.

Pour des instructions détaillées sur la configuration du serveur VPN L2, reportez-vous à la section Configurer un serveur VPN de niveau 2 (L2).

c Dans Détails de configuration du site, cliquez sur Ajouter et spécifiez la configuration du site (homologue) du client VPN L2.

Pour des instructions détaillées sur l'ajout de sites homologues de VPN L2, reportez-vous à la section Ajouter les sites homologues.

Par exemple, dans ce scénario, effectuez la configuration du site homologue suivante :

n Ajoutez un site homologue portant le nom « site-A ». Sélectionnez l'interface de jonction « vnic 1 » sur le dispositif Edge serveur, et ajoutez les deux sous-interfaces « sub_vxlan1 » et « sub_vxlan2 » comme réseaux étendus. Assurez-vous d'activer le site homologue. Le tableau suivant illustre les sous-interfaces (interfaces étendues) sur le site-A homologue.

Tableau 15-11. Sous-interfaces sur le site-A homologue

NomIndex parent Nom parent Adresses IP Réseau VNI ID de tunnel

sub_vxlan1 1 vnic1 192.168.10.10/24

VXLAN-Réseau1

5010 200

sub_vxlan2 1 vnic1 192.168.100.10/24

VXLAN-Réseau2

5011 201

n Dans la zone de texte Adresse de la passerelle d'optimisation de sortie, entrez 192.168.10.10,192.168.100.10.


VMware, Inc. 356

d Démarrez le service VPN L2 sur le dispositif Edge serveur.

e Publiez les modifications.

4 Configurez le dispositif Edge VPN L2 sur le site A.

a Définissez le mode VPN L2 en tant que Client.

b Spécifiez les paramètres Configuration de la journalisation et Configuration globale.

Pour des instructions détaillées sur la configuration du client VPN L2, reportez-vous à la section Configurer un client VPN de niveau 2 (L2).

Par exemple, dans ce scénario, effectuez la configuration suivante sur le client VPN L2 :

n Sélectionnez l'interface de jonction « vnic 2 » sur le dispositif Edge client, et ajoutez les deux sous-interfaces « sub_vlan1 » et « sub_vlan2 » comme réseaux étendus. Le tableau suivant illustre la configuration des sous-interfaces (interfaces étendues) sur le dispositif Edge client VPN L2.

Tableau 15-12. Interfaces étendues sur le dispositif Edge client VPN L2

Nom Index parent Nom parent Adresses IP VLAN ID de tunnel

sub_vlan1 2 vnic2 192.168.10.10/24

10 200

sub_vlan2 2 vnic2 192.168.100.10/24

11 201

n Dans la zone de texte Adresse de la passerelle d'optimisation de sortie, entrez 192.168.10.10,192.168.100.10.

c Démarrez le service VPN L2 sur le dispositif Edge client.

d Publiez les modifications.

Résultats

Le tunnel VPN L2 est établi entre le site A et le site B. Vous pouvez à présent migrer les charges de travail entre les deux sites à l'aide des réseaux de couche 2 étendus.

Étape suivante

Sur le dispositif Edge serveur et le dispositif Edge client VPN L2 :

n Vérifiez que l'état du tunnel VPN L2 est « Actif ».

n Affichez les statistiques du tunnel.

Pour des instructions détaillées, reportez-vous à la section Afficher des statistiques de VPN L2.

Vous pouvez également vous connecter à la console CLI du dispositif Edge serveur et du dispositif Edge client VPN L2 et vérifier l'état du tunnel en exécutant la commande show service l2vpn.

Pour plus d'informations sur cette commande, consultez le NSX Guide de référence de l'interface de ligne de commande.


VMware, Inc. 357

Scénario : Supprimer un réseau VLAN ou VXLAN étendu

Dans ce scénario, votre objectif est de supprimer l'extension de couche 2 qui étend le réseau VLAN 10 sur le site A au réseau VXLAN 5010 sur le site B.


Assurez-vous d'avoir configuré l'extension de couche 2 entre les réseaux VLAN (ID de VLAN : 10, 11) sur le site A aux réseaux VXLAN (VNI : 5010, 5011) sur le site B. Reportez-vous à la section Scénario : ajouter un réseau VLAN ou VXLAN étendu.

Procédure


2 (Requis) Accédez au dispositif Edge du client VPN L2 sur le site A et arrêtez le service VPN L2.

3 (Requis) Accédez au dispositif Edge du serveur VPN L2 sur le site B et arrêtez le service VPN L2.

4 Sur le dispositif Edge du serveur VPN L2, supprimez la sous-interface « sub_vxlan1 » sur l'interface de jonction « vnic1 ».

a Accédez aux paramètres de l'interface Edge en cliquant sur Gérer > Paramètres > Interfaces.

b Sélectionnez l'interface vnic1 et cliquez sur l'icône Modifier ( ou ).

c Dans Sous-interfaces, sélectionnez sub_vxlan1, puis cliquez sur l'icône Supprimer ( ou

).

d Cliquez sur Enregistrer ou sur OK.

5 Sur le dispositif Edge du client VPN L2, supprimez la sous-interface « sub_vlan1 » sur l'interface de jonction « vnic2 ».

a Accédez aux paramètres de l'interface Edge en cliquant sur Gérer > Paramètres > Interfaces.

b Sélectionnez l'interface vnic2 et cliquez sur l'icône Modifier ( ou ).

c Dans Sous-interfaces, sélectionnez sub_vlan1, puis cliquez sur l'icône Supprimer ( ou

).

d Cliquez sur Enregistrer ou sur OK.

Résultats

Les sous-interfaces qui étendent le réseau VLAN 10 sur le site A au réseau VXLAN 5010 sur le site B sont supprimées.


VMware, Inc. 358

Étape suivante

n Sur le site A, accédez à la page VPN L2 du dispositif Edge client. Notez que dans Interfaces étirées, l'interface « sub_vlan1 » n'est pas affichée. L'autre interface étirée « sub_vlan2 » existe toujours.

n Sur le site B, accédez à la page VPN L2 du dispositif Edge serveur. Notez que dans les Interfaces étirées du site homologue (site-A), l'interface « sub_vxlan1 » n'est pas affichée. L'autre interface étirée « sub_vxlan2 » existe toujours.


VMware, Inc. 359

Équilibrage de charge logique 16L'équilibrage de charge NSX Edge permet un service haute disponibilité et distribue le trafic réseau sur plusieurs serveurs. Il distribue les demandes de service entrantes uniformément entre plusieurs serveurs de telle sorte que la distribution de la charge soit transparente pour les utilisateurs. L'équilibrage de charge contribue donc à obtenir une utilisation optimale des ressources, à optimiser le débit, à réduire les temps de réponse et à éviter la surcharge. NSX Edge fournit l'équilibrage de charge jusqu'à la couche 7.

Vous pouvez faire correspondre une adresse IP externe, ou publique, à un ensemble de serveurs internes pour l'équilibrage de charge. L'équilibrage de charge accepte les demandes TCP, UDP, HTTP ou HTTPS sur l'adresse IP externe et décide du serveur interne à utiliser. Le port 80 est le port par défaut pour HTTP et le port 443 est le port par défaut pour HTTPS.

Vous devez disposer d'une instance de NSX Edge opérationnelle avant de pouvoir configurer l'équilibrage de charge. Pour obtenir des informations sur la configuration de NSX Edge, reportez-vous à Configuration de NSX Edge.

Pour plus d'informations sur la configuration d'un certificat NSX Edge, reportez-vous à Utilisation des certificats.

Les fonctionnalités d'équilibrage de charge de NSX sont les suivantes :

n Protocoles : TCP, UDP, HTTP, HTTPS

n Algorithmes : répétition alternée pondérée, hachage IP, URI, Least Connection

n Arrêt SSL avec accélération AES-NI

n Pontage SSL (SSL côté client + SSL côté serveur)

n Gestion des certificats SSL

n Transfert d'en-tête X pour l'identification client

n Mode transparent L4/L7

n Limitation de connexion

n Activer/désactiver des serveurs individuels (membres de pool) pour maintenance

n Méthodes de vérification de l'intégrité (TCP, UDP, HTTP, HTTPS)

n Surveillance améliorée de la vérification de l'intégrité

n Méthodes de persistance/rémanence : SourceIP, MSRDP, COOKIE, SSLSESSIONID

VMware, Inc. 360

n Mode manchot

n Mode en ligne

n Réécriture et redirection URL

n Règles d'application pour la gestion de trafic avancée

n Prise en charge rémanente des sessions HA pour l'équilibrage de charge proxy L7

n Support IPv6

n CLI d'équilibrage de charge améliorée pour dépannage

n Disponible sur toutes les versions d'une passerelle de services NSX Edge, avec une recommandation pour Extra grande ou Super grande pour le trafic de production

Topologies

Deux types de services d'équilibrage de charge doivent être configurés dans NSX : un mode manchot, ou mode proxy, et un mode en ligne, ou mode transparent.

Équilibrage de charge logique NSX : topologie en ligne

Le mode En ligne ou Transparent déploie le dispositif NSX Edge vers le trafic destiné à la batterie de serveurs. Le flux de trafic en mode Transparent est traité comme suit :

n Le client externe envoie le trafic vers l'adresse IP virtuelle (VIP) exposée par l'équilibrage de charge.

n L'équilibrage de charge (un dispositif NSX Edge centralisé) effectue uniquement le NAT de destination (DNAT) pour remplacer l'adresse IP virtuelle par l'adresse IP de l'un des serveurs déployés dans la batterie de serveurs.

n Le serveur dans la batterie de serveurs répond à l'adresse IP du client d'origine. Le trafic est à nouveau reçu par l'équilibrage de charge car il est déployé en ligne, généralement comme passerelle par défaut pour la batterie de serveurs.

n L'équilibrage de charge effectue le NAT source pour envoyer le trafic vers le client externe, en utilisant son adresse IP virtuelle comme adresse IP source.


VMware, Inc. 361

V

Phase 1

IP DST 192.168.20.20

DST 80

VLAN

192.168.20.20 TCP 80

Le trafic serveur revient toujours à SLB

Le routage consommedes ressources SLB

192.168.1.3(sélectionnée)

192.168.1.2

192.168.1.1

Commutateurlogique

(VXLAN)

Adresse du client172.30.40.7

NSX Edge Services Gateway

SRC 172.30.40.7

SRC 1025

TCP

Phase 4

IP DST 172.30.40.7

DST 1025

SRC 192.168.20.20

SRC 80

TCP

Phase 2 (DNAT)

IP DST 192.168.1.3

DST 80

SRC 172.30.40.7

SRC 1025

TCP

Phase 3

IP DST 172.30.40.7

DST 1025

SRC 192.168.1.3

SRC 80

TCP

Équilibrage de charge logique NSX : topologie One-Armed

Le mode One-Armed ou Proxy consiste à déployer un dispositif NSX Edge directement connecté au réseau logique où des services d'équilibrage de charge sont nécessaires.

n Le client externe envoie le trafic vers l'adresse IP virtuelle (VIP) exposée par l'équilibrage de charge.

n L'équilibrage de charge effectue deux conversions d'adresses sur les paquets d'origine reçus du client : le NAT de destination (DNAT) pour remplacer l'adresse IP virtuelle par l'adresse IP de l'un des serveurs déployés dans la batterie de serveurs, et le NAT source (SNAT) pour remplacer l'adresse IP du client par l'adresse IP identifiant l'équilibrage de charge proprement dit. Le SNAT est nécessaire pour forcer l'équilibrage de charge à renvoyer le trafic de la batterie de serveurs vers le client.

n Le serveur de la batterie de serveurs répond en envoyant le trafic à l'équilibrage de charge au moyen de la fonctionnalité SNAT.


VMware, Inc. 362

n L'équilibrage de charge exécute à nouveau un service NAT source et de destination pour envoyer le trafic vers le client externe, en utilisant son adresse IP virtuelle comme adresse IP source.

V

Phase 1

IP DST 192.168.1.20

DST 80

VLAN

192.168.1.20TCP 80

Insertion facile L'IP du clientn'est pas détectée

Solution pour l'en-tête HTTP X-Forwarded-For


192.168.1.2

192.168.1.1

Commutateurlogique

(VXLAN)


NSX EdgeServices Gateway

SRC 172.30.40.7

SRC 1025

TCP

Phase 4

IP DST 172.30.40.7

DST 1025

SRC 192.168.1.20

SRC 80

TCP

Phase 2 (DNAT+SNAT)

IP DST 192.168.1.3

DST 80

SRC 192.168.1.20

SRC 4099

TCP

Phase 3

IP DST 192.168.1.20

DST 4099

SRC 192.168.1.3

SRC 80

TCP

SLB


VMware, Inc. 363


n Configuration de l'équilibrage de charge

n Gestion des profils d'application

n Gestion des moniteurs de services

n Gestion des pools de serveurs

n Gestion des serveurs virtuels

n Gestion des règles d'application

n Équilibrer la charge des serveurs Web à l'aide de l'authentification NTLM

n Modes de connexion HTTP de l'équilibrage de charge

n Scénarios de configuration de l'équilibrage de charge NSX

Configuration de l'équilibrage de charge

L'équilibrage de charge NSX Edge distribue le trafic réseau sur plusieurs serveurs pour optimiser l'utilisation des ressources, assurer la redondance et répartir l'utilisation des ressources.

L'équilibrage de charge NSX prend en charge les moteurs d'équilibrage de charge de couche 4 et de couche 7. L'équilibreur de charge de couche 4 est basé sur des connexions, pour un traitement rapide des chemins. L'équilibreur de charge de couche 7 est basé sur des sockets, pour des manipulations de trafic avancées et une atténuation des DDOS pour les services back-end.

Un équilibrage de charge basé sur des connexions est implémenté sur la couche TCP et UDP. L'équilibrage de charge basé sur des connexions n'arrête pas la connexion ou ne met pas en mémoire tampon toute la demande. Il envoie le paquet directement au serveur sélectionné après avoir traité le paquet. Les sessions TCP et UDP sont conservées dans l'équilibrage de charge pour que les paquets pour une session unique soient dirigées vers le même serveur. L'équilibrage de charge basé sur des connexions est effectué via l'accélération IP virtuelle TCP et UDP, ou l'accélération IP virtuelle TCP activée.

Un équilibrage de charge basé sur des sockets est implémenté sur l'interface du socket. Deux connexions sont établies pour une seule demande : une connexion face au client et une connexion face au serveur. La connexion face au serveur est établie après la sélection du serveur. Pour l'implémentation basée sur des sockets HTTP, toute la demande est reçue avant l'envoi au serveur sélectionné avec la manipulation L7 facultative. Pour l'implémentation basée sur des sockets HTTPS, les informations d'authentification sont échangées sur la connexion face au client ou sur la connexion face au serveur. L'équilibrage de charge basé sur des sockets est le mode par défaut pour les serveurs virtuels TCP, HTTP et HTTPS.

Les concepts clés sur l'équilibrage de charge NSX sont les suivants :

Serveur virtuel


VMware, Inc. 364

Résumé d'un service d'applications, représenté par une combinaison unique d'adresse IP, de port, de protocole et de profil d'application, tel que TCP ou UDP.

Pool de serveurs

Groupe de serveurs principaux.

Membre du pool de serveurs

Représente le serveur principal en tant que membre dans un pool.

Moniteur de services

Définit comment examiner l'état de santé d'un serveur principal.

Profil d'application

Représente la configuration en matière de protocole TCP, de protocole UDP, de persistance et de certificat pour une application donnée.

Vous commencez par définir les options globales de l'équilibrage de charge, puis vous créez un pool de serveurs constitué de membres de serveurs principaux. Vous associez enfin un moniteur de services au pool pour gérer et partager les serveurs principaux de manière efficace.

Ensuite, vous créez un profil d'application pour définir le comportement d'application commun dans un équilibrage de charge, tel que client SSL, server SSL, x-forwarded-for ou persistence. La persistance envoie des demandes suivantes avec des caractéristiques semblables telles qu'une adresse IP source ou un cookie doit être distribué vers le même membre du pool, sans exécuter l'algorithme d'équilibrage de charge. Les profils d'application peuvent être réutilisés sur des serveurs virtuels.

Vous créez ensuite une règle d'application facultative pour configurer des paramètres spécifiques de l'application pour la manipulation du trafic tels que correspondre à une certaine URL ou un certain nom d'hôte pour que différentes demandes puissent être gérées par différents pools. Ensuite, vous créez un moniteur de services spécifique à votre application ou utilisez un moniteur de services créé précédemment.

Vous pouvez également créer une règle d'application pour prendre en charge les fonctionnalités avancées des serveurs virtuels de niveau 7. Certains cas d'utilisation pour les règles d'application incluent le changement de contenu, la manipulation d'en-tête, les règles de sécurité et la protection DOS.

Enfin, vous créez un serveur virtuel qui connecte ensemble votre pool de serveurs, votre profil d'application et toutes les règles d'application potentielles.

Lorsque le serveur virtuel reçoit une demande, l'algorithme d'équilibrage de charge tient compte de la configuration du membre de pool et de l'état d'exécution. L'algorithme calcule ensuite le pool approprié pour distribuer le trafic comprenant un ou plusieurs membres. La configuration du membre de pool inclut des paramètres tels que le poids, le nombre maximal de connexions et


VMware, Inc. 365

l'état de condition. L'état d'exécution inclut les connexions actuelles, le temps de réponse et les informations sur l'état de vérification de l'intégrité. Méthodes de calcul possibles : round-robin, round-robin pondéré, Least Connection, hachage IP source, Least Connection pondéré, URL, URI ou en-tête HTTP.

Chaque pool est surveillé par le moniteur de services associé. Lorsque l'équilibrage de charge détecte un problème sur un membre du pool, ce membre est marqué Inactif. Seul un serveur actif est sélectionné lorsqu'un membre de pool est choisi sur le pool de serveurs. Si le pool de serveurs n'est pas configuré avec un moniteur de services, tous les membres de pool sont considérés comme étant actifs.

Note Pour plus d'informations sur la résolution des problèmes liés à l'équilibrage de charge, reportez-vous àGuide de dépannage de NSX.

n Configurer le service d'équilibrage de charge

n Créer un moniteur de services

Vous pouvez créer un moniteur de services pour définir les paramètres de contrôle de santé pour un type de trafic réseau particulier. Lorsque vous associez un moniteur de services à un pool, les membres du pool sont surveillés en fonction des paramètres du moniteur de services.

n Ajouter un pool de serveurs

Vous pouvez ajouter un pool de serveurs pour gérer et partager les serveurs principal de manière flexible et efficace. Un pool de serveurs gère les méthodes de distribution de l'équilibrage de charge et possède un moniteur de services qui lui est attaché pour les paramètres de vérification de l'intégrité.

n Créer un profil d'application

L'application de profils vous permet de mieux maîtriser la gestion du trafic réseau en simplifiant et en rationalisant les tâches de gestion.

n Ajouter une règle d'application

Vous pouvez écrire des règles d'application côté serveur virtuel à l'aide de la syntaxe HAProxy pour manipuler et gérer le trafic d'application.

n Ajouter des serveurs virtuels

Ajoutez une interface interne ou de liaison montante NSX Edge en tant que serveur virtuel.

Configurer le service d'équilibrage de charge

Procédure





VMware, Inc. 366

4 Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Configuration globale (Global Configuration).

5 En regard de Configuration globale de l'équilibrage de charge, cliquez sur Modifier (Edit).

6 Spécifiez les paramètres de configuration globale de l'équilibrage de charge.

Option Description

Équilibrage de charge Permet à l'équilibrage de charge de NSX Edge de répartir le trafic entre des serveurs internes pour équilibrer la charge.

Accélération Lorsqu'elle est désactivée, toutes les adresses IP virtuelles (VIP) utilisent le moteur L7 LB.

Lorsqu'elle est activée, l'adresse IP virtuelle utilise le moteur L4 LB, qui est plus rapide, ou le moteur L7 LB (selon la configuration de l'adresse IP virtuelle).

L'adresse IP virtuelle L4 (« accélération activée » dans la configuration de la VIP et absence de paramètre L7 comme AppProfile avec persistance des cookies ou déchargement SSL) est traitée avant le pare-feu Edge, et aucune règle de pare-feu Edge n'est nécessaire pour atteindre l'adresse IP virtuelle. Cependant, si l'adresse IP virtuelle utilise un pool en mode non transparent, le pare-feu Edge doit être activé (pour autoriser la règle SNAT créée automatiquement).

Les adresses IP virtuelles HTTP/HTTPS L7 (« accélération désactivée » ou paramètre L7 comme AppProfile avec persistance des cookies ou déchargement SSL) sont traitées après le pare-feu Edge et nécessitent une règle d'autorisation du pare-feu Edge pour atteindre l'adresse IP virtuelle.

Remarque : pour valider le moteur LB qui sera utilisé pour chaque adresse IP virtuelle par l'équilibrage de charge NSX, exécutez la commande « show service loadbalancer virtual » dans l'interface de ligne de commande du dispositif NSX Edge (ssh ou console) et recherchez « LB PROTOCOL [L4|L7] »


VMware, Inc. 367

Option Description

Journalisation L'équilibrage de charge de NSX Edge collecte des journaux de trafic.

Vous pouvez sélectionner le niveau de journal dans le menu déroulant. Les journaux sont exportés vers le serveur Syslog configuré. Vous pouvez également utiliser la commande show log follow pour répertorier les

journaux d'équilibrage de charge.

Les options Déboguer et Infos journalisent les demandes d'utilisateur final. Les options Avertissement, Erreur et Critique ne journalisent pas les demandes d'utilisateur final. Si le journal de niveau de contrôle de NSX Edge est défini sur Déboguer ou Infos, l'équilibrage de charge journalise les statistiques sur l'équilibrage de charge, l'adresse IP virtuelle, le pool et le membre du pool toutes les minutes.

Notez que l'exécution en mode Déboguer ou Infos consomme de l'espace de CPU et de partition du journal Edge et peut avoir un faible impact sur la capacité maximale de gestion du trafic.

Activer Service Insertion Permet à l'équilibrage de charge de collaborer avec des services de fournisseurs tiers.

Si vous disposez d'un service d'équilibrage de charge de fournisseur tiers déployé dans votre environnement, reportez-vous à la section Utilisation d'un équilibrage de charge de partenaire.

Attention À partir de NSX 6.4.5, la prise en charge de l'intégration des services tiers est obsolète.

7 Cliquez sur OK.

Créer un moniteur de services

Vous pouvez créer un moniteur de services pour définir les paramètres de contrôle de santé pour un type de trafic réseau particulier. Lorsque vous associez un moniteur de services à un pool, les membres du pool sont surveillés en fonction des paramètres du moniteur de services.

Les types de moniteurs suivants sont pris en charge : ICMP, TCP, UDP, HTTP, HTTPS, DNS, MSSQL et LDAP.

Procédure




4 Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Surveillance des services (Service Monitoring).


6 Entrez un Nom (Name) pour le moniteur de services.

Intervalle, Délai d'expiration et Nombre maximal de tentatives sont des paramètres courants pour tout type de vérification de l'intégrité.


VMware, Inc. 368

7 Entrez l'Intervalle (Interval) (en secondes) auquel un serveur doit être testé.

L'intervalle est la durée en secondes après laquelle le moniteur envoie des demandes au serveur principal.

8 Entrez la valeur Délai d'expiration (Timeout). Dans toute vérification de l'intégrité, la valeur du délai d'expiration correspond au laps de temps maximal, exprimé en secondes, au cours duquel une réponse du serveur doit être reçue.

9 Entrez la valeur du Nombre maximal de tentatives (Max Retries). Cette valeur correspond au nombre de fois où le serveur est testé avant qu'il ne soit déclaré inactif.

Par exemple, si Intervalle (Interval) est défini sur 5 secondes, Délai d'expiration (Timeout) sur 15 secondes et Nombre maximal de tentatives (Max Retries) sur 3, cela signifie que l'équilibrage de charge NSX sonde le serveur principal toutes les 5 secondes. Ainsi, à chaque interrogation, si la réponse attendue est reçue du serveur sous 15 secondes, la vérification de l'intégrité est OK. Dans le cas contraire, le résultat est CRITIQUE. Si les trois récents résultats de vérification de l'intégrité sont tous INACTIFS, le serveur est marqué comme INACTIF.

10 Dans le menu déroulant Type, sélectionnez comment envoyer la demande de vérification de l'intégrité au serveur. Les types de moniteurs suivants sont pris en charge : ICMP, TCP, UDP, HTTP, HTTPS, DNS, MSSQL et LDAP. Trois moniteurs prédéfinis sont intégrés au système : default_tcp_monitor, default_http_monitor et default_https_monitor.

11 Si vous sélectionnez ICMP comme type de moniteur, aucun autre paramètre n'est applicable. Ne renseignez pas les autres paramètres.


VMware, Inc. 369

12 Si vous sélectionnez TCP comme type de moniteur, trois paramètres supplémentaires sont disponibles : Envoyer, Recevoir et Extensions.

a Envoyer (Send) (facultatif) : la chaîne est envoyée au serveur principal après l'établissement d'une connexion. La longueur de chaîne autorisée maximale est de 256 caractères.

b Recevoir (Receive) (facultatif) : entrez la chaîne à rechercher. La chaîne peut être un en-tête ou être située dans le corps de la réponse. Le serveur est considéré comme actif lorsque la chaîne reçue correspond à cette définition.

c Extension : entrez des paramètres de moniteur avancés sous la forme de paires clé=valeur dans la section Extension.

Un exemple d'extension, avertissement=10, indique que si un serveur ne répond pas dans les 10 secondes, l'état est défini comme un avertissement.

Tous les éléments d'extension doivent être séparés par un caractère de retour chariot.

Tableau 16-1. Extensions du protocole TCP

Extension de moniteur Description

escape Pour utiliser \n, \r, \t, ou \ dans une chaîne send ou quit. Doit se trouver avant l'option send ou quit. Par défaut : rien n'est ajouté à send, \r\n est ajouté à la fin de quit.

all Toutes les chaînes attendues doivent s'exécuter dans la réponse du serveur. La valeur par défaut est n'importe laquelle.

quit=CHAÎNE Chaîne à envoyer au serveur pour initier une nouvelle fermeture de la connexion.

refuse=ok|warn|crit Pour accepter les refus du TCP avec des états ok, warn ou crit. La valeur par défaut est crit.

mismatch=ok|warn|crit Pour accepter les discordances de chaînes attendues avec des états ok, warn ou crit. La valeur par défaut est warn.

jail Pour masquer la sortie du socket TCP.

maxbytes=ENTIER Pour fermer la connexion une fois de plus que le nombre d'octets spécifié reçu.

delay=ENTIER Secondes à attendre entre l'envoi d'une chaîne et l'interrogation d'une réponse.

certificate=ENTIER[,ENTIER] Nombre minimum de jours de validité d'un certificat. La première valeur est le nombre de jours d'un avertissement et la seconde valeur est critique (si non spécifiée - 0).


VMware, Inc. 370

Tableau 16-1. Extensions du protocole TCP (suite)


warning=DOUBLE Délai de réponse en secondes avant de définir un état d'avertissement.

critical=DOUBLE Délai de réponse en secondes avant de définir un état critique.

13 Si vous sélectionnez le type de moniteur HTTP ou HTTPS, procédez comme indiqué ci-dessous :

a Attendu (Expected) (facultatif) : entrez la chaîne que le moniteur doit retrouver dans la ligne d'état de la réponse HTTP dans la section Attendu. Il s'agit d'une liste séparée par des virgules.

Par exemple, 200,301,302,401.

b Méthode (Method) (facultatif) : sélectionnez la méthode de détection de l'état du serveur dans le menu déroulant : GET, OPTIONS ou POST.

c URL (facultatif) : saisissez l'URL pour GET ou POST (« / » par défaut).

d Si vous sélectionnez la méthode POST, entrez les données à envoyer dans la section Gras (Bold).


VMware, Inc. 371

e Entrez la chaîne à rechercher dans le contenu de la réponse dans la section Recevoir (Receive). La chaîne peut être un en-tête ou être située dans le corps de la réponse.

Si la chaîne dans la section Attendu n'est pas trouvée, le moniteur n'essaie pas de correspondre au contenu Recevoir.

Exemple de format JSON : Valider la réponse contient "{"Healthy":true}": receive={\"Healthy\":true}

f Extension : entrez des paramètres de moniteur avancés sous la forme de paires clé=valeur dans la section Extension.



Note Pour eregi, regex et ereg, si la chaîne contient { } et “, vous devez ajouter un caractère \ avant d'analyser la chaîne pour le format JSON. Exemple de format JSON : Valider la réponse contient "{"Healthy":true}": eregi="\{\"Healthy\":true\}".

Tableau 16-2. Extensions du protocole HTTP/HTTPS


no-body Pour ne pas attendre de corps de document : cesser la lecture après les en-têtes. Notez que cela entraîne malgré tout une demande HTTP GET ou POST, et pas une demande HEAD.

ssl-version=3 Forcez l'établissement de liaison SSL à l'aide de sslv3.

sslv3 et tlsv1 sont désactivés dans l'option de vérification de l'intégrité par défaut.

ssl-version=10 Forcez l'établissement de liaison SSL à l'aide de tls 1.0.



max-age=SECONDES Pour avertir si un document date de plus d'un certain nombre de SECONDES. Ce chiffre peut également s'exprimer sous forme de 10m pour les minutes, 10h pour les heures ou de 10d pour les jours.

content-type=CHAÎNE Spécifiez le type de support d'en-tête de type de contenu dans les appels POST.

linespan Pour autoriser le regex à étendre de nouvelles lignes (doit être précédé de -r ou -R).

regex=CHAÎNE ou ereg=CHAÎNE Page de recherche de CHAÎNE regex.

eregi=CHAÎNE Page de recherche de CHAÎNE regex sensible à la casse.


VMware, Inc. 372

Tableau 16-2. Extensions du protocole HTTP/HTTPS (suite)


Par exemple :

n Valider la réponse contient "OK1" ou "OK2": eregi="(OK1|OK2)"

n Valider la réponse contient "{"Healthy":true}": eregi="{\"Healthy\":true}"

invert-regex Pour renvoyer CRITIQUE s'il est trouvé, OK dans le cas contraire.

proxy-authorization=PAIRE_AUTH Nom d'utilisateur : Mot de passe sur les serveurs proxy avec une authentification de base.

useragent=CHAÎNE Chaîne à envoyer dans l'en-tête HTTP en tant qu'User Agent.

header=CHAÎNE Toutes les autres balises à envoyer dans l'en-tête HTTP. Pour utiliser plusieurs fois pour les en-têtes supplémentaires.

Par exemple :

header="Host: app1.xyz.com

onredirect=ok|warning|critical|follow|sticky|stickyport Pour gérer des pages redirigées. sticky est comme

suivre, mais en s'en tenant à l'adresse IP spécifiée. stickyport garantit également que le port reste

identique.

pagesize=ENTIER:INTEGER Taille minimale de page requise (octets) : Taille maximale de page requise (octets).

warning=DOUBLE Délai de réponse en secondes avant de définir un état d'avertissement.

critical=DOUBLE Délai de réponse en secondes avant de définir un état critique.

expect = STRING Liste de chaînes délimitées par des virgules, au moins une d'entre elles étant attendue dans la première ligne (état) de la réponse du serveur (par défaut : HTTP/1). Si spécifié, toutes les autres logiques de ligne d'état (ex : traitement 3xx, 4xx, 5xx) sont ignorées

string = STRING Chaîne attendue dans le contenu.

url = PATH URL vers GET ou POST (par défaut : /).

post = STRING URL pour coder les données http POST.

method = STRING Définit la méthode HTTP (par exemple, HEAD, OPTIONS, TRACE, PUT, DELETE).

timeout = INTEGER Nombre de secondes avant l'expiration de la connexion (la valeur par défaut est 10 secondes).

header=Host:host_name -H host_name --sni host_name est un nom d'hôte valide ou un nom de domaine complet de l'hôte.


VMware, Inc. 373

Tableau 16-2. Extensions du protocole HTTP/HTTPS (suite)


Créez un moniteur de services distinct pour chaque hôte virtuel et ajoutez une extension d'indication de nom de serveur (SNI) dans chaque moniteur de services.

Tableau 16-3. Extensions du protocole HTTPS


certificate=ENTIER Nombre minimal de jours de validité d'un certificat. La valeur par défaut du port est 443. Lorsque cette option est utilisée, l'URL n'est pas cochée.

authorization=PAIRE_AUTH Nom d'utilisateur : Mot de passe sur les sites avec une authentification de base.

ciphers=’ECDHE-RSA-AES256-GCM-SHA384’ Affichez des chiffrements utilisés dans la vérification de l'intégrité HTTPS.

14 Si vous sélectionnez UDP comme type de moniteur, effectuez les étapes suivantes :

a Envoyer (Send) (obligatoire) : entrez la chaîne à envoyer au serveur principal une fois la connexion établie.

b Recevoir (Receive) (obligatoire) : entrez la chaîne qui devrait être reçue du serveur principal. Le serveur est considéré comme actif uniquement lorsque la chaîne reçue correspond à cette définition.

Note Aucune extension n'est prise en charge par le moniteur UDP.

15 Si vous sélectionnez DNS comme type de moniteur, effectuez les étapes suivantes :

a Envoyer (Send) (obligatoire) : entrez la chaîne à envoyer au serveur principal une fois la connexion établie.

b Recevoir (Receive) : entrez la chaîne qui devrait être reçue du serveur principal. Le serveur est considéré comme actif uniquement lorsque la chaîne reçue correspond à cette définition.

c Extension : entrez des paramètres de moniteur avancés sous la forme de paires clé=valeur dans la section Extension.

Un exemple d'extension, avertissement=10, indique que si un serveur ne répond pas dans les 10 secondes, l'état est défini comme un avertissement. Ce type de moniteur prend en charge uniquement le protocole TCP.



VMware, Inc. 374

Tableau 16-4. Extensions du protocole DNS


querytype=TYPE Facultatif : type de requête d'enregistrement DNS où TYPE =A, AAAA, SRV, TXT, MX, CNAME, ANY.

n A = adresse de l'hôte IPv4

n AAAA = adresse de l'hôte IPv6

n SRV = localisateur de service

n TXT = enregistrement de texte

n MX = échange de messages électroniques pour l'enregistrement de domaine

n CNAME = nom canonique d'un enregistrement d'alias

Le type de requête par défaut est A.

expect-authority Facultatif : attendez que le serveur DNS fasse autorité pour la recherche.

accept-cname Facultatif : acceptez les réponses cname comme résultat valide d'une requête. Il est utilisé avec querytype=CNAME.

La valeur par défaut consiste à ignorer les réponses cname dans le cadre du résultat.

warning=seconds Facultatif : renvoie un message d'avertissement si le temps écoulé dépasse la valeur fournie.

Par défaut, il est défini sur désactivé.

critical=seconds Facultatif : renvoie un message critique si le temps écoulé dépasse la valeur fournie.

Par défaut, il est défini sur désactivé.

16 Si vous sélectionnez MSSQL comme type de moniteur, effectuez les étapes suivantes :

a Envoyer (Send) : entrez la chaîne à exécuter sur le serveur principal une fois la connexion établie.

b Recevoir (Receive) : entrez la chaîne qui devrait être reçue du serveur principal. Le serveur est considéré comme actif uniquement lorsque la chaîne reçue correspond à cette définition.

c Nom d'utilisateur (User Name), Mot de passe (Password) et Confirmer le mot de passe (Confirm password) (obligatoires) : entrez le nom d'utilisateur obligatoire, le mot de passe et confirmez le mot de passe entré. Comme un moniteur est associé à un pool, vous devez définir des serveurs MSSQL dans le pool avec le même nom d'utilisateur et le même mot de passe que ceux indiqués ici.

d Extension : entrez des paramètres de moniteur avancés sous la forme de paires clé=valeur dans la section Extension.




VMware, Inc. 375

Tableau 16-5. Extensions du protocole MSSQL


database=DBNAME Facultatif : nom de la base de données à laquelle se connecter.

Cette extension est obligatoire lorsque le paramètre Envoyer ou storedproc est utilisé.

storedproc=STOREPROC Facultatif : procédure stockée à exécuter sur le serveur MSSQL.

17 Si vous sélectionnez LDAP comme type de moniteur, effectuez les étapes suivantes :

a Mot de passe (Password) et Confirmer le mot de passe (Confirm password) (facultatifs) : entrez le mot de passe obligatoire et confirmez le mot de passe entré.

b Extension : entrez des paramètres de moniteur avancés sous la forme de paires clé=valeur dans la section Extension.



Tableau 16-6. Extensions du protocole LDAP


attr=’ATTR’ Facultatif : attribut LDAP à rechercher (par défaut : ‘(objectclass=*)’.

Vous devez utiliser attr avec la plage crit-entires.

base=’cn=admin,dc=example,dc=com’ Obligatoire : base LDAP (par exemple, ou=my unit, o=my org, c=at.

ver2 ou ver3 Facultatif :

n ver2 : utilisez le protocole LDAP version 2.

n ver3 : utilisez le protocole LDAP version 3.

La version du protocole par défaut est ver2.

bind=BINDDN Facultatif : nom unique de liaison LDAP (si nécessaire).

Pour plus d'informations, consultez https://www.ldap.com/the-ldap-bind-operation.

crit=DOUBLE Facultatif : temps de réponse pour entraîner un état critique (en secondes).

crit-entries=low:high Facultatif : nombre d'entrées trouvées pour entraîner un état critique.

Si le nombre d'entrées trouvées est en dehors de la plage [faible, haute], le résultat de la vérification de l'intégrité est critique.

18 Cliquez sur OK.


VMware, Inc. 376

https://www.ldap.com/the-ldap-bind-operation

https://www.ldap.com/the-ldap-bind-operation

Étape suivante

Associez un moniteur de services à un pool.

Ajouter un pool de serveurs

Vous pouvez ajouter un pool de serveurs pour gérer et partager les serveurs principal de manière flexible et efficace. Un pool de serveurs gère les méthodes de distribution de l'équilibrage de charge et possède un moniteur de services qui lui est attaché pour les paramètres de vérification de l'intégrité.

Procédure




4 Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Pools.


6 Tapez un nom et une description pour le pool d'équilibrage de charge.

7 Sélectionnez la méthode d'équilibrage d'algorithme pour chaque service activé.

Option Description

IP-HASH Sélectionne un serveur en fonction d'un hachage de l'adresse IP source et du poids total des serveurs en cours d'exécution.

Les paramètres d'algorithme sont désactivés pour cette option.

LEASTCONN Diffuse les requêtes client à plusieurs serveurs en se basant sur le nombre de connexions déjà sur le serveur.

Les nouvelles connexions sont envoyées au serveur avec les connexions les moins nombreuses.


ROUND_ROBIN Chaque serveur est utilisé à tour de rôle selon la pondération qui lui est attribuée.

C'est l'algorithme le plus homogène et le plus équitable lorsque le temps de traitement du serveur continue à être réparti de manière égale.



VMware, Inc. 377

Option Description

URI La partie gauche de l'URI (avant le point d'interrogation) est coupée et divisée par la pondération totale des serveurs en exécution.

Le résultat désigne quel serveur reçoit la demande. Ceci assure qu'un URI est toujours dirigé vers le même serveur si aucun serveur ne se met en marche ou ne s'arrête.

Le paramètre d'algorithme de l'URI a deux options : uriLength=<len> et

uriDepth=<dep>. La plage du paramètre de longueur doit être 1<=len<256.

La plage du paramètre de profondeur doit être 1<=dep<10.

Les paramètres de longueur et de profondeur sont suivis d'un nombre entier positif. Ces options peuvent équilibrer des serveurs en fonction du début de l'URI uniquement. Le paramètre de longueur indique que l'algorithme ne doit prendre en compte que les caractères définis au début de l'URI pour calculer le hachage.

Le paramètre de profondeur indique la profondeur de répertoire maximale à utiliser pour calculer le hachage. Un niveau est compté pour chaque barre oblique dans la demande. Si les deux paramètres sont spécifiés, l'évaluation s'arrête lorsque l'un des deux est atteint.

HTTPHEADER Le nom d'en-tête HTTP est recherché dans chaque demande HTTP.

Le nom d'en-tête entre parenthèses n'est pas sensible à la casse qui est semblable à la fonction ACL 'hdr()'. Si l'en-tête est absent ou ne contient aucune valeur, l'algorithme Round robin s'applique.

Le paramètre d'algorithme HTTPHEADER a une option : headerName=<name>. Par exemple, vous pouvez utiliser host comme

paramètre d'algorithme HTTPHEADER.

URL Le paramètre URL spécifié dans l'argument est recherché dans la chaîne de requête de chaque demande HTTP GET.

Si le paramètre est suivi du signe égal = et d'une valeur, la valeur est hachée et divisée par le poids total des serveurs en cours d'exécution. Le résultat désigne quel serveur reçoit la demande. Ce processus est utilisé pour suivre les identifiants d'utilisateur dans les demandes et s'assurer qu'un même ID d'utilisateur est toujours envoyé au même serveur tant qu'aucun serveur n'est activé ou inactivé.

Si aucune valeur ou paramètre n'est trouvé(e), un algorithme Round robin s'applique.

Le paramètre d'algorithme URL a une option : urlParam=<url>.

8 (Facultatif) Sélectionnez un moniteur par défaut ou personnalisé existant dans le menu

déroulant Moniteurs (Monitors).

9 (Facultatif) Sélectionnez le type de trafic IP pour le pool. La valeur par défaut est n'importe quel trafic IP.


VMware, Inc. 378

10 Pour que les adresses IP clientes soient visibles pour les serveurs principaux, activez l'option Transparent. Pour plus de détails, reportez-vous à la section Chapitre 16 Équilibrage de charge logique.

Si Transparent n'est pas sélectionné (valeur par défaut), les serveurs principaux voient l'adresse IP source du trafic comme une adresse IP interne de l'équilibrage de charge. Si Transparent est sélectionné, l'adresse IP source correspond à l'adresse IP réelle du client et NSX Edge doit être défini comme passerelle par défaut pour s'assurer que les paquets de retour passent à travers le terminal NSX Edge.

11 Ajoutez des membres au pool.


b Entrez le nom et l'adresse IP du membre de serveur ou cliquez sur Sélectionner (Select) pour attribuer des objets de regroupement.

Note VMware Tools doit être installé sur chaque VM, ou une méthode de découverte d'adresses IP (écoute DHCP, écoute ARP ou les deux) doit être disponible lorsque des objets de regroupement sont utilisés à la place des adresses IP. Pour plus de détails, reportez-vous à la section Découverte d'adresses IP pour les machines virtuelles.

Les objets de regroupement peuvent être vCenter Server ou NSX.

c Sélectionnez l'état de membre Activé (Enable), Désactivé (Disable) ou Drain.

n Drain : force le serveur à s'arrêter normalement pour maintenance. Définir le membre du pool sur « Drain » retire le serveur principal de l'équilibrage de charge, mais permet de l'utiliser pour fermer des connexions et des nouvelles connexions à partir de clients avec une persistance à ce serveur. Les méthodes de persistance qui fonctionnent avec l'état Drain sont la persistance d'IP source, l'insertion de cookie et le préfixe de cookie.

Note L'état Drain ne peut pas être activé sur un équilibrage de charge NSX Edge qui a été configuré avec Activer l'accélération (Enable Acceleration). Pour plus d'informations, reportez-vous à Configurer le service d'équilibrage de charge.

Note L'activation et la désactivation de la configuration haute disponibilité sur le dispositif NSX Edge peuvent interrompre la persistance et l'état Drain avec la méthode de persistance d'IP source.

n Activé (Enable) : sort le serveur du mode de maintenance et le remet en service. L'état de membre du pool doit être Drain ou Désactivé (Disabled).

n Désactivé (Disable) : le serveur reste en mode de maintenance.

Note Vous ne pouvez pas changer l'état de membre du pool Désactivé (Disabled) en Drain.


VMware, Inc. 379

d Entrez le port sur lequel le membre doit recevoir le trafic et le port du moniteur sur lequel le membre doit recevoir des pings de surveillance d'intégrité.

La valeur de port doit être nulle si le serveur virtuel lié est configuré avec une plage de ports.

e Dans Pondération, entrez la proportion du trafic que ce membre peut gérer.

f Entrez le nombre maximal de connexions simultanées que le membre peut gérer.

Si les demandes entrantes excèdent le nombre maximal, elles sont placées en file d'attente jusqu'à ce qu'une connexion se libère.

g Entrez le nombre minimal de connexions simultanées qu'un membre doit toujours accepter.

h Cliquez sur OK.


Créer un profil d'application

L'application de profils vous permet de mieux maîtriser la gestion du trafic réseau en simplifiant et en rationalisant les tâches de gestion.

Vous créez un profil d'application pour définir le comportement d'un type de trafic réseau particulier. Une fois le profil configuré, vous associez ce dernier à un serveur virtuel. Le serveur virtuel traite ensuite le trafic conformément aux valeurs spécifiées dans le profil.

Les rubriques suivantes expliquent les étapes de création des différents types de profil d'application.

n Créer un profil d'application TCP ou UDP

Pour créer un profil d'application qui équilibre le type de trafic TCP ou UDP, spécifiez le nom et le type de persistance dans le profil.

n Créer un profil d'application HTTP

Pour créer un profil d'application qui équilibre le type de trafic HTTP, spécifiez le nom, l'URL de redirection HTTP et le type de persistance dans le profil. Vous pouvez également choisir d'insérer l'en-tête HTTP X-transféré-pour.

n Créer un profil d'application HTTPS

Vous pouvez créer un profil d'application HTTPS pour trois types de trafic HTTPS : relais SSL, déchargement HTTPS et HTTPS de bout en bout. Le workflow pour créer le profil d'application varie pour chaque type de trafic HTTPS.

Créer un profil d'application TCP ou UDP

Pour créer un profil d'application qui équilibre le type de trafic TCP ou UDP, spécifiez le nom et le type de persistance dans le profil.


VMware, Inc. 380

Procédure




4 Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Profils d'application (Application Profiles).


La fenêtre Nouveau profil d'application s'ouvre.

6 Spécifiez les paramètres de profil d'application.

a Sélectionnez le type de profil (TCP ou UDP).

b Entrez le nom du profil d'application.

c Sélectionnez un type de persistance.

La persistance suit et stocke les données de session, par exemple le membre de pool spécifique ayant pris en charge une demande de client. Avec la persistance, les demandes des clients sont dirigées vers le même membre de pool durant toute la durée de vie d'une session ou durant les sessions ultérieures.

Persistance Description

IP source Ce type de persistance suit les sessions en fonction de l'adresse IP source.

Lorsqu'un client demande une connexion à un serveur virtuel qui prend en charge une persistance d'adresse IP source, l'équilibrage de charge vérifie si ce client a été précédemment connecté. Si c'est le cas, l'équilibrage de charge renvoie le client vers le même membre de pool.

MSRDP Ce type de persistance maintient des sessions persistantes entre clients et serveurs Windows qui exécutent le service Microsoft RDP (Remote Desktop Protocol).

Par exemple, vous pouvez activer la persistance MSRDP pour créer un pool d'équilibrage de charge qui se compose de membres exécutant Windows Server 2003 ou Windows Server 2008. Dans ce scénario, tous les membres appartiennent à un cluster Windows et participent à un répertoire de session Windows.

Ce type de persistance est disponible uniquement pour un profil d'application TCP.


Créer un profil d'application HTTP

Pour créer un profil d'application qui équilibre le type de trafic HTTP, spécifiez le nom, l'URL de redirection HTTP et le type de persistance dans le profil. Vous pouvez également choisir d'insérer l'en-tête HTTP X-transféré-pour.


VMware, Inc. 381

Procédure







6 Spécifiez les propriétés du profil d'application.

a Sélectionnez le type de profil HTTP.

b Entrez le nom du profil d'application.

c Entrez l'URL vers laquelle vous souhaitez rediriger le trafic HTTP.

Par exemple, vous pouvez rediriger le trafic de http://myweb.com vers https://myweb.com.

d Sélectionnez un type de persistance.

La persistance suit et stocke les données de session, par exemple le membre de pool spécifique ayant pris en charge une demande de client. Avec la persistance, les demandes des clients sont dirigées vers le même membre de pool durant toute la durée de vie d'une session ou durant les sessions ultérieures.




Cookie Ce type de persistance insère un cookie unique afin d'identifier une session la première fois qu'un client accède au site.

Le cookie est appelé dans les demandes suivantes pour prolonger la connexion au serveur approprié.


VMware, Inc. 382

7 Si vous avez sélectionné le type de persistance Cookie, entrez le nom du cookie et sélectionnez le mode d'insertion du cookie. Sinon, passez à l'étape suivante.

Mode Description

Insérer NSX Edge envoie un cookie.

Si le serveur envoie un ou plusieurs cookies, le client reçoit un cookie supplémentaire (les cookies du serveur et le cookie Edge). Si le serveur n'envoie aucun cookie, le client reçoit le cookie Edge.

Préfixe Sélectionnez ce mode lorsque votre client ne prend pas plus d'un cookie en charge.

Tous les navigateurs acceptent plusieurs cookies. Si vous disposez d'une application propriétaire utilisant un client propriétaire qui ne prend en charge qu'un seul cookie, le serveur Web envoie son cookie comme d'habitude. NSX Edge injecte ses informations de cookie sous forme de préfixe dans la valeur de cookie du serveur. Les informations sur ce cookie ajoutées sont supprimées lorsque le dispositif Edge l'envoie au serveur.

Session app Dans ce mode, l'application ne prend pas en charge un nouveau cookie ajouté par le serveur virtuel (insertion), ni un cookie modifié (préfixe).

Le serveur virtuel apprend le cookie injecté par le serveur principal. Lorsque le client présente ce cookie, le serveur virtuel transmet la demande du client au même serveur principal. Il n'est pas possible d'afficher le tableau de persistance de la Session app à des fins de dépannage.

8 (Facultatif) Pour identifier l'adresse IP d'origine d'un client se connectant à un serveur Web

via l'équilibrage de charge, activez l'option Insérer l'en-tête HTTP X-transféré-pour (Insert X-Forwarded-For HTTP header).


Créer un profil d'application HTTPS

Vous pouvez créer un profil d'application HTTPS pour trois types de trafic HTTPS : relais SSL, déchargement HTTPS et HTTPS de bout en bout. Le workflow pour créer le profil d'application varie pour chaque type de trafic HTTPS.

Note n À partir de NSX 6.4.5, le menu déroulant Type de profil d'application (Application Profile

Type) contient des options distinctes pour créer un profil pour chacun des trois types de trafic HTTPS.

n Dans NSX 6.4.4 et versions antérieures, le menu déroulant Type contient une seule option HTTPS. Pour créer un profil pour chacun des trois types de trafic HTTPS, vous devez spécifier des paramètres de profil appropriés.

n L'équilibreur de charge NSX ne prend pas en charge le relais SSL Proxy.

À partir de NSX 6.4.5, la terminologie d'interface utilisateur pour quelques paramètres de profil HTTPS a été modifiée. Le tableau suivant contient la liste des modifications.


VMware, Inc. 383

NSX 6.4.4 et versions antérieures NSX 6.4.5 et versions ultérieures

Certificats du serveur virtuel SSL client

Certificats du pool SSL serveur

Le tableau suivant décrit les trois types de trafic HTTPS.

Tableau 16-7. Types de trafic HTTPS

Type de trafic HTTPS Description

Relais SSL Les règles d'application liées aux attributs de SSL sont autorisées sans nécessiter l'arrêt SSL sur l'équilibreur de charge.

Le modèle de trafic est : Client -> HTTPS -> Équilibrage de charge (relais SSL) -> HTTPS -> Serveur.

Déchargement HTTPS L'équilibrage de charge basé sur HTTP se produit. SSL se termine sur l'équilibrage de charge et HTTP est utilisé entre l'équilibrage de charge et le pool de serveurs.

Le modèle de trafic est : Client -> HTTPS -> Équilibrage de charge (SSL de fin) -> HTTP -> Serveur.

HTTPS de bout en bout L'équilibrage de charge basé sur HTTP se produit. SSL se termine sur l'équilibrage de charge et HTTPS est utilisé entre l'équilibrage de charge et le pool de serveurs.

Le modèle de trafic est : Client -> HTTPS -> Équilibrage de charge (SSL de fin) -> HTTPS -> Serveur.

Le tableau suivant décrit la persistance prise en charge dans les types de trafic HTTPS.

Tableau 16-8. Types de persistance pris en charge




ID de session SSL Ce type de persistance est disponible lorsque vous créez un profil pour le type de trafic de relais SSL.

La persistance ID de session SSL garantit que les connexions de répétition à partir du même client sont envoyées au même serveur. La persistance ID de session permet l'utilisation de la reprise de session SSL, ce qui réduit le temps de traitement pour le client et le serveur.

Cookie Ce type de persistance insère un cookie unique afin d'identifier une session la première fois qu'un client accède au site.

Le cookie est appelé dans les demandes suivantes pour prolonger la connexion au serveur approprié.


VMware, Inc. 384

Pour les types de persistance IP source (Source IP) et ID de session SSL (SSL Session ID), vous pouvez entrer le délai d'expiration de persistance en secondes. La valeur par défaut de la persistance est de 300 secondes (cinq minutes).

Mémoriser La taille du tableau de persistance est limitée. Si le trafic est intense, une valeur de délai d'expiration élevée peut entraîner le remplissage rapide du tableau de persistance. Lorsque le tableau de persistance se remplit, l'entrée la plus ancienne est supprimée pour accepter l'entrée la plus récente.

Le tableau de persistance d'équilibrage de charge conserve les entrées pour enregistrer que les demandes des clients sont dirigées vers le même membre de pool.

n Si aucune nouvelle demande de connexion n'est reçue de la part du même client pendant le délai d'expiration, l'entrée de persistance expire et est supprimée.

n Si une nouvelle demande de connexion est reçue de la part du même client pendant le délai d'expiration, le temporisateur est réinitialisé et la demande du client est envoyée à un membre du pool rémanent.

n Lorsque le délai est expiré, les nouvelles demandes de connexion sont envoyées à un membre de pool alloué par l'algorithme d'équilibrage de charge.

Pour le scénario de persistance d'adresse IP source TCP d'équilibrage de charge L7, l'entrée de persistance expire si aucune nouvelle connexion TCP n'est établie pendant une période, même si les connexions existantes sont toujours actives.

Le tableau suivant répertorie les suites de chiffrement approuvées qui peuvent être utilisées pour négocier les paramètres de sécurité pendant l'établissement d'une liaison SSL ou TLS.

Tableau 16-9. Suites de chiffrement approuvées

Valeur de chiffrement Nom du chiffrement

PAR DÉFAUT PAR DÉFAUT

ECDHE-RSA-AES128-GCM-SHA256 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

ECDHE-RSA-AES256-GCM-SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ECDHE-RSA-AES256-SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

ECDHE-ECDSA-AES256-SHA TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA

ECDH-ECDSA-AES256-SHA TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA

ECDH-RSA-AES256-SHA TLS_ECDH_RSA_WITH_AES_256_CBC_SHA

AES256-SHA TLS_RSA_WITH_AES_256_CBC_SHA

AES128-SHA TLS_RSA_WITH_AES_128_CBC_SHA

DES-CBC3-SHA TLS_RSA_WITH_3DES_EDE_CBC_SHA

ECDHE-RSA-AES128-SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA


VMware, Inc. 385

Tableau 16-9. Suites de chiffrement approuvées (suite)

Valeur de chiffrement Nom du chiffrement

ECDHE-RSA-AES128-SHA256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

ECDHE-RSA-AES256-SHA384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

AES128-SHA256 TLS_RSA_WITH_AES_128_CBC_SHA256

AES128-GCM-SHA256 TLS_RSA_WITH_AES_128_GCM_SHA256

AES256-SHA256 TLS_RSA_WITH_AES_256_CBC_SHA256

AES256-GCM-SHA384 TLS_RSA_WITH_AES_256_GCM_SHA384

La procédure suivante explique les étapes de création d'un profil d'application pour chacun des trois types de trafic HTTPS.

Procédure







6 Spécifiez les paramètres de profil d'application.

Étapes pour le type de trafic Relais SSL (SSL Passthrough).


6.4.5 et versions ultérieures a Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez Relais SSL (SSL Passthrough).

b Entrez le nom du profil.

c Sélectionnez le type de persistance.

d Entrez la durée d'expiration de la persistance.

e Cliquez sur Ajouter (Add).

6.4.4 et versions antérieures a Entrez le nom du profil.

b Dans le menu déroulant Type, sélectionnez HTTPS.

c Cochez la case Activer le relais SSL (Enable SSL Passthrough).

d Sélectionnez le type de persistance.

e Entrez la durée d'expiration de la persistance.

f Cliquez sur OK.


VMware, Inc. 386

Étapes pour le type de trafic Déchargement HTTPS (HTTPS Offloading).


6.4.5 et versions ultérieures a Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez Déchargement HTTPS (HTTPS Offloading).


c Entrez l'URL vers laquelle vous souhaitez rediriger le trafic HTTP.

d Sélectionnez le type de persistance.

n Pour la persistance des cookies, entrez le nom du cookie et sélectionnez le mode d'insertion du cookie. Pour une description de chaque mode de cookie, reportez-vous à la section Créer un profil d'application HTTP.

n Pour la persistance d'IP source, entrez le délai d'expiration de persistance.

e Facultatif : pour identifier l'adresse IP d'origine d'un client se connectant à un serveur Web via l'équilibrage de charge, activez l'option Insérer l'en-tête HTTP X-transféré-pour (Insert X-Forwarded-For HTTP header).

f Cliquez sur l'onglet SSL de client (Client SSL).

g Sélectionnez un ou plusieurs algorithmes de chiffrement ou une suite de chiffrement à utiliser lors de l'établissement de liaison SSL. Vérifiez que la suite de chiffrement approuvée contient une clé DH dont la longueur est supérieure ou égale à 1 024 bits.

h Spécifiez si l'authentification client doit être ignorée ou requise. Si nécessaire, le client doit fournir un certificat après la demande, sinon l'établissement de liaison est annulé.

i Sélectionnez le certificat de service, le certificat d'autorité de certification et la CRL obligatoires que le profil doit utiliser pour mettre fin au trafic HTTPS à partir du client sur l'équilibrage de charge.

j Cliquez sur Ajouter (Add).



c Suivez les étapes décrites dans ce tableau pour NSX 6.4.5 et versions ultérieures pour définir les paramètres de profil d'application suivants :

n URL de redirection HTTP

n Persistance

n Insérer l'en-tête HTTP X-transféré-pour

d Cliquez sur l'onglet Certificats du serveur virtuel (Virtual Server Certificates).

e Suivez les étapes décrites dans ce tableau pour NSX 6.4.5 et versions ultérieures pour définir des algorithmes de chiffrement et l'authentification client.

f Cliquez sur Configurer les certificats de service (Configure Service Certificates) et sélectionnez le certificat de service, le certificat d'autorité de certification et la CRL obligatoires que le profil doit utiliser pour mettre fin au trafic HTTPS à partir du client sur l'équilibrage de charge.

g Cliquez sur OK.

Étapes pour le type de trafic HTTPS de bout en bout (HTTPS End-to-End).


VMware, Inc. 387

Dans ce type de profil d'application, vous spécifiez les paramètres SSL de client (certificats du serveur virtuel) et les paramètres SSL de serveur (SSL du côté du pool).

Les paramètres SSL de serveur sont utilisés pour authentifier l'équilibrage de charge côté serveur. Si l'équilibrage de charge Edge dispose d'un certificat d'autorité de certification et d'une CRL déjà configurée et si l'équilibrage de charge doit vérifier un certificat de service à partir des serveurs principaux, sélectionnez le certificat de service. Vous pouvez également fournir le certificat d'équilibrage de charge au serveur principal si ce dernier doit vérifier le certificat de service d'équilibrage de charge.


6.4.5 et versions ultérieures a Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez HTTPS de bout en bout (HTTPS End-to-End).


c Suivez les étapes décrites dans le tableau pour créer un profil de déchargement HTTPS afin de définir les paramètres de profil d'application suivants :


n Persistance


n SSL de client : algorithmes de chiffrement, authentification client, certificat de service, certificat d'autorité de certification et CRL

d Cliquez sur l'onglet SSL de serveur (Server SSL) et sélectionnez les algorithmes de chiffrement, le certificat de service obligatoire, le certificat d'autorité de certification et la CRL pour authentifier l'équilibrage de charge du côté serveur.

e Cliquez sur Ajouter (Add).



c Suivez les étapes décrites dans le tableau pour créer un profil de déchargement HTTPS afin de définir les paramètres de profil d'application suivants :


n Persistance


n Certificats du serveur virtuel : algorithmes de chiffrement, authentification client, certificat de service, certificat d'autorité de certification et CRL

d Cochez la case Activer SSL du côté du pool (Enable Pool Side SSL) pour activer la communication HTTPS entre l'équilibrage de charge et les serveurs principaux.

e Sélectionnez les algorithmes de chiffrement, ainsi que le certificat de service obligatoire, le certificat d'autorité de certification et la CRL pour authentifier l'équilibrage de charge du côté serveur.

f Cliquez sur OK.


VMware, Inc. 388

Ajouter une règle d'application

Vous pouvez écrire des règles d'application côté serveur virtuel à l'aide de la syntaxe HAProxy pour manipuler et gérer le trafic d'application.

NSX Data Center prend uniquement en charge les règles d'application côté serveur virtuel. L'équilibreur de charge NSX utilise HAProxy en interne. Cela signifie que les règles d'application que vous ajoutez sur le serveur virtuel sont insérées en interne dans la section « serveur frontal » de ce serveur virtuel du fichier de configuration HAProxy. Les règles d'application côté pool (section HAProxy « serveur principal ») ne sont pas prises en charge.

Pour plus d'informations sur la syntaxe des règles d'application, reportez-vous à la documentation HAProxy à l'adresse http://cbonte.github.io/haproxy-dconv/

Pour obtenir des exemples de règles d'application communément utilisées, reportez-vous à la section Exemples de règle d'application.

Procédure




4 Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Règles d'application (Application Rules).


6 Entrez le nom et le script de la règle.


Exemples de règle d'application

Règles d'application couramment utilisées.

Redirection HTTP/HTTPS basée sur une condition

Un profil d'application vous permet de spécifier une redirection HTTP/HTTPS, qui redirige toujours le trafic indépendamment des URL de demande. Vous avez également la possibilité de définir les conditions dans lesquelles le trafic HTTP/HTTPS doit être redirigé.

move the login URL only to HTTPS. acl clear dst_port 80acl secure dst_port 8080acl login_page url_beg /login acl logout url_beg /logout acl uid_given url_reg /login?userid=[^&]+ acl cookie_set hdr_sub(cookie) SEEN=1redirect prefix https://mysite.com set-cookie SEEN=1 if !cookie_set


VMware, Inc. 389

http://cbonte.github.io/haproxy-dconv/

redirect prefix https://mysite.com if login_page !secureredirect prefix http://mysite.com drop-query if login_page !uid_givenredirect location http://mysite.com/ if !login_page secure redirect location / clear-cookie USERID= if logout

Routage par nom de domaine

Vous pouvez créer une règle d'application pour diriger les demandes vers un pool d'équilibrage de charge en fonction du nom de domaine. La règle suivante dirige les demandes de foo.com vers pool_1, et les demandes de bar.com vers pool_2.

acl is_foo hdr_dom(host) -i foo acl is_bar hdr_dom(host) -i bar use_backend pool_1 if is_foo use_backend pool_2 if is_bar

Équilibrage de charge et protection de Microsoft RDP

Dans l'exemple de scénario suivant, l'équilibrage de charge dirige un nouvel utilisateur vers le serveur le moins chargé et reprend une session interrompue. L'adresse IP de l'interface interne de NSX Edge pour ce scénario est 10.0.0.18, l'adresse IP de l'interface interne est 192.168.1.1 et les serveurs virtuels sont 192.168.1.100, 192.168.1.101 et 192.168.1.102.

1 Créez un profil d'application pour le trafic TCP avec persistance MSRDP.

2 Créez un moniteur d'intégrité TCP (tcp_monitor).

3 Créez un pool (nommé rdp-pool) avec les adresses IP 192.168.1.100:3389, 192.168.1.101:3389 et 192.168.1.102:3389 en tant que membres.

4 Associez tcp_monitor à rdp-pool.

5 Créez la règle d'application suivante.

tcp-request content track-sc1 rdp_cookie(mstshash) table rdp-pooltcp-request content track-sc2 src table ipv4_ip_table # each single IP can have up to 2 connections on the VDI infrastructuretcp-request content reject if { sc2_conn_cur ge 2 }

# each single IP can try up to 5 connections in a single minutetcp-request content reject if { sc2_conn_rate ge 10 }

# Each user is supposed to get a single active connection at a time, block the second onetcp-request content reject if { sc1_conn_cur ge 2 }

# if a user tried to get connected at least 10 times over the last minute, # it could be a brute forcetcp-request content reject if { sc1_conn_rate ge 10 }

6 Créez un serveur virtuel (nommé rdp-vs).


VMware, Inc. 390

7 Associez le profil d'application à ce serveur virtuel et ajoutez la règle d'application créée à l'étape 4.

La nouvelle règle d'application appliquée sur le serveur virtuel protège les serveurs RDP.

Journalisation avancée

Par défaut, l'équilibrage de charge NSX prend en charge la journalisation de base. Vous pouvez créer une règle d'application comme suit pour afficher des messages de journalisation détaillés pour la résolution des problèmes.

# log the name of the virtual server capture request header Host len 32

# log the amount of data uploaded during a POST capture request header Content-Length len 10# log the beginning of the referrercapture request header Referer len 20

# server name (useful for outgoing proxies only)capture response header Server len 20

# logging the content-length is useful with "option logasap"capture response header Content-Length len 10

# log the expected cache behaviour on the responsecapture response header Cache-Control len 8

# the Via header will report the next proxy's name capture response header Via len 20

# log the URL location during a redirectioncapture response header Location len 20

Une fois que vous avez associé la règle d'application au serveur virtuel, les journaux comportent des messages détaillés, comme dans l'exemple suivant.

2013-04-25T09:18:17+00:00 edge-187 loadbalancer[18498]: [org1]: 10.117.7.117 - - [25/Apr/2013:09:18:16 +0000] "GET /favicon.ico HTTP/1.1" 404 1440 "" "" 51656 856 "vip-http-complete" "pool-http-complete" "m2" 145 0 1 26 172 --NI 1 1 0 0 0 0 0 "" "" "10.117.35.187" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "Apache/2.2.15 (Linux" ""

2013-04-25T09:18:17+00:00 edge-187 loadbalancer[18498]: [org1]: 10.117.7.117 - - [25/Apr/2013:09:18:16 +0000] "GET /favicon.ico HTTP/1.1" 404 1440 "" "" 51657 856 "vip-http-complete" "pool-http-complete" "m2" 412 0 0 2 414 --NI 0 0 0 0 0 0 0 "" "" "10.117.35.187" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.31 (KHTML, like Gecko) Chrome/26.0.1410.64 Safari/537.31" "Apache/2.2.15 (Linux" ""


VMware, Inc. 391

Pour résoudre les problèmes liés au trafic HTTPS, il peut s'avérer nécessaire d'ajouter d'autres règles. La plupart des applications Web utilisent des réponses 301/302 avec un en-tête d'emplacement pour rediriger le client vers une page (la plupart du temps après une connexion ou un appel POST) et nécessitent également un cookie d'application. C'est la raison pour laquelle votre serveur d'application peut non seulement avoir des difficultés à obtenir les informations de connexion du client, mais également ne pas être en mesure de donner les réponses correctes : il peut même arrêter le fonctionnement de l'application.

Pour autoriser les applications Web à prendre en charge le déchargement SSL, ajoutez la règle suivante.

# See clearly in the log if the application is setting up response for HTTP or HTTPScapture response header Location len 32capture response header Set-Cookie len 32

# Provide client side connection info to application server over HTTP headerhttp-request set-header X-Forwarded-Proto https if { ssl_fc }http-request set-header X-Forwarded-Proto http if !{ ssl_fc }

L'équilibreur de charge insère l'en-tête suivant lorsque la connexion est établie via SSL.

X-Forwarded-Proto: https

L'équilibreur de charge insère l'en-tête suivant lorsque la connexion est établie via HTTP.

X-Forwarded-Proto: http

URL spécifiques à un bloc

Vous pouvez bloquer des demandes contenant des mots-clés spécifiques dans l'URL. L'exemple de règle suivant vérifie si la demande commence par /private ou /finance et bloque les demandes qui contiennent ces termes.

# Check if the request starts with "/private" or "/finance" (case insensitive)acl block_url_list path_beg -i /private /finance

# If the request is part of the list forbidden urls,reply "Forbidden"(HTTP response code 403)http-request deny if block_url_list

Redirection HTTP de l'authentification s'il n'y a pas de cookies

Vous pouvez rediriger une demande de client ne contenant pas de cookie pour obtenir une authentification. L'exemple de règle suivant vérifie si la demande HTTP est authentique et si son en-tête contient des cookies. Si la demande ne contient pas de cookies, la règle redirige la demande vers / authent.php pour authentification.

acl authent_url url /authent.phpacl cookie_present hdr_sub(cookie) cookie1=redirect prefix /authent.php if !authent_url !cookie_present


VMware, Inc. 392

Redirection de page par défaut

Vous pouvez rediriger la demande du client / vers une page par défaut. L'exemple de règle suivant vérifie si la demande HTTP est / et la redirige vers une page de connexion par défaut.

acl default_url url /redirect location /login.php if default_url

Redirection vers un site de maintenance

Lorsque le pool principal est inactif, vous pouvez utiliser un pool de serveurs de maintenance et rediriger l'URL vers le site Web de maintenance.

redirect location http://maitenance.xyz.com/maintenance.htm

Authentification NTLM (NT LAN Manager)

Par défaut, côté serveur, NSX ferme la connexion TCP après chaque demande. Lorsque vous ne voulez pas fermer la session de serveur après chaque demande, vous pouvez laisser la session de serveur active et la sécuriser avec le protocole NTLM.

no option http-server-close

Par défaut, côté client, NSX maintient la connexion TCP établie entre les demandes. Cependant avec l'option « X-Forwarded-For », la session est fermée après chaque demande. L'option suivante maintient la connexion client ouverte entre les demandes, même si XFF est configuré.

no option httpclose

Remplacer l'en-tête de serveur

Vous pouvez supprimer l'en-tête de serveur de réponse existant et le remplacer par un autre serveur. L'exemple de règle suivant supprime l'en-tête de serveur et le remplace par le serveur Web NGINX qui peut agir en tant que serveur proxy inverse pour les protocoles HTTP, HTTPS, SMTP, POP3 et IMAP, le cache HTTP et un équilibrage de charge.

rspidel Serverrspadd Server:\ nginx

Réécrire la redirection

Vous pouvez réécrire l'en-tête Emplacement HTTP en HTTPS. L'exemple de règle suivant identifie l'en-tête Emplacement et remplace HTTP par HTTP.

rspirep ^Location:\ http://(.*) Location:\ https://\1


VMware, Inc. 393

Sélectionner un pool spécifique en fonction de l'hôte

Vous pouvez rediriger des demandes avec un hôte spécifique vers des hôtes définis. L'exemple de règle suivant recherche la demande des hôtes spécifiques app1.xyz.com, app2.xyz.com et host_any_app3 et redirige ces demandes respectivement vers des pools définis, pool_app1 ou pool_app2 et pool_app3. Toutes les autres demandes sont redirigées vers des pools existants définis dans le serveur virtuel.

acl host_app1 hdr(Host) -i app1.xyz.comacl host_app2 hdr(Host) -i app2.xyz.comacl host_any_app3 hdr_beg(host) -i app3

Utilisez un pool spécifique pour chaque nom d'hôte.

use_backend pool_app1 if host_app1use_backend pool_app2 if host_app2use_backend pool_app3 if host_any_app3

Sélectionner un pool spécifique en fonction d'URL

Vous pouvez rediriger les demandes avec des mots-clés d'URL vers des pools spécifiques. L'exemple de règle suivant vérifie si la demande commence par /private ou /finance et redirige ces demandes vers des pools définis, pool_private ou pool_finance. Toutes les autres demandes sont redirigées vers des pools existants définis dans le serveur virtuel.

acl site_private path_beg -i /privateacl site_finance path_beg -i /financeuse_backend pool_private if site_privateuse_backend pool_finance if site_finance

Rediriger lorsque le pool principal est inactif

Si vos serveurs dans le pool principal sont inactifs, vous pouvez rediriger des utilisateurs pour qu'ils utilisent les serveurs dans le pool secondaire. L'exemple de règle suivant vérifie si pool_production est inactif et transfère les utilisateurs vers pool_sorry_server.

acl pool_production_down nbsrv(pool_production) eq 0use_backend pool_sorry_server if pool_production_down

Mettre la connexion TCP sur la liste blanche

Vous pouvez empêcher des adresses IP de client d'accéder à votre serveur. L'exemple de règle suivant bloque l'adresse IP définie et réinitialise la connexion si l'adresse IP client ne se trouve pas sur la liste blanche.

acl whitelist src 10.10.10.0 20.20.20.0tcp-request connection reject if !whitelist


VMware, Inc. 394

Activer sslv3 et tlsv1

Les extensions de surveillance de service sslv3 et tlsv1 sont désactivées par défaut. Vous pouvez les activer avec la règle d'application suivante.

sslv3 enabletlsv1 enable

Configurer le délai d'expiration de la session du client

Le délai d'expiration de la session est la durée maximale d'inactivité de la connexion du côté du client. Le délai d'expiration de l'inactivité s'applique lorsque le client est sensé accuser réception ou envoyer des données. En mode HTTP, il est particulièrement important de prendre en compte ce délai d'expiration pendant la première phase, lorsque le client envoie la demande et pendant la réponse lorsque le client lit les données envoyées par le serveur. La valeur du délai d'expiration par défaut est de cinq minutes.

L'exemple de règle suivant définit le délai d'expiration sur 100 secondes.

timeout client 100s

La durée peut être définie sous la forme d'un entier avec des millisecondes, des secondes, des minutes, des heures ou des jours.

Redirection vers un site HTTPS

Vous pouvez rediriger les clients accédant à une page HTTP vers la même page sur HTTPS.

# Redirect all HTTP requests to same URI but HTTPS redirect schemehttps if !{ ssl_fc }

Autre option :

rspirep ^Location:\ http://(.*) Location:\ https://\1

Redirection de clients non authentiques

Redirigez les demandes des clients vers « /authent.php » s'ils n'ont pas de cookie.

# Check the HTTP request if request is "/authent.php"acl authent_url url /authent.php# Check the cookie "cookie1" is presentacl cookie_present hdr_sub(cookie) cookie1=# If the request is NOT "/authent.php" and there is no cookie, then redirect to "/authent.php"redirect prefix /authent.php if !authent_url !cookie_present


VMware, Inc. 395

Réécriture de l'en-tête de réponse HTTP

Remplacez l'en-tête de serveur de réponse « Server » par la valeur « nginx ».

# Delete the existing Response Server header "Server"rspidel Server# Add the Response Server header "Server" with the value "nginx"rspadd Server:\ nginx

Serveur « Désolé »

Dans le cas où les serveurs du pool principal sont tous inactifs, utilisez les serveurs du pool secondaire.

# detect if pool "pool_production" is still upacl pool_production_down nbsrv(pool_production) eq 0# use pool "pool_sorry_server" if "pool_production" is deaduse_backend pool_sorry_server if pool_production_down# Option 1: # Redirect everything to maintenance siteredirect location http://maintenance.xyz.com/maintenance.htm# Option 2: #Use a specific maintenance server pool and rewrite all URLs to maintenance.phpacl match_all always_trueuse_backend maint_pool if match_allreqirep ^GET\(.*)\HTTP/(.*) GET\ /maintenance.php\ HTTP/\2

Ajouter des serveurs virtuels

Ajoutez une interface interne ou de liaison montante NSX Edge en tant que serveur virtuel.


n Un profil d'application doit être disponible.

n Si vous voulez activer l'accélération pour utiliser un équilibrage de charge plus rapide, assurez-vous que l'accélération est activée dans les paramètres Configuration globale de l'équilibrage de charge. Reportez-vous à la section Configurer le service d'équilibrage de charge.

Procédure




4 Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Serveurs virtuels (Virtual Servers).


La fenêtre Nouveau serveur virtuel s'ouvre.


VMware, Inc. 396

6 Spécifiez les détails du serveur virtuel.

a Activez le serveur virtuel pour rendre ce serveur virtuel disponible.

b (Facultatif) Activez l'accélération pour que l'équilibrage de charge utilise le moteur d'équilibrage de charge de niveau 4 plus rapide que le moteur d'équilibrage de charge de niveau 7.

Note Cette configuration requiert l'activation d'un pare-feu sur le dispositif Edge.

Si une configuration de serveur virtuel, telle que les règles d'application, le type HTTP ou la persistance des cookies, utilise le moteur d'équilibrage de charge de niveau 7, alors ce dernier est utilisé que l'accélération soit activée ou pas. L'accélération doit être sélectionnée sous Configuration globale.

Vous pouvez utiliser la commande CLI show service loadbalancer virtual pour

vérifier le moteur d'équilibrage de charge utilisé.

c Sélectionnez le profil d'application à associer au serveur virtuel.

Vous ne pouvez associer qu'un profil d'application qui utilise le même protocole que le serveur virtuel que vous ajoutez. Les services pris en charge par le pool sélectionné apparaissent.

d Entrez le nom et la description du serveur virtuel.

e Entrez une adresse IP ou cliquez sur Sélectionner une adresse IP (Select IP Address) pour définir l'adresse IP que l'équilibrage de charge écoute.

La fenêtre Sélectionner une adresse IP affiche uniquement l'adresse IP principale. Si vous créez une adresse IP virtuelle à l'aide d'une adresse IP secondaire, entrez-la manuellement.

f Sélectionnez le protocole que le serveur virtuel gère.

g Entrez le numéro de port que l'équilibrage de charge écoute.

Vous pouvez également entrer une plage de ports. Par exemple, pour partager la configuration de serveur virtuel, telle que le pool de serveurs, le profil d'application et la règle d'application, entrez 80,8001-8004,443.

Pour utiliser FTP, le port 21 doit être attribué au protocole TCP.

h Sélectionnez la règle d'application.

i Dans la zone de texte Limite de connexion (Connection Limit), entrez le nombre maximal de connexions simultanées que le serveur virtuel peut traiter.

j Dans la zone de texte Limite de vitesse de connexion (Connection Rate Limit), entrez le nombre maximal de nouvelles demandes de connexion entrantes par seconde.

k (Facultatif) Cliquez sur l'onglet Avancé (Advanced) et ajoutez la règle d'application pour l'associer au serveur virtuel.

l Cliquez sur Ajouter (Add) ou sur OK.


VMware, Inc. 397

Gestion des profils d'application

Une fois que vous avez créé un profil d'application et l'avez associé à un serveur virtuel, vous pouvez mettre à jour le profil existant ou le supprimer pour économiser des ressources système.

Modifier un profil d'application

Vous pouvez modifier un profil d'application.

Procédure





5 Sélectionnez un profil et cliquez sur l'icône Modifier (Edit) ( ou ).

6 Apportez les modifications appropriées à la configuration du trafic, de la persistance, du certificat ou du chiffrement et cliquez sur Enregistrer (Save) ou sur OK.

Configurer l'arrêt SSL pour un équilibrage de charge

Sans l'arrêt SSL configuré, les demandes HTTP ne sont pas inspectées. L'équilibrage de charge voit les adresses IP source et de destination et les données chiffrées. Si vous voulez inspecter les demandes HTTP, vous pouvez arrêter la session SSL sur l'équilibrage de charge et en créer une nouvelle vers le pool de cellules.


Accédez à Gérer (Manage) > Paramètres (Settings) > Certificats (Certificates) et vérifiez qu'un certificat valide est présent. Vous pouvez ajouter un certificat pour l'équilibrage de charge de l'une des manières suivantes :

n Importez un fichier codé au format PEM.

n Générer une demande de signature de certificat.

n Créez un certificat auto-signé.

Procédure





VMware, Inc. 398


5 Cliquez sur Ajouter (Add) et spécifiez les paramètres de profil d'application.


6.4.5 et versions ultérieures a Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez Déchargement HTTPS (HTTPS Offloading).

b Dans le menu déroulant Persistance (Persistence), sélectionnez Aucun (None).

c Cliquez sur SSL de client (Client SSL) > Certificats de service (Service Certificates).

d Sélectionnez le certificat de service que vous avez ajouté pour l'équilibrage de charge NSX Edge.

6.4.4 et versions antérieures a Dans le menu déroulant Type, sélectionnez HTTPS.

b Vérifiez que la case Activer le relais SSL (Enable SSL Passthrough) n'est pas cochée.

c Accédez à Certificats du serveur virtuel (Virtual Server Certificates) > Certificats de service (Service Certificates) et cliquez sur la case Configurer le certificat de service (Configure Service Certificate).

d Sélectionnez le certificat de service que vous avez ajouté pour l'équilibrage de charge NSX Edge.


Supprimer un profil d'application

Vous pouvez supprimer un profil d'application.

Procédure





5 Sélectionnez un profil et cliquez sur l'icône Supprimer (Delete) ( ou ).

Gestion des moniteurs de services

Un moniteur de services définit les paramètres de contrôle de santé de l'équilibrage de charge.

Si vous utilisez un moniteur de services de l'équilibrage de charge avec la haute disponibilité (HA), celle-ci doit être activée sur une interface dédiée.


VMware, Inc. 399

Une fois que vous avez créé un moniteur de services et l'avez associé à un pool de serveurs, vous pouvez le mettre à jour ou le supprimer pour économiser des ressources système.

Pour plus d'informations sur les moniteurs de services, reportez-vous à la section Créer un moniteur de services.

Modifier un moniteur de services

Vous pouvez modifier un moniteur de services.

Procédure





5 Sélectionnez un moniteur de services et cliquez sur l'icône Modifier (Edit) ( ou ).

6 Effectuez les modifications appropriées et cliquez sur Enregistrer (Save) ou sur OK.

Supprimer un moniteur de services

Vous pouvez supprimer un moniteur de services.

Procédure





5 Sélectionnez un moniteur de services et cliquez sur l'icône Supprimer (Delete) ( ou ).

Gestion des pools de serveurs

Une fois que vous avez ajouté un pool de serveurs pour gérer la distribution d'équilibrage de charge, vous pouvez mettre à jour le pool existant ou le supprimer pour économiser des ressources système.

Modifier un pool de serveurs

Vous pouvez modifier un pool de serveurs.


VMware, Inc. 400

Procédure





5 Sélectionnez le pool à modifier.



Configurer un équilibrage de charge pour qu'il utilise le mode transparent

Transparent indique si les adresses IP des clients sont visibles par les serveurs principaux.

Lorsque vous ajoutez un pool de serveurs, le mode transparent est désactivé par défaut. Lorsque Transparent est désactivé, les serveurs principaux voient l'adresse IP source du trafic comme une adresse IP interne de l'équilibrage de charge. Lorsque ce mode est activé, l'adresse IP source est l'adresse IP de client réelle et NSX Edge doit se trouver sur le chemin de la réponse du serveur. En général, il est conseillé que la passerelle par défaut de serveur soit le dispositif NSX Edge. Le mode Transparent ne nécessite pas SNAT.

Pour plus d'informations sur le mode En ligne ou le mode Transparent, reportez-vous à la section Chapitre 16 Équilibrage de charge logique.

Procédure





5 Spécifiez les paramètres suivants pour le pool :

n Nom

n Description

n Algorithme

n Surveiller

n Filtre IP


VMware, Inc. 401

Pour plus d'informations sur les divers algorithmes, reportez-vous à la section Ajouter un pool de serveurs.

6 Pour activer le mode de transport, cliquez sur le bouton bascule ou cochez la case Transparent.

Supprimer un pool de serveurs

Vous pouvez supprimer un pool de serveurs.

Procédure





5 Sélectionnez le pool à supprimer.


Afficher l'état du pool

Vous pouvez afficher l'état de santé le plus récent du pool et des membres associés du pool.

Procédure





5 Cliquez sur Afficher le statut (Show Status) ou Afficher les statistiques du pool (Show Pool Statistics).

La fenêtre Statut du pool et du membre affiche l'état de tous les pools de serveurs.

6 Sélectionnez un pool dans le tableau Statut et statistiques du pool et affichez l'état de tous les membres de ce pool dans le tableau Statut et statistiques du membre.

Le statut du pool peut être UP ou DOWN. Le pool est marqué DOWN lorsque tous les membres dans le pool sont DOWN ; sinon, le pool est UP.

Le statut de membre peut être l'un des suivants :

n UP : le membre est activé et l'état de santé du membre est UP. Ou le moniteur n'est pas défini dans le pool.


VMware, Inc. 402

n DOWN : le membre est activé et l'état de santé du membre est DOWN.

n MAINT : le membre est désactivé.

n DRAIN : le membre à l'état drain.

Info-bulle À partir de NSX 6.4.5, vous pouvez cliquer sur l'état DOWN dans le tableau Statut et statistiques du membre pour déterminer la cause de l'inactivité du membre. Toutefois, dans NSX 6.4.4 et versions antérieures, vous devez exécuter la commande d'interface de ligne de commande Edge show service loadbalancer pool pour déterminer la cause de

l'inactivité du membre.

Gestion des serveurs virtuels

Une fois que vous avez ajouté des serveurs virtuels, vous pouvez mettre à jour la configuration de serveur virtuel existante ou la supprimer.

Modifier un serveur virtuel

Vous pouvez modifier un serveur virtuel.

Procédure





5 Sélectionnez le serveur virtuel à modifier.


7 Effectuez les modifications appropriées et cliquez sur Enregistrer (Save) ou sur Terminer (Finish).

Supprimer un serveur virtuel

Vous pouvez supprimer un serveur virtuel.

Procédure





VMware, Inc. 403


5 Sélectionnez le serveur virtuel à supprimer.


Gestion des règles d'application

Une fois que vous avez créé des règles d'application pour configurer le trafic des applications, vous pouvez modifier la règle existante ou la supprimer.

Modifier une règle d'application

Utilisez la syntaxe HAProxy pour ajouter ou modifier des règles d'application pour la manipulation du trafic d'application.

Pour plus d'informations sur la syntaxe de la règle d'application, consultez la documentation d'HAProxy à l'adresse suivante http://cbonte.github.io/haproxy-dconv/

Pour des exemples de règles d'application couramment utilisées, consultez Exemples de règle d'application.

Procédure





5 Sélectionnez une règle et cliquez sur l'icône Modifier (Edit) ( ou ).


Supprimer une règle d'application

Vous pouvez supprimer une règle d'application.

Procédure






VMware, Inc. 404

http://cbonte.github.io/haproxy-dconv/

5 Sélectionnez une règle d'application et cliquez sur l'icône Supprimer (Delete) ( ou ).

Équilibrer la charge des serveurs Web à l'aide de l'authentification NTLM

Pour que l'équilibrage de charge NSX et l'authentification NTLM puissent fonctionner, la connexion au serveur doit rester active.

Par défaut, l'équilibrage de charge de NSX ferme la connexion TCP au serveur après chaque demande client. Toutefois, l'authentification Windows NT LAN Manager (NTLM) nécessite la même connexion pendant toute la durée de vie de la demande authentifiée, et les connexions restent actives pendant le cycle de vie des demandes.

Pour que la connexion serveur reste ouverte entre les demandes, ajoutez la règle d'application suivante sur la charge d'adresse IP virtuelle équilibrant les serveurs Web à l'aide de l'authentification NTLM :

add # NTLM authentication and keep the server connection open between requestsno option http-server-close

Modes de connexion HTTP de l'équilibrage de charge

Dans NSX Data Center for vSphere 6.1.5 et versions ultérieures, lorsque vous activez x-forwarded-for, le mode de connexion HTTP passe de fermeture passive (option httpclose) au mode HTTP

server-close par défaut (option http-server-close). L'option server-close maintient la connexion

faisant face au client ouverte, tandis que la connexion faisant face au serveur est fermée dès que la réponse du serveur est reçue. Avant NSX Data Center for vSphere 6.1.5, l'équilibrage de charge ne fermait pas la connexion de manière proactive, mais insérait l'en-tête Connection:close dans

les deux sens pour indiquer au client ou au serveur de fermer la connexion. Si une transaction HTTP/HTTPS échoue sur l'équilibrage de charge après la mise à niveau vers NSX Data Center for vSphere 6.1.5 ou version ultérieure, ajoutez une règle d'application avec l'option de script option httpclose et associez-la au serveur virtuel qui ne fonctionne plus.

HTTP Server Close (par défaut) : la connexion faisant face au serveur est fermée après la réception de la fin de la réponse, tandis que la connexion faisant face au client reste ouverte. HTTP Server Close introduit une latence côté client (lenteur réseau) et réutilise la session la plus rapide côté serveur pour préserver les ressources du serveur. Cela permet également aux serveurs compatibles avec la non-persistance d'être servis comme des serveurs persistants du point de vue du client. Ce mode est approprié pour les cas d'utilisation courants, particulièrement pour les réseaux lents faisant face au client et les réseaux rapides faisant face au serveur.

HTTP Keep Alive : toutes les demandes et réponses sont traitées et les connexions restent ouvertes mais inactives entre les réponses et les nouvelles demandes. Cela permet de réduire la latence entre les transactions ainsi que la puissance de traitement requise sur le serveur. La mémoire requise augmente en fonction du nombre de sessions actives. Dans le cas présent, la


VMware, Inc. 405

mémoire requise est plus élevée, car les connexions ne sont plus fermées après chaque demande. Le délai d'inactivité de la connexion faisant face au client peut être configuré à l'aide de la règle d'application timeout http-keep-alive [time]. Le délai d'expiration par défaut est de 1 seconde.

Ce mode est obligatoire lorsqu'une application nécessite l'authentification NTLM.

HTTP Tunnel : seules la première demande et la première réponse sont traitées et un tunnel est établi entre le client et le serveur. Ceux-ci peuvent alors communiquer entre eux sans autre analyse du protocole HTTP. Une fois le tunnel établi, la connexion est persistante côté client et côté serveur. Pour activer ce mode, aucune des options suivantes ne doit être paramétrée : passive-close mode, server-close mode, force-close mode.

Le mode tunnel HTTP a une incidence sur les fonctionnalités suivantes et s'applique uniquement à la première demande et à la première réponse au cours d'une session :

n aucun journal n'est généré

n analyse des en-têtes HTTP

n manipulation des en-têtes HTTP

n traitement des cookies

n commutation du contenu

n insertion d'un en-tête X-Forwarded-For

Fermeture passive HTTP : similaire au mode tunnel à ceci près qu'un en-tête Connection: close est ajouté dans le sens du client et du serveur. Les deux points de terminaison se referment après l'échange de la première demande et de la première réponse. Si l'option option httpclose est définie, l'équilibrage de charge fonctionne en mode tunnel HTTP et vérifie la présence d'un en-tête Connection: close dans chaque sens. Si l'en-tête est absent, un en-tête Connection: close est ajouté. Chaque point de terminaison referme activement la connexion TCP après

chaque transfert, ce qui entraîne une commutation vers le mode fermeture HTTP. Tout en-tête de connexion autre que close est supprimé. Le mode tunnel et le mode fermeture passive

conviennent aux applications qui ne peuvent pas traiter correctement la deuxième demande et les demandes suivantes, comme dans le cas d'un cookie inséré par l'équilibrage de charge, puis présenté à nouveau par les demandes ultérieures du client.

Certains serveurs HTTP ne ferment pas nécessairement les connexions lorsqu'ils reçoivent l'en-tête Connection: close défini par l'option option httpclose. Si le client ne se ferme pas non plus,

la connexion reste ouverte jusqu'à l'expiration du délai d'attente. Cela se traduit par un nombre important de connexions simultanées sur les serveurs et par des durées de sessions globales élevées consignées dans les journaux. Pour cette raison, ils ne sont pas compatibles avec les anciens navigateurs HTTP 1.0. Si cela se produit, utilisez l'option option forceclose, qui referme

activement la connexion de la demande une fois que le serveur répond. L'option forceclose libère également la connexion au serveur plus tôt, car elle n'a pas besoin d'attendre l'accusé de réception du client.


VMware, Inc. 406

Forcer la fermeture HTTP : l'équilibrage de charge ferme activement les connexions du client et du serveur sitôt la réponse terminée. Certains serveurs HTTP ne ferment pas nécessairement les connexions lorsqu'ils reçoivent l'en-tête Connection: close défini par l'option option httpclose.

Si le client ne se ferme pas non plus, la connexion reste ouverte jusqu'à l'expiration du délai d'attente. Cela se traduit par un nombre important de connexions simultanées sur les serveurs et par des durées de sessions globales élevées consignées dans les journaux. Lorsque cela se produit, option forceclose ferme activement le canal serveur sortant lorsque le serveur a terminé

de répondre et libère certaines ressources plus tôt qu'avec l'option option httpclose.

Version

Mode de connexion par défaut

Mode de connexion lorsque

X-Forwarded-For

est activé

Règles d'application disponibles pour changer de mode de connexion

6.0.x, 6.1.0, 6.1.1 HTTP Server Close

L'option option httpclose est

automatiquement ajoutée au serveur virtuel pour forcer l'ajout de xff à chaque demande, comme indiqué dans le document HAProxy. L'en-tête xff est ajouté dans chaque demande

depuis le client lors de la distribution vers un serveur principal.

Non

6.1.2 - 6.1.4 HTTP Server Close

Option HTTP Passive Close (option httpclose est ajouté automatiquement

au serveur virtuel)

no option http-server-closeoption httpcloseno option httpclose

6.1.5 - 6.1.x 6.2.0 - 6.2.2 HTTP Server Close

L'en-tête xff de fermeture du serveur

HTTP est ajouté à chaque demande depuis le client lors de la distribution vers le serveur principal.


6.2.3-6.2.5 HTTP Server Close




6.2.3-6.2.5 HTTP Server Close



no option http-server-closeno option httpcloseoption httpclose

6.2.5 - 6.2.x HTTP Server Close



no option http-server-closeoption http-keep-aliveoption http-tunneloption httpcloseoption forceclose


VMware, Inc. 407

Scénarios de configuration de l'équilibrage de charge NSX

Vous pouvez utiliser les scénarios de configuration de l'équilibrage de charge NSX pour comprendre le workflow de bout en bout requis.

Scénario : Configurer un équilibrage de charge manchot

La passerelle ESG (Edge Services Gateway) peut être considérée comme un proxy pour le trafic client entrant.


VMware, Inc. 408

V

Phase 1

IP DST 192.168.1.20

DST 80

VLAN

192.168.1.20TCP 80

Insertion facile L'IP du clientn'est pas détectée

Solution pour l'en-tête HTTP X-Forwarded-For


192.168.1.2

192.168.1.1

Commutateurlogique

(VXLAN)


NSX EdgeServices Gateway

SRC 172.30.40.7

SRC 1025

TCP

Phase 4

IP DST 172.30.40.7

DST 1025

SRC 192.168.1.20

SRC 80

TCP

Phase 2 (DNAT+SNAT)

IP DST 192.168.1.3

DST 80

SRC 192.168.1.20

SRC 4099

TCP

Phase 3

IP DST 192.168.1.20

DST 4099

SRC 192.168.1.3

SRC 80

TCP

SLB


VMware, Inc. 409

En mode proxy, l'équilibrage de charge utilise sa propre adresse IP comme adresse source pour envoyer des demandes à un serveur principal. Le serveur principal affiche tout le trafic provenant de l'équilibrage de charge et répond directement à l'équilibrage de charge. Ce mode est également appelé mode SNAT ou mode non transparent. Pour plus d'informations, consultez le Guide d'administration de NSX.

Un équilibrage de charge manchot NSX classique est déployé sur le même sous-réseau avec ses serveurs principaux, excepté le routeur logique. Le serveur virtuel de l'équilibrage de charge NSX écoute sur une adresse IP virtuelle les demandes entrantes du client et les envoie aux serveurs principaux. Pour le trafic de retour, un NAT inverse est requis pour transformer l'adresse IP source du serveur principal en adresse IP virtuelle (VIP), puis pour envoyer l'adresse IP virtuelle au client. Sans cette opération, la connexion au client peut être interrompue.

Lorsque la passerelle ESG reçoit le trafic, elle effectue les deux opérations suivantes :

n Traduction d'adresse réseau de destination (DNAT) pour modifier l'adresse VIP en adresse IP de l'une des machines à équilibrage de charge.

n Traduction d'adresse réseau source (SNAT) pour échanger l'adresse IP du client avec l'adresse IP d'ESG.

Ensuite, le serveur ESG envoie le trafic au serveur d'équilibrage de charge et ce dernier renvoie la réponse à la passerelle ESG, puis au client. Cette option est beaucoup plus facile à configurer que le mode en ligne, mais elle présente deux mises en garde potentielles. La première est que ce mode requiert un serveur ESG dédié et la seconde est que les serveurs d'équilibrage de charge ne connaissent pas l'adresse IP d'origine du client. Une solution pour les applications HTTP ou HTTPS consiste à activer l'option Insérer X-transféré-pour (Insert X-Forwarded-For) dans le profil d'application HTTP pour que l'adresse IP du client soit transportée dans l'en-tête HTTP X-transféré-pour dans la demande envoyée au serveur principal.

Si l'adresse IP du client doit être visible sur le serveur principal pour des applications autres que HTTP ou HTTPS, vous pouvez configurer le pool d'adresses IP pour qu'il soit transparent. Si les clients ne se trouvent pas sur le même sous-réseau que le serveur principal, le mode en ligne est recommandé. Sinon, vous devez utiliser l'adresse IP de l'équilibrage de charge comme passerelle par défaut du serveur principal.

Note En général, il existe trois méthodes pour garantir l'intégrité de la connexion :

n Mode en ligne/transparent

n Mode SNAT/proxy/non transparent (abordé ci-dessus)

n Retour au serveur direct (DSR) : actuellement non pris en charge

En mode DSR, le serveur principal répond directement au client. Actuellement, l'équilibrage de charge NSX ne prend pas en charge le mode DSR.

La procédure suivante explique la configuration d'un équilibrage de charge manchot avec le type de profil d'application de déchargement HTTPS (déchargement SSL).


VMware, Inc. 410

Procédure




4 Cliquez sur Gérer (Manage) > Paramètres (Settings) > Certificat (Certificate).

Pour ce scénario, ajoutez un certificat auto-signé.

5 Activez le service d'équilibrage de charge.

a Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Configuration globale (Global Configuration).

b Cliquez sur Modifier (Edit) et activez l'équilibrage de charge.

6 Créez un profil d'application HTTPS.

a Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Profils d'application (Application Profiles).

b Cliquez sur Ajouter (Add) et spécifiez les paramètres de profil d'application.

Version Procédure

NSX 6.4.5 et versions ultérieures 1 Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez Déchargement HTTPS (HTTPS Offloading).

2 Dans la zone de texte Nom (Name), entrez le nom du profil. Par exemple, entrez Web-SSL-Profile.

3 Cliquez sur SSL de client (Client SSL) > Certificats de service (Service Certificates).

4 Sélectionnez le certificat auto-signé que vous avez ajouté précédemment.

NSX 6.4.4 et versions antérieures 1 Dans le menu déroulant Type, sélectionnez HTTPS.

2 Dans la zone de texte Nom (Name), entrez le nom du profil. Par exemple, Web-SSL-Profile.

3 Cochez la case Configurer le certificat de service (Configure Service Certificate).

4 Sélectionnez le certificat auto-signé que vous avez ajouté précédemment.

7 (Facultatif) Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) >

Surveillance des services (Service Monitoring). Modifiez la surveillance des services par défaut pour la passer de HTTP ou HTTPS de base à une URL ou des URI spécifiques, au besoin.


VMware, Inc. 411

8 Créez un pool de serveurs.

a Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Pools, puis cliquez sur Ajouter (Add).

b Dans le champ Nom (Name), entrez un nom pour le pool de serveurs. Par exemple, entrez Web-Tier-Pool-01.

c Dans le menu déroulant Algorithme (Algorithm), sélectionnez Permutation circulaire (Round-Robin).

d Dans le menu déroulant Moniteurs (Monitors), sélectionnez default_https_monitor.

e Ajoutez deux membres au pool.

Par exemple, spécifiez les paramètres de configuration suivants.

État Nom Adresse IP Poids Port du moniteur Port Connexions max. Connexions min.

Activé web-01a 172.16.10.11 1 443 443 0 0

Activé web-02a 172.16.10.12 1 443 443 0 0

f Pour utiliser le mode SNAT, vérifiez que l'option Transparent n'est pas activée.

9 Cliquez sur Afficher le statut (Show Status) ou Afficher les statistiques du pool (Show Pool Statistics) et vérifiez que l'état du pool Web-Tier-Pool-01 est actif.

Sélectionnez le pool et vérifiez que l'état des deux membres dans ce pool est actif.


VMware, Inc. 412

10 Créez un serveur virtuel.

a Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Serveurs virtuels (Virtual Servers), puis cliquez sur Ajouter (Add).

b Spécifiez les paramètres du serveur virtuel.


Option Description

Serveur virtuel Activez le serveur virtuel.

Accélération Si vous voulez utiliser l'équilibrage de charge de niveau 4 pour UDP ou TCP performances supérieures, activez l'accélération. Si vous activez cette option, vérifiez que l'état du pare-feu est activé sur l'équilibrage de charge NSX Edge, car un pare-feu est requis pour SNAT L4.

Profil d'application Entrez OneArmWeb-01.

Adresse IP Sélectionnez 172.16.10.110.

Protocole Sélectionnez HTTPS.

Port Entrez 443.

Pool par défaut Sélectionnez le pool de serveurs Web-Tier-Pool-01 que vous avez créé précédemment.

Limite de connexion Entrez 0.

Limite de vitesse de connexion Entrez 0.

c (Facultatif) Cliquez sur l'onglet Avancé (Advanced) et associez une règle d'application au

serveur virtuel.

Pour voir des exemples pris en charge, consultez : https://communities.vmware.com/docs/DOC-31772.

En mode non transparent, le serveur principal ne peut pas voir l'adresse IP du client, mais il peut voir l'adresse IP interne de l'équilibrage de charge. Comme solution pour le trafic HTTP ou HTTPS, sélectionnez Insérer l'en-tête HTTP X-transféré-pour (Insert X-Forwarded-For HTTP header) dans le profil d'application. Lorsque cette option est sélectionnée, l'équilibrage de charge Edge ajoute l'en-tête « X-transféré-pour » avec la valeur de l'adresse IP source du client.

Scénario : Configure un équilibreur de charge en ligne

Dans ce scénario, votre objectif est de configurer un équilibrage de charge en ligne sur NSX Edge avec un profil d'application de type HTTP.

La figure suivante illustre la topologie logique d'un réseau qui utilise un équilibrage de charge en ligne. Le dispositif NSX Edge en périphérie du réseau effectue le routage Nord-Sud et exécute la fonction d'équilibrage de charge.


VMware, Inc. 413



VP

Réseau

Clients externes

10.30.20.100 10.30.20.101

Pool de serveurs

10.30.20.102

VXLAN 5000 (10.30.20.0/24)

NSX Edge

192.168.100.30/24

10.30.20.1/24

Équilibragede charge

en ligneRègles DNAT

VMWeb-1

VMWeb-2

VMWeb-3

Pour ce scénario, tenez compte du fait que vous avez configuré les interfaces suivantes sur NSX Edge :

n interface de liaison montante : 192.168.100.30/24

n Interface interne : 10.30.20.1/24

L'équilibrage de charge utilise l'interface de liaison montante sur le dispositif Edge pour l'adresse IP virtuelle (VIP). L'interface interne sur le dispositif Edge joue le rôle de passerelle par défaut pour les serveurs Web principaux dans le pool de serveurs.

Vous souhaitez équilibrer la charge du trafic HTTP provenant de clients externes sur NSX Edge et distribuer le trafic aux serveurs Web qui sont connectés au commutateur logique VXLAN 5000.

La procédure suivante décrit les étapes de configuration d'un équilibrage de charge en ligne sur NSX Edge.


Vous devez avoir déployé une passerelle de service Edge NSX sur votre réseau.

Procédure





VMware, Inc. 414


a Cliquez sur Gérer > Équilibrage de charge > Configuration globale.

b Cliquez sur Modifier et activez l'équilibrage de charge.

5 Créez un profil d'application HTTP.

a Cliquez sur Gérer > Équilibrage de charge > Profils d'application.

b Cliquez sur Ajouter et spécifiez les paramètres de profil d'application.

Par exemple :

Option Description

Type Sélectionnez HTTP.

Nom Entrez Profil-App-Web.

Persistance Conservez la valeur par défaut (Aucune).

6 Créez un pool de serveurs.

a Cliquez sur Gérer > Équilibrage de charge > Pools, puis cliquez sur Ajouter.

b Spécifiez les paramètres du pool.

Par exemple :

Option Description

Nom Entrez Pool-Serveurs-Web.

Algorithme Sélectionnez Permutation circulaire.

Moniteurs Sélectionnez default_http_monitor.

Transparent Activez cette option pour vous assurer que les adresses IP du client source sont visibles par les serveurs back-end du pool.

c Ajoutez des membres au pool de serveurs.

Par exemple, spécifiez les paramètres suivants pour les membres du pool.

État Nom Adresse IP PoidsPort du moniteur Port

Connexions max.

Connexions min.

Activé Web-1 10.30.20.100

1 80 80 0 0

Activé Web-2 10.30.20.101

1 80 80 0 0

Activé Web-3 10.30.20.102

1 80 80 0 0

7 Cliquez sur Afficher le statut ou Afficher les statistiques du pool et vérifiez que l'état du Pool-Serveurs-Web est UP.

Sélectionnez le pool et vérifiez que l'état de tous les membres de ce pool est UP.


VMware, Inc. 415


a Cliquez sur Gérer > Équilibrage de charge > Serveurs virtuels, puis cliquez sur Ajouter.

b Spécifiez les paramètres du serveur virtuel.


Option Description


Accélération Maintenez cette option désactivée.

Profil d'application Sélectionnez le Profil-App-Web que vous avez créé précédemment.

Adresse IP Entrez ou sélectionnez l'adresse IP que vous avez configurée sur l'interface de liaison montante (externe) du dispositif Edge.

Pour ce scénario, sélectionnez 192.168.100.30.

Protocole Sélectionnez HTTP.

Pool par défaut Sélectionnez le Pool-Serveurs-Web que vous avez créé précédemment.



Scénario : Configurer l'équilibrage de charge NSX pour Platform Service Controller

Platform Services Controller (PSC) offre des fonctions de sécurité d'infrastructure, telles que vCenter Single Sign-On, des licences, la gestion des certificats et la réservation de serveur.

Après avoir configuré l'équilibrage de charge NSX, fournissez l'adresse IP d'interface de liaison montante du périphérique NSX Edge pour vCenter Single Sign-On.

Note La procédure suivante explique les étapes de configuration d'un équilibrage de charge NSX Edge pour une utilisation avec Platform Services Controller 6.0. Pour la configuration de l'équilibrage de charge Edge pour une utilisation avec Platform Services Controller 6.5, consultez l'article de la base de connaissances de VMware à l'adresse https://kb.vmware.com/s/article/2147046.


n Effectuez les tâches de préparation haute disponibilité de PSC qui sont mentionnées dans l'article de la base de connaissances de VMware à l'adresse http://kb.vmware.com/kb/2113315.

n Enregistrez les fichiers /ha/lb.crt et /ha/lb_rsa.key dans le premier nœud PSC pour

configurer des certificats.

n Vérifiez qu'un périphérique NSX Edge est configuré.

n Vérifiez que vous disposez au moins d'une liaison montante pour configurer une adresse IP virtuelle et d'une interface liée à un commutateur logique interne.


VMware, Inc. 416



http://kb.vmware.com/kb/2113315

Procédure

1 Ajoutez un certificat PSC au dispositif NSX Edge.

a Enregistrez le certificat root.cer PSC, le RSA et la phrase secrète que vous avez générés

avec la commande OpenSSL.

b Double-cliquez sur le dispositif Edge et cliquez sur Gérer (Manage) > Paramètres (Settings) > Certificats (Certificates).

c Cliquez sur Ajouter (Add) > Certificat (Certificate).

d Dans la zone de texte Contenu de certificat (Certificate Contents), ajoutez le contenu du fichier root.cer.

e Dans la zone de texte Clé privée (Private key), ajoutez la phrase secrète.


a Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Configuration globale (Global Configuration).

b Cliquez sur Modifier (Edit) et activez l'équilibrage de charge.


VMware, Inc. 417

3 Créez des profils d'application avec les protocoles TCP et HTTPS.

a Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Profils d'application (Application Profiles).

b Cliquez sur Ajouter (Add) et créez un profil d'application TCP.

Par exemple, spécifiez les paramètres suivants dans le profil TCP.

Option Description

Type de profil d'application Sélectionnez TCP.

Nom Par exemple, entrez sso_tcp_profile.

Persistance Sélectionnez IP source (Source IP)

c Créez un profil d'application HTTPS.

Par exemple, spécifiez les paramètres suivants dans le profil HTTPS.

Version Procédure


2 Dans la zone de texte Nom (Name), entrez le nom du profil. Par exemple, entrez sso_https_profile.


4 Sélectionnez le certificat PSC que vous avez ajouté précédemment.


2 Dans la zone de texte Nom (Name), entrez le nom du profil. Par exemple, sso_https_profile.

3 Cochez la case Configurer le certificat de service (Configure Service Certificate).

4 Sélectionnez le certificat PSC que vous avez ajouté précédemment.


VMware, Inc. 418

4 Créez des pools de serveurs et ajoutez des nœuds PSC de membre.

a Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Pools, puis cliquez sur Ajouter (Add).

b Créez un pool avec les paramètres de configuration suivants.

Par exemple :

Option Description

Nom Entrez sso_tcp_pool1.

Algorithme Sélectionnez Permutation circulaire (Round-Robin).

Moniteurs Sélectionnez default_tcp_monitor.

Ajoutez les membres suivants au pool sso_tcp_pool1 avec le port de moniteur 443.


Activé PSC01 192.168.1.1 1 443 0 0

Activé PSC02 192.168.1.2 1 443 0 0

c Créez un autre pool avec les paramètres de configuration suivants.

Par exemple :

Option Description

Nom Entrez sso_tcp_pool2.

Algorithme Sélectionnez Permutation circulaire (Round-Robin).

Moniteurs Sélectionnez default_tcp_monitor.

Ajoutez les membres suivants au pool sso_tcp_pool2 avec le port de moniteur 389.


Activé PSC01 192.168.1.1 1 389 0 0

Activé PSC02 192.168.1.2 1 389 0 0


VMware, Inc. 419

5 Créez des serveurs virtuels pour les protocoles TCP et HTTPS.

a Sélectionnez Gérer (Manage) > Équilibrage de charge (Load Balancer) > Serveurs virtuels (Virtual Servers), puis cliquez sur Ajouter (Add).

b Créez un serveur virtuel pour l'adresse IP virtuelle TCP avec les paramètres de configuration suivants.

Par exemple :

Option Description


Accélération Désactivez l'accélération.

Profil d'application Entrez sso_tcp_profile.

Nom Entrez sso_tcp_vip


Protocole Sélectionnez TCP.

Port Entrez 389,636,2012,2014,2020.

Pool par défaut Sélectionnez le pool de serveurs sso_tcp_pool2 que vous avez créé précédemment.



c Créez un serveur virtuel pour l'adresse IP virtuelle HTTPS avec les paramètres de

configuration suivants.

Par exemple :

Option Description


Accélération Désactivez l'accélération.

Profil d'application Entrez sso_https_profile.

Nom Entrez sso_https_vip


Protocole Sélectionnez HTTPS.

Port Entrez 443.

Pool par défaut Sélectionnez le pool de serveurs sso_tcp_pool1 que vous avez créé précédemment.




VMware, Inc. 420

Scénario : Déchargement SSL

Ce scénario utilise un type de profil d'application de déchargement HTTPS (déchargement SSL). Edge termine la session HTTPS (Sessions SSL) du client. Edge équilibre la charge des clients sur HTTP vers les serveurs. Les règles d'application de niveau 7 peuvent être appliquées.

Procédure

1 Ajoutez un certificat de serveur Web.


b Cliquez sur Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).

c Double-cliquez sur une instance de NSX Edge.

d Accédez à Gérer (Manage) > Paramètres (Settings) > Certificats (Certificates).

e Cliquez sur Ajouter (Add), puis sur Certificat (Certificate).


VMware, Inc. 421

f Copiez et collez le contenu du certificat dans la zone de texte Contenu de certificat (Certificate Contents). Le texte doit inclure « -----BEGIN xxx----- » et « -----END xxx----- ».

Pour les certificats chaînés (certificat de serveur et un certificat d'autorité de certification intermédiaire), sélectionnez l'option Certificat (Certificate). Voici un exemple de contenu d'un certificat chaîné :


g Dans la zone de texte Clé privée (Private Key), copiez et collez le contenu de la clé privée.



Ajoutez un préfixe au contenu du certificat (PEM pour le certificat ou la clé privée) avec l'une des chaînes suivantes :

-----BEGIN PUBLIC KEY----------BEGIN RSA PUBLIC KEY----------BEGIN CERTIFICATE REQUEST----------BEGIN NEW CERTIFICATE REQUEST----------BEGIN CERTIFICATE----------BEGIN PKCS7----------BEGIN X509 CERTIFICATE----------BEGIN X509 CRL----------BEGIN ATTRIBUTE CERTIFICATE----------BEGIN RSA PRIVATE KEY----------BEGIN DSA PRIVATE KEY----------BEGIN EC PARAMETERS----------BEGIN EC PRIVATE KEY-----

Pour obtenir des exemples complets de certificats et de clés privées, reportez-vous à la section Exemple : certificat et clé privée.

Note Le préfixe suivant n'est pas pris en charge dans NSX Manager :

-----BEGIN ENCRYPTED PRIVATE KEY-----


VMware, Inc. 422





d Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Profils d'application (Application Profiles).

e Cliquez sur Ajouter (Add) et spécifiez les paramètres de profil d'application.

Version Procédure



3 Sélectionnez le certificat de serveur Web que vous avez ajouté à l'étape 1.


2 Cochez la case Configurer les certificats de service (Configure Service Certificates).






d Cliquez sur Gérer (Manage) > Équilibrage de charge (Load Balancer) > Serveurs virtuels (Virtual Servers).

e Cliquez sur Ajouter (Add) et spécifiez les paramètres de serveur virtuel.

1 Activez le serveur virtuel pour rendre ce serveur virtuel disponible.

2 Sélectionnez le protocole HTTPS.

3 Sélectionnez le pool par défaut qui est composé de serveurs HTTP (non pas des serveurs HTTPS).

4 Sélectionnez le profil d'application que vous avez créé à l'étape 2.

Pour plus d'informations sur la spécification d'autres paramètres dans la fenêtre Nouveau serveur virtuel, reportez-vous à la section Ajouter des serveurs virtuels.


VMware, Inc. 423

Exemple : certificat et clé privée

Voici des exemples de certificats et de clés privées.

Certificat de serveur Web

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Certificat de serveur Web avec chaîne (y compris autorité de certification racine)

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----


VMware, Inc. 424

-----BEGIN CERTIFICATE-----MIIDyTCCArGgAwIBAgIBADANBgkqhkiG9w0BAQUFADB/MQswCQYDVQQGEwJGUjETMBEGA1UECAwKU29tZS1TdGF0ZTEOMAwGA1UEBwwFUGFyaXMxDTALBgNVBAoMBERpbWkxDTALBgNVBAsMBE5TQlUxEDAOBgNVBAMMB0RpbWkgQ0ExGzAZBgkqhkiG9w0BCQEWDGRpbWlAZGltaS5mcjAeFw0xNDAxMjgyMDI2NDRaFw0yNDAxMjYyMDI2NDRaMH8xCzAJBgNVBAYTAkZSMRMwEQYDVQQIDApTb21lLVN0YXRlMQ4wDAYDVQQHDAVQYXJpczENMAsGA1UECgwERGltaTENMAsGA1UECwwETlNCVTEQMA4GA1UEAwwHRGltaSBDQTEbMBkGCSqGSIb3DQEJARYMZGltaUBkaW1pLmZyMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuxuG4QeBIGXj/AB/YRLLtpgpTpGnDntVlgsycZrL3qqyOdBNlwnvcB9etfY5iWzjeq7YZRr6i0dIV4sFNBR2NoK+YvdD9j1TRi7njZg0d6zth0xlsOhCsDlV/YCL1CTcYDlKA/QiKeIQa7GU3Rhf0t/KnAkr6mwoDbdKBQX1D5HgQuXJiFdh5XRebxF1ZB3gH+0kCEaEZPrjFDApkOXNxEARZdpBLpbvQljtVXtjHMsvrIOc7QqUSOU3GcbBMSHjT8cgg8ssf492Go3bDQkIzTROz9QgDHaqDqTC9HoevlIpTS+q/3BCY5AGWKl3CCR6dDyK6honnOR/8srezaN4PwIDAQABo1AwTjAdBgNVHQ4EFgQUhMwqkbBrGp87HxfvwgPnlGgVR64wHwYDVR0jBBgwFoAUhMwqkbBrGp87HxfvwgPnlGgVR64wDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQUFAAOCAQEAVqYqvhm5wAEKmvrKXRjeb5kiEIp7oZAFkYp6sKODuZ1VdkjMDD4wv46iqAe1QIIsfGwdDmv0oqSl+iPPy24ATMSZQbPLO5K64Hw7Q8KPos0yD8gHSg2d4SOukj+FD2IjAH17a8auMw7TTHu6976JprQQKtPADRcfodGd5UFiz/6ZgLzUE23cktJMc2Bt18B9OZIIJ9ef2PZxZirJg1OqF2KssDlJP5ECo9K3EmovC5M5Aly++s8ayjBnNivtklYL1VOTZrpPgcndTHUA5KS/Duf40dXm0snCxLAKNP28pMowDLSYc6IjVrD4+qqw3f1b7yGbbJcFgxKDeg5YecQOSg==-----END CERTIFICATE-----

Clé privée (pas de phrase secrète)

-----BEGIN RSA PRIVATE KEY-----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 7juWln08wFYV4Atpdd+9XQECgYBxizkZFL+9IqkfOcONvWAzGo+Dq1N0L3J4iTIkw56CKWXyj88d4qB4eUU3yJ4uB4S9miaW/eLEwKZIbWpUPFAn0db7i6h3ZmP5ZL8QqS3nQCb9DULmU2/tU641eRUKAmIoka1g9sndKAZuWo+o6fdkIb1RgObk9XNn8R4rpsv+aQKBgB+CIcExR30vycv5bnZN9EFlIXNKaeMJUrYCXcRQNvrnUIUBvAO8+jAeCdLygS5RtgOLZib0IVErqWsP3EI1ACGuLts0vQ9GFLQGaN1SaMS40C9kvns1mlDuLhIhYpJ8UsCVt5snWo2N+M+6ANh5tpWdQnEK6zILh4tRbuzaiHgb-----END RSA PRIVATE KEY-----


VMware, Inc. 425

Scénario : Importer un certificat SSL

Ce scénario utilise un type de profil d'application HTTPS de bout en bout (SSL de bout en bout). Le dispositif NSX Edge ferme la session HTTPS (Sessions SSL) du client. Edge équilibre la charge du client sur une nouvelle connexion HTTPS aux serveurs. Les règles d'application de niveau 7 peuvent être appliquées.

Procédure

1 Ajoutez un certificat de serveur Web.




d Accédez à Gérer (Manage) > Paramètres (Settings) > Certificats (Certificates).

e Cliquez sur Ajouter (Add), puis sur Certificat (Certificate).


VMware, Inc. 426

f Copiez et collez le contenu du certificat dans la zone de texte Contenu de certificat (Certificate Contents). Le texte doit inclure « -----BEGIN xxx----- » et « -----END xxx----- ».

Pour les certificats chaînés (certificat de serveur et un certificat d'autorité de certification intermédiaire), sélectionnez l'option Certificat (Certificate). Voici un exemple de contenu d'un certificat chaîné :


g Dans la zone de texte Clé privée (Private Key), copiez et collez le contenu de la clé privée.

Voici un exemple de contenu de clé privée :


Ajoutez un préfixe au contenu du certificat (PEM pour le certificat ou la clé privée) avec l'une des chaînes suivantes :

-----BEGIN PUBLIC KEY----------BEGIN RSA PUBLIC KEY----------BEGIN CERTIFICATE REQUEST----------BEGIN NEW CERTIFICATE REQUEST----------BEGIN CERTIFICATE----------BEGIN PKCS7----------BEGIN X509 CERTIFICATE----------BEGIN X509 CRL----------BEGIN ATTRIBUTE CERTIFICATE----------BEGIN RSA PRIVATE KEY----------BEGIN DSA PRIVATE KEY----------BEGIN EC PARAMETERS----------BEGIN EC PRIVATE KEY-----

Pour obtenir des exemples complets de certificats et de clés privées, reportez-vous à la section Exemple : certificat et clé privée.

Note Le préfixe suivant n'est pas pris en charge dans NSX Manager :

-----BEGIN ENCRYPTED PRIVATE KEY-----


VMware, Inc. 427







Version Procédure

NSX 6.4.5 et versions ultérieures 1 Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez HTTPS de bout en bout (HTTPS End-to-End).

2 Cliquez sur SSL de serveur (Server SSL) > Certificats de service (Service Certificates).



2 Cochez la case Activer SSL du côté du pool (Enable Pool Side SSL).

3 Cochez la case Configurer les certificats de service (Configure Service Certificates).










3 Sélectionnez le pool par défaut se composant de serveurs HTTPS.




VMware, Inc. 428

Scénario : relais SSL

Ce scénario utilise un type de profil d'application de relais SSL. Edge ne ferme pas la session HTTPS (sessions SSL) du client. Edge équilibre la charge des sessions TCP sur les serveurs. Les sessions SSL clientes sont fermées sur les serveurs (pas Edge). Les règles d'application de niveau 7 ne peuvent pas être appliquées.

Note Les certificats ne sont pas requis pour les profils d'application de relais SSL.

Procédure

1 Créez un profil d'application de relais SSL.






Version Procédure

NSX 6.4.5 et versions ultérieures 1 Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez Relais SSL (SSL Passthrough).

2 Dans le menu déroulant Persistance (Persistence), sélectionnez Aucun (None).


2 Cochez la case Activer le relais SSL (Enable SSL Passthrough).

3 Dans le menu déroulant Persistance (Persistence), sélectionnez Aucun (None).






VMware, Inc. 429





3 Sélectionnez le pool par défaut se composant de serveurs HTTPS.



Note n Si Accélération (Acceleration) est activé et qu'il n'existe aucune configuration liée de

niveau 7, Edge ne termine pas la session.

n Si Accélération (Acceleration) est désactivé, la session peut être traitée en tant que mode TCP de niveau 7, et Edge la termine en deux sessions.

Scénario : client SSL et authentification serveur

Ce scénario utilise un type de profil d'application HTTPS de bout en bout avec l'authentification client et serveur SSL.

Authentification client

Les clients accèdent à l'application Web via HTTPS. La session HTTPS est fermée sur l'adresse IP virtuelle Edge et la session demande un certificat client.

1 Ajoutez un certificat de serveur Web signé par une autorité de certification racine. Pour plus d'informations, consultez Scénario : Importer un certificat SSL.


Version Procédure


1 Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez HTTPS de bout en bout (HTTPS End-to-End).

2 Cliquez sur SSL de client (Client SSL) > Certificats CA (CA Certificates).


4 Dans le menu déroulant Authentification client (Client Authentication), sélectionnez Obligatoire (Required).

NSX 6.4.4 et versions antérieures

1 Dans le menu déroulant Type, sélectionnez HTTPS.

2 Cliquez sur Certificats du serveur virtuel (Virtual Server Certificates) > Certificats CA (CA Certificates). L'autorité de certification vérifie le certificat client.




VMware, Inc. 430

3 Créez un serveur virtuel. Pour plus d'informations sur la spécification des paramètres du serveur virtuel, reportez-vous à la section Scénario : Importer un certificat SSL.

Note Dans NSX 6.4.4 et versions antérieures, lorsque l'option Activer SSL du côté du pool (Enable Pool Side SSL) est désactivée dans le profil d'application, le pool sélectionné est composé de serveurs HTTP. Lorsque l'option Activer SSL du côté du pool (Enable Pool Side SSL) est activée dans le profil d'application, le pool sélectionné est composé de serveurs HTTPS.

4 Ajoutez un certificat client signé par l'autorité de certification racine dans le navigateur.

5 a Accédez au site Web https://www.sslshopper.com/ssl-converter.html.

b Convertissez le certificat et la clé privée en fichier pfx. Pour obtenir des exemples complets de certificat et de clé privée, consultez la rubrique Exemple : certificat et clé privée.

c Importez le fichier pfx dans le navigateur.

Authentification de serveur

Les clients accèdent à l'application Web via HTTPS. La session HTTPS est fermée sur l'adresse IP virtuelle du dispositif Edge. Le dispositif Edge établit de nouvelles connexions HTTPS aux serveurs, puis il demande et vérifie le certificat du serveur.

NSX Edge accepte les chiffrements spécifiques.

1 Ajoutez le certificat de serveur Web chaîné avec le certificat d'autorité de certification racine pour l'authentification par certificat de serveur. Pour plus d'informations, consultez Scénario : Importer un certificat SSL.


VMware, Inc. 431

https://www.sslshopper.com/ssl-converter.html


Version Procédure


1 Dans le menu déroulant Type de profil d'application (Application Profile Type), sélectionnez HTTPS de bout en bout (HTTPS End-to-End).

2 Cliquez sur SSL de serveur (Server SSL) > Certificats CA (CA Certificates).

3 En regard de Chiffrement (Cypher), cliquez sur l'icône Modifier (Edit) ( ) et sélectionnez les chiffrements.

4 Activez l'option Authentification de serveur (Server Authentication).

5 Sélectionnez le certificat d'autorité de certification que vous avez ajouté à l'étape 1.

NSX 6.4.4 et versions antérieures

1 Dans le menu déroulant Type, sélectionnez HTTPS.

2 Cochez la case Activer SSL du côté du pool (Enable Pool Side SSL).

3 Cliquez sur Certificats du pool (Pool Certificates) > Certificats CA (CA Certificates). L'autorité de certification vérifie le certificat client à partir du serveur HTTPS principal.

4 Cochez la case Authentification de serveur (Server Authentication).

5 Sélectionnez le certificat d'autorité de certification que vous avez ajouté à l'étape 1.

6 Dans la liste Chiffrement (Cipher), sélectionnez les chiffrements requis.

Note Si votre chiffrement préféré ne figure pas dans la liste de chiffrements approuvés, il est redéfini sur Par défaut.

Après la mise à niveau depuis une ancienne version de NSX, si le chiffrement est nul ou vide, ou si le chiffrement n'est pas dans la liste de chiffrements approuvés de l'ancienne version, il est redéfini sur Par défaut.


3 Créez un serveur virtuel. Pour plus d'informations sur la spécification des paramètres du serveur virtuel, reportez-vous à la section Scénario : Importer un certificat SSL.

Note Dans NSX 6.4.4 et versions antérieures, lorsque l'option Activer SSL du côté du pool (Enable Pool Side SSL) est désactivée dans le profil d'application, le pool sélectionné est composé de serveurs HTTP. Lorsque l'option Activer SSL du côté du pool (Enable Pool Side SSL) est activée dans le profil d'application, le pool sélectionné est composé de serveurs HTTPS.


VMware, Inc. 432

Autres services Edge 17Une passerelle de NSX Services met en œuvre le regroupement d'adresses IP, l'allocation d'adresses IP statiques une à une et la configuration de serveur DNS externe.

Vous devez disposer d'une instance de NSX Edge opérationnelle avant de pouvoir utiliser l'un des services ci-dessus. Pour obtenir des informations sur la configuration de NSX Edge, reportez-vous à Configuration de NSX Edge.


n Gestion du service DHCP

n Configuration du relais DHCP

n Configurer un serveur DNS

Gestion du service DHCP

NSX Edge prend en charge le regroupement de pools d'adresses IP et l'attribution d'adresse IP statique bijective. La liaison d'adresse IP statique se base sur l'ID d'objet vCenter géré et l'ID d'interface du client demandeur.

Le service DHCP de NSX Edge respecte les directives suivantes :

n Écoute sur l'interface interne de NSX Edge pour la découverte DHCP.

n Utilise l'adresse IP de l'interface interne dans NSX Edge comme adresse de passerelle par défaut pour tous les clients (sauf pour les pools pas directement connectés) et les valeurs de diffusion et de masque de sous-réseau de l'interface interne pour le réseau conteneur.

Note Par conception, le service DHCP est pris en charge sur les interfaces internes d'un dispositif NSX Edge. Cependant, dans certaines situations, vous pouvez choisir de configurer DHCP sur une interface de liaison montante du dispositif Edge et de ne configurer aucune interface interne. Dans ce cas, le dispositif Edge peut écouter les demandes du client DHCP sur l'interface de liaison montante et attribuer dynamiquement des adresses IP aux clients DHCP. Par la suite, si vous configurez une interface interne sur le même dispositif Edge, le service DHCP cesse de fonctionner, car le dispositif Edge commence à écouter les demandes du client DHCP sur l'interface interne.

VMware, Inc. 433

Vous devez redémarrer le service DHCP sur les machines virtuelles clientes dans les cas suivants :

n Vous avez changé ou supprimé un pool DHCP, la passerelle par défaut ou le serveur DNS.

n Vous avez changé l'adresse IP interne de l'instance NSX Edge.

Ajouter un pool IP DHCP

Le service DHCP nécessite un pool d'adresses IP.

Un pool IP est une plage séquentielle d'adresses IP au sein du réseau. Les machines virtuelles protégées par NSX Edge, qui ne disposent pas d'une liaison d'adresse, obtiennent une adresse IP à partir de ce pool. La plage d'un pool IP ne peut pas en chevaucher une autre, ainsi une adresse IP ne peut appartenir qu'à un seul pool IP.

Procédure




4 Cliquez sur Gérer (Manage) > DHCP.


6 Configurez les options générales suivantes pour le nouveau pool IP DHCP.

Option Action

Adresse IP de début Entrez l'adresse IP de début du pool.

Adresse IP de fin Entrez l'adresse IP de fin du pool.

Nom de domaine Entrez le nom de domaine du serveur DNS. Ce paramètre est facultatif.

Configurer automatiquement le DNS Sélectionnez cette option pour utiliser la configuration du service DNS pour la liaison DHCP.

Serveur de noms principal Si vous n'avez pas sélectionné Configurer automatiquement le DNS (Auto Configure DNS), tapez le Serveur de noms principal (Primary Nameserver) pour le service DNS. Vous devez saisir l'adresse IP d'un serveur DNS pour la résolution de nom d'hôte en adresse IP. Ce paramètre est facultatif.

Serveur de noms secondaire Si vous n'avez pas sélectionné Configurer automatiquement le DNS (Auto Configure DNS), tapez le Serveur de noms secondaire (Secondary Nameserver) pour le service DNS. Vous devez saisir l'adresse IP d'un serveur DNS pour la résolution de nom d'hôte en adresse IP. Ce paramètre est facultatif.

Passerelle par défaut Entrez l'adresse de la passerelle par défaut. Si vous ne spécifiez pas l'adresse IP de la passerelle par défaut, l'interface interne de l'instance de NSX Edge est prise comme passerelle par défaut. Ce paramètre est facultatif.

Masque de sous-réseau Spécifiez le masque de sous-réseau. Le masque de sous-réseau doit être le même que celui de l'interface Edge ou du relais DHCP si vous utilisez un routeur distribué.


VMware, Inc. 434

Option Action

Le bail n'expire jamais Sélectionnez cette option pour lier l'adresse à l'adresse MAC de la machine virtuelle de manière permanente. Si vous sélectionnez cette option, l'option Durée de bail (Lease Time) est désactivée.

Durée de bail Indiquez si vous voulez louer l'adresse au client pour la durée par défaut (un jour) ou entrez une valeur en secondes. Si vous avez sélectionné Le bail n'expire jamais (Lease never expires), vous ne pouvez pas spécifier la durée du bail. Ce paramètre est facultatif.

7 (Facultatif) Configurez les options DHCP suivantes.

Option Action

Serveur suivant Prochain serveur TFTP de démarrage utilisé par le démarrage PXE ou bootp.

Nom du serveur TFTP (option 66) Entrez une adresse IPv4 de monodiffusion ou un nom d'hôte que le périphérique utilisera pour télécharger le fichier spécifié dans le nom du fichier de démarrage (option 67).

Adresse du serveur TFTP (option 150)

Entrez une ou plusieurs adresses IPv4 du serveur TFTP.

Nom du fichier de démarrage (option 67)

Entrez le nom du fichier de démarrage qui doit être téléchargé depuis le serveur spécifié dans le nom du serveur TFTP (option 66).

MTU d'interface (option 26) L'unité de transmission maximale (MTU) est la taille de trame maximale qui peut être envoyée entre deux hôtes sans fragmentation. Cette option spécifie la taille de MTU à utiliser sur l'interface. Une taille de MTU (en octets) peut être définie pour chaque pool et liaison statique. La valeur MTU minimale est de 68 octets et la valeur maximale est de 65 535 octets. Si l'interface MTU n'est pas définie sur le serveur DHCP, les clients DHCP conservent le paramètre par défaut du système d'exploitation pour la MTU de l'interface.

Itinéraire statique sans classe (option 121)

Chaque option d'itinéraire statique sans classe peut posséder plusieurs itinéraires avec la même destination. Chaque itinéraire inclut un sous-réseau de destination, un masque de sous-réseau, le routeur du tronçon suivant. Notez que 0.0.0.0/0 est un sous-réseau non valide pour un itinéraire statique. Pour plus d'informations sur les itinéraires statiques sans classe et l'option 121, reportez-vous à la spécification RFC 3442.


b Entrez la destination et l'adresse IP du routeur du tronçon suivant.

Dans NSX 6.2.5 et versions ultérieures, si un pool DHCP est configuré sur une passerelle Edge Services Gateway avec des itinéraires statiques sans classe et une passerelle par défaut, la passerelle par défaut est ajoutée en tant qu'itinéraire statique sans classe.


Démarrer le service DHCP

Démarrez le service DHCP pour permettre à NSX Edge d'attribuer automatiquement une adresse IP à une machine virtuelle à partir d'un pool IP défini.


VMware, Inc. 435


Un pool IP DHCP doit être ajouté.

Procédure





5 Cliquez sur Démarrer (Start).

6 (Facultatif) Activez la stratégie de journalisation et sélectionnez le niveau de journal.


Résultats

Important Il est conseillé de créer une règle de pare-feu pour empêcher les utilisateurs malveillants de s'introduire dans des serveurs DHCP non autorisés. Pour cela, ajoutez une règle de pare-feu qui autorise le trafic UDP uniquement sur les ports 67 et 68 lorsque le trafic est à destination ou en provenance d'une adresse IP de serveur DHCP valide. Pour plus de détails, reportez-vous à la section Utilisation de règles de pare-feu.

Étape suivante

Créez un pool d'adresses IP et des liaisons.

Modifier un pool d'adresses IP DHCP

Vous pouvez modifier le pool IP DHCP pour ajouter ou supprimer des adresses IP.

Procédure





5 Sélectionnez un pool DHCP et cliquez sur l'icône Modifier (Edit).

6 Effectuez les modifications appropriées et cliquez sur Ajouter (Add) ou sur OK.


VMware, Inc. 436

Ajouter une liaison statique DHCP

Si vous avez des services en cours d'exécution sur une machine virtuelle et si vous ne voulez pas que l'adresse IP soit modifiée, vous pouvez lier une adresse IP à l'adresse MAC d'une machine virtuelle. L'adresse IP que vous liez ne doit pas chevaucher un pool IP.

Procédure





5 Dans le panneau de gauche, sélectionnez Liaisons (Bindings).


7 Sélectionnez l'une des deux options de liaison.

n Utiliser la liaison de carte réseau de VM (Use VM NIC Binding) : sélectionnez cette option lorsque vous connaissez l'index de vNIC de la machine virtuelle. NSX détermine l'adresse MAC à partir de l'index de vNIC et lie l'adresse IP de la machine virtuelle à l'adresse MAC.

n Utiliser la liaison MAC (Use MAC Binding) : sélectionnez cette option lorsque vous connaissez l'adresse MAC de la machine virtuelle et que vous voulez l'utiliser pour la liaison statique avec l'adresse IP.


VMware, Inc. 437

8 Configurez les paramètres généraux de la liaison DHCP.

a Exécutez l'une des actions suivantes :

n Si vous avez sélectionné l'option Utiliser la liaison de carte réseau de VM (Use VM NIC Binding), sélectionnez l'interface à lier, la machine virtuelle et l'index de vNIC de la machine virtuelle à lier à l'adresse IP.

n Si vous avez sélectionné l'option Utiliser la liaison MAC (Use MAC Binding), entrez l'adresse MAC de la machine virtuelle que vous voulez utiliser pour la liaison statique.

b Spécifiez les autres paramètres généraux.

Ces options sont communes pour la liaison de carte réseau de VM et la liaison MAC.

Option Action

Nom d'hôte Tapez le nom d'hôte de la machine virtuelle du client DHCP.

Adresse IP Entrez l'adresse à laquelle l'adresse MAC de la machine virtuelle sélectionnée doit être liée.

Masque de sous-réseau (Subnet Mask)

Spécifiez le masque de sous-réseau. Le masque de sous-réseau doit être le même que celui de l'interface Edge ou du relais DHCP si vous utilisez un routeur distribué.

Nom du domaine (Domain Name) Entrez le nom de domaine du serveur DNS.

Passerelle par défaut (Default Gateway)

Entrez l'adresse de la passerelle par défaut. Si vous ne spécifiez pas l'adresse IP de la passerelle par défaut, l'interface interne de l'instance de NSX Edge est prise comme passerelle par défaut.

Le bail n'expire jamais (Lease never expires)

Sélectionnez cette option pour lier l'adresse à l'adresse MAC de la machine virtuelle de manière permanente.

Durée de bail (Lease Time) Si vous n'avez pas sélectionné Le bail n'expire jamais (Lease never expires), indiquez si vous voulez louer l'adresse au client pour la durée par défaut (un jour) ou entrez une valeur en secondes.

9 Configurez les paramètres DNS.

Option Action

Configurer automatiquement le DNS Sélectionnez cette option pour utiliser la configuration du service DNS pour la liaison DHCP.

Serveur de noms principal Si vous n'avez pas sélectionné Configurer automatiquement le DNS (Auto Configure DNS), entrez le Serveur de noms principal (Primary Nameserver) pour le service DNS. Vous devez saisir l'adresse IP d'un serveur DNS pour la résolution de nom d'hôte en adresse IP.

Serveur de noms secondaire Si vous n'avez pas sélectionné Configurer automatiquement le DNS (Auto Configure DNS), entrez le Serveur de noms secondaire (Secondary Nameserver) pour le service DNS. Vous devez saisir l'adresse IP d'un serveur DNS pour la résolution de nom d'hôte en adresse IP.


VMware, Inc. 438

10 (Facultatif) Définissez les options DHCP. Pour obtenir des informations détaillées sur la configuration des options DHCP, reportez-vous à l'étape 7 de la section Ajouter un pool IP DHCP .

11 Cliquez sur Ajouter (Add), puis sur Publier les modifications (Publish Changes).

Modifier la liaison DHCP

Vous attribuez une adresse IP statique différente qui est liée à une adresse MAC d'une machine virtuelle.

Procédure





5 Sélectionnez Liaisons (Bindings) dans le panneau de gauche, puis cliquez sur la liaison à modifier.

6 Cliquez sur l'icône Modifier (Edit).


Configuration du relais DHCP

Le relais DHCP (Dynamic Host Configuration Protocol) vous permet d'exploiter votre infrastructure DHCP existante depuis NSX sans provoquer aucune interruption dans la gestion des adresses IP dans votre environnement. Les messages DHCP sont relayés vers le ou les serveurs DHCP du monde physique à partir d'une ou plusieurs machines virtuelles. Les adresses IP dans NSX peuvent ainsi continuer à être synchronisées avec les adresses IP dans d'autres environnements.

La configuration DHCP est appliquée au port du routeur logique et peut répertorier plusieurs serveurs DHCP. Les demandes sont envoyées à tous les serveurs répertoriés. Pendant le relais de la demande DHCP à partir du client, le relais ajoute une adresse IP de passerelle à la demande. Le serveur DHCP externe utilise cette adresse de passerelle pour faire correspondre un pool et alloue une adresse IP à la demande. L'adresse de passerelle doit appartenir à un sous-réseau du port NSX sur lequel s'exécute le relais.

Vous pouvez spécifier un serveur DHCP différent pour chaque commutateur logique et configurer plusieurs serveurs DHCP sur chaque routeur logique afin de prendre en charge plusieurs domaines IP.

Note Si l'offre DHCP contient une adresse IP qui ne correspond pas à une interface logique (LIF), le DLR ne la transmet pas à la machine virtuelle. Le paquet est abandonné.


VMware, Inc. 439

Lorsque vous configurez un pool et une liaison sur le serveur DHCP, assurez-vous que le masque de sous-réseau du pool/de la liaison pour les requêtes relayées est identique à l'interface du relais DHCP. Les informations du masque de sous-réseau doivent être fournies dans l'API pendant que le routeur logique distribué fait office de relais DHCP entre les machines virtuelles et le dispositif Edge, fournissant ainsi le service DHCP. Le masque de sous-réseau doit correspondre à celui qui est configuré dans l'interface de la passerelle pour les machines virtuelles du routeur logique distribué.

Routeurdistribué

Commutateurlogique

Commutateurlogique

NSX

Serveur YDHCP

Relais

Serveur XDHCP

Serveur Y

Note n Le relais DHCP ne prend pas en charge le chevauchement des espaces d'adresses IP

(option 82).

n Le relais DHCP et le service DHCP ne peuvent pas s'exécuter simultanément sur un port et une carte réseau virtuelle (vNIC). Si un agent de relais est configuré sur un port, il n'est pas possible de configurer un pool DHCP sur le ou les sous-réseaux de ce port.

Ajouter un serveur de relais DHCP

Ajoutez le ou les serveurs de relais externe auxquels vous souhaitez que les messages DHCP soient relayés. Le serveur de relais peut être un ensemble d'adresses IP, un bloc d'adresses IP, un domaine ou une combinaison des trois. Les messages sont relayés à chaque serveur DHCP répertorié.


VMware, Inc. 440


n Le relais DHCP ne prend pas en charge le chevauchement des espaces d'adresses IP (option 82).

n Le relais DHCP et le service DHCP ne peuvent pas s'exécuter simultanément sur un port et une carte réseau virtuelle (vNIC). Si un agent de relais est configuré sur un port, il n'est pas possible de configurer un pool DHCP sur le ou les sous-réseaux de ce port.

n Si l'offre DHCP contient une adresse IP qui ne correspond pas à une interface logique (LIF), le DLR ne la transmet pas à la machine virtuelle. Le paquet est abandonné.

Procédure



3 Cliquez sur Gérer (Manage) > DHCP > Relais (Relay).

4 En regard de Configuration globale du relais DHCP (DHCP Relay Global Configuration), cliquez sur Modifier (Edit).

5 Ajoutez un serveur de relais DHCP en utilisant l'une de ces méthodes ou en utilisant une combinaison de ces méthodes.

Méthode Description

Sélectionner un ensemble d'adresses IP

Dans NSX 6.4.4 et versions ultérieures :

n Sélectionnez un ensemble d'adresses IP dans la liste Objets disponibles (Available Objects) et déplacez-le dans la liste Objets sélectionnés (Selected Objects).

Dans NSX 6.4.3 et versions antérieures :

a Cliquez sur l'icône Ajouter (Add).

b Sélectionnez un ensemble d'adresses IP dans la liste Objets disponibles (Available Objects) et déplacez-le dans la liste Objets sélectionnés (Selected Objects).

Spécifier des adresses IP Entrez une liste d'adresses IP séparées par des virgules.

Spécifier des noms de domaine Entrez une liste de noms de domaine séparés par des virgules. Par exemple, group1.vmware.com,group2.vmware.com.

Assurez-vous que vous avez ajouté manuellement les adresses IP de domaine au pare-feu.


Ajouter un agent du relais DHCP

Ajoutez les interfaces Edge à partir desquelles vous voulez que les demandes DHCP soient relayées vers les serveurs de relais DHCP externes.


VMware, Inc. 441

Procédure



3 Cliquez sur Gérer (Manage) > DHCP > Relais (Relay).

4 Dans la zone Agent du relais DHCP (DHCP Relay Agent), cliquez sur Ajouter (Add).

5 Dans vNIC, vérifiez qu'une vNIC interne est sélectionnée.

L'Adresse IP de la passerelle (Gateway IP Address) affiche l'adresse IP principale de la vNIC sélectionnée.


Configurer un serveur DNS

Vous pouvez configurer des serveurs DNS externes sur un dispositif NSX Edge. Edge transfère les demandes DNS depuis des applications clientes vers les serveurs DNS afin de résoudre un nom de réseau. Edge peut également mettre en cache la réponse reçue de la part des serveurs DNS. Le service DNS est pris en charge sur une passerelle de services Edge, un DLR et un UDLR dans un environnement Cross-vCenter NSX.

Procédure




4 Naviguez pour modifier les paramètres de configuration DNS.

Version Procédure

NSX 6.4.4 et versions ultérieures a Cliquez sur Gérer (Manage) > DNS.

b En regard de Configuration DNS, cliquez sur Modifier (Change).


b Dans le volet Configuration DNS (DNS Configuration), cliquez sur Modifier (Change).

5 Cliquez sur Activer le service DNS (Enable DNS Service).

6 Entrez l'adresse IP d'un serveur DNS ou des deux.

7 Modifiez la taille du cache par défaut, si nécessaire. La taille par défaut est de 16 Mo.


VMware, Inc. 442

8 Pour journaliser le trafic DNS, cliquez sur Activer la journalisation (Enable Logging) et sélectionnez le niveau de journal. Le niveau de journal par défaut est Infos.

Les journaux générés sont envoyés au serveur syslog.



VMware, Inc. 443

Service Composer 18Service Composer vous aide à provisionner et à attribuer des services de réseau et de sécurité à des applications dans une infrastructure virtuelle. Vous pouvez mapper ces services sur un groupe de sécurité pour les appliquer aux machines virtuelles de ce groupe de sécurité.

Groupe de sécurité

Commencez par créer un groupe de sécurité pour définir les ressources à protéger. Les groupes de sécurité peuvent être statiques (notamment des machines virtuelles spécifiques) ou dynamiques. Dans ce dernier cas, vous pouvez définir l'appartenance de plusieurs façons :

n Des conteneurs vCenter (clusters, groupes de ports ou centres de données).

n Des balises de sécurité, des ensembles IP, des ensembles MAC ou même d'autres groupes de sécurité. Par exemple, vous pouvez inclure un critère permettant d'ajouter tous les membres marqués avec la balise de sécurité spécifiée (telle que AntiVirus.virusFound) au groupe de sécurité.

n Des groupes de répertoires (si NSX Manager est enregistré dans Active Directory)

n Des expressions régulières telles que des machines virtuelles portant le nom VM1.

Notez que l'appartenance à un groupe de sécurité change constamment. Par exemple, une machine virtuelle marquée avec la balise AntiVirus.virusFound est déplacée vers le groupe de sécurité Quarantaine. Une fois le virus éliminé et la balise supprimée de la machine virtuelle, cette dernière sort du groupe de sécurité Quarantaine.

Important Si l'ID de VM d'une VM est régénéré en raison d'un déplacement ou d'une copie, les balises de sécurité ne sont pas propagées au nouvel ID de VM.

Stratégie de sécurité

Une stratégie de sécurité est un ensemble des configurations de service suivantes.

VMware, Inc. 444

Tableau 18-1. Services de sécurité contenus dans une stratégie de sécurité

Service Description S'applique à

Règles de pare-feu

Règles qui définissent le trafic autorisé en provenance, à destination ou au sein du groupe de sécurité.

vNIC

Service Endpoint

Services de fournisseurs de solutions tiers, tels que des services antivirus ou de gestion de la vulnérabilité.

machines virtuelles

Services d'introspection réseau

Services qui surveillent votre réseau, tels qu'IPS. machines virtuelles

Pendant le déploiement du service dans NSX, le fournisseur tiers sélectionne la catégorie de service pour le service en cours de déploiement. Un profil de service par défaut est créé pour chaque modèle de fournisseur.

Lorsque des services de fournisseur tiers sont mis à niveau vers NSX 6.1, les profils de service par défaut sont créés pour les modèles de fournisseur en cours de mise à niveau. Les stratégies de service existantes qui comprennent des règles Guest Introspection sont mises à jour pour faire référence aux profils de service créés pendant la mise à niveau.

Mappage d'une stratégie de sécurité sur un groupe de sécurité

Vous pouvez mapper une stratégie de sécurité (par exemple, SP1) sur un groupe de sécurité (par exemple, SG1). Les services configurés pour SP1 sont appliqués à toutes les machines virtuelles membres du SG1.

Note S'il existe un grand nombre de groupes de sécurité auxquels vous devez joindre la même stratégie de sécurité, créez un groupe de sécurité générique qui englobe tous ces groupes de sécurité enfant et appliquez-lui la stratégie de sécurité commune. Le pare-feu distribué NSX utilisera ainsi la mémoire de l'hôte ESXi de manière efficace.

Figure 18-1. Présentation de Service Composer


Si une machine virtuelle appartient à plusieurs groupes de sécurité, les services appliqués à la machine virtuelle dépendent de la priorité de la stratégie de sécurité mappée sur les groupes de sécurité.


VMware, Inc. 445

Vous pouvez exporter et importer des profils Service Composer en tant que sauvegardes pour les utiliser dans d'autres environnements. Cette méthode de gestion des services réseau et de sécurité est utile pour gérer des stratégies de sécurité exécutables et reproductibles.


n Utilisation de Service Composer

n Canevas Service Composer

n Utilisation des balises de sécurité

n Affichage des services effectifs

n Utilisation de stratégies de sécurité

n Importation et exportation de configurations de la stratégie de sécurité

n Scénarios de Service Composer

Utilisation de Service Composer

Service Composer facilite l'utilisation des services de sécurité.

Voici un exemple qui vous montre comment Service Composer vous aide à protéger votre réseau de bout en bout. Supposons que vous avez défini les stratégies de sécurité suivantes dans votre environnement :

n Une stratégie de sécurité d'état initial qui inclut un service d'analyse de vulnérabilité (InitStatePolicy).

n Une stratégie de sécurité de correction qui inclut un service IPS réseau en complément de règles de pare-feu et d'un service antivirus (RemPolicy).

Vérifiez que la pondération (priorité) de RemPolicy est supérieure à celle de InitStatePolicy.

Les groupes de sécurité suivants sont également en place :

n Un groupe de ressources d'applications qui inclut les applications stratégiques de votre environnement (AssetGroup).

n Un groupe de sécurité de correction défini par une balise indiquant que la machine virtuelle est vulnérable (VULNERABILITY_MGMT.VulnerabilityFound.threat=medium)

nommé RemGroup.

Vous pouvez mapper la stratégie InitStatePolicy sur AssetGroup pour protéger toutes les applications stratégiques de votre environnement. Vous pouvez également mapper RemPolicy sur RemGroup pour protéger les machines virtuelles vulnérables.

Lorsque vous lancez une analyse de vulnérabilité, toutes les machines virtuelles figurant dans AssetGroup sont analysées. Si l'analyse identifie une machine virtuelle présentant une vulnérabilité, elle applique la balise VULNERABILITY_MGMT.VulnerabilityFound.threat=medium à la machine virtuelle.


VMware, Inc. 446

Service Composer ajoute instantanément cette machine virtuelle balisée au groupe de sécurité RemGroup dans lequel une solution IPS réseau est déjà en place pour protéger la machine virtuelle vulnérable.

Figure 18-2. Service Composer en action

solution de partenaire solution de partenaire

Applicationstratégique


VULNERABILITY_MGMT,VulnerabilityFound.threat

=medium

Identification de la machine virtuelle


=medium

Groupe de sécurité de correction


=medium

Application stratégiqueAnalyse

des vulnérabilités

Cette rubrique vous présente la procédure requise pour utiliser les services de sécurité proposés par Service Composer.

Procédure

1 Créer un groupe de sécurité dans Service Composer

Vous pouvez créer un groupe de sécurité au niveau de l'instance de NSX Manager.

2 Paramètres généraux

3 Créer une règle de sécurité

Une règle de sécurité est un ensemble de services Guest Introspection, de pare-feu et d'introspection réseau pouvant s'appliquer à un groupe de sécurité. L'ordre d'affichage des stratégies de sécurité est déterminé par la pondération de la stratégie. Par défaut, une nouvelle stratégie est affectée de la pondération la plus élevée, c'est-à-dire celle qui se trouve dans le haut du tableau. Cependant, vous pouvez modifier la pondération suggérée par défaut pour changer l'ordre attribué à la nouvelle stratégie.


VMware, Inc. 447

4 Appliquer une règle de sécurité à un groupe de sécurité

Vous pouvez appliquer une règle de sécurité à un groupe de sécurité pour sécuriser vos postes de travail virtuels, applications stratégiques, ainsi que les connexions entre eux. Vous pouvez également afficher la liste des services qui n'ont pas été appliqués et la raison de l'échec.

Créer un groupe de sécurité dans Service Composer



Si vous créez une stratégie de sécurité pour une utilisation avec RDSH, vérifiez que :









Procédure

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Service Composer.

2 Assurez-vous que vous êtes dans l'onglet Groupes de sécurité (Security Groups).

3 Cliquez sur Ajouter un groupe de sécurité (Add Security Group) ou sur l'icône Ajouter (Add).

Les groupes de sécurité à utiliser avec le pare-feu d'identité pour RDSH doivent utiliser des stratégies de sécurité qui sont marquées avec Activer l'identité d'utilisateur à la source lors de leur création. Les groupes de sécurité à utiliser avec le pare-feu d'identité pour RDSH ne peuvent contenir que des groupes Active Directory (AD), et tous les groupes de sécurité imbriqués doivent également être des groupes AD.

4 Tapez le nom et la description des groupes de sécurité et cliquez sur Suivant (Next).


VMware, Inc. 448

5 Sur la page Appartenance dynamique, définissez les critères auxquels un objet doit répondre pour être ajouté au groupe de sécurité que vous créez.

Par exemple, vous pouvez inclure un critère permettant d'ajouter tous les membres marqués avec la balise de sécurité spécifiée (telle que AntiVirus.virusFound) au groupe de sécurité.

Sinon, vous pouvez ajouter au groupe de sécurité toutes les machines virtuelles contenant le nom W2008 ET les machines virtuelles situées dans le commutateur logique global_wire.

Les balises de sécurité sont sensibles à la casse.

Note Si vous définissez un groupe de sécurité par des machines virtuelles auxquelles une balise de sécurité spécifique est associée, vous pouvez créer un workflow dynamique ou conditionnel. Dès que la balise est appliquée à une machine virtuelle, cette dernière est automatiquement ajoutée à ce groupe de sécurité.


7 Sur la page Sélectionner les objets à inclure, sélectionnez le type d'objet dans la liste déroulante.

Notez que les groupes de sécurité pour une utilisation dans des sessions de poste de travail distant ne peuvent contenir que des groupes de répertoires.

8 Sélectionnez l'objet que vous souhaitez ajouter à la liste d'inclusion. Vous pouvez inclure les objets suivants dans un groupe de sécurité.

n Autres groupes de sécurité à imbriquer dans le groupe de sécurité que vous créez.

n Cluster

n Commutateur logique

n Réseau

n Application virtuelle

n Centre de données


n Groupes AD

Note La configuration AD pour les groupes de sécurité NSX est différente de celle pour vSphere SSO. La configuration de groupe AD NSX concerne les utilisateurs finaux qui accèdent aux machines virtuelles invitées, alors que vSphere SSO est destiné aux administrateurs qui utilisent vSphere et NSX.


VMware, Inc. 449

n Ensembles d'adresses MAC

Note Service Composer permet l'utilisation de groupes de sécurité dont les configurations de stratégies contiennent des ensembles d'adresses MAC. Cependant, Service Composer ne parvient pas à appliquer les règles pour ce jeu d'adresses MAC spécifique. Service Composer fonctionne sur la couche 3 et ne prend pas en charge les constructions de couche 2.

n Balise de sécurité

n vNIC

n Machine virtuelle

n Pool de ressources

n Groupe de ports virtuels distribués

Les objets sélectionnés ici sont toujours inclus dans le groupe de sécurité, indépendamment de leur correspondance aux critères dynamiques.

Lorsque vous ajoutez une ressource à un groupe de sécurité, toutes les ressources associées sont ajoutées automatiquement. Par exemple, lorsque vous sélectionnez une machine virtuelle, la vNIC associée est ajoutée automatiquement au groupe de sécurité.

9 Cliquez sur Suivant (Next) et double-cliquez sur les objets à exclure du groupe de sécurité.

Les objets sélectionnés ici sont toujours exclus du groupe de sécurité, même s'ils correspondent aux critères dynamiques ou sont sélectionnés dans la liste d'inclusion.


Exemple

L'appartenance à un groupe de sécurité est déterminée comme suit :

{Résultat de l'expression (dérivé de l'étape 5) + inclusions (spécifiées à l'étape 8} - exclusion (spécifiée à l'étape 9), ce qui signifie que les éléments d'inclusion sont d'abord ajoutés au résultat de l'expression. Les éléments d'exclusion sont ensuite soustraits du résultat combiné.

Paramètres généraux

Modifier le paramètre Appliqué à du pare-feu de Service Composer

Vous pouvez définir le paramètre Appliqué à pour toutes les règles de pare-feu créées via Service Composer sur le pare-feu distribué ou sur Groupes de sécurité de la stratégie. Par défaut, le paramètre Appliqué à est défini sur le pare-feu distribué.


VMware, Inc. 450

Lorsque le paramètre Appliqué à des règles de pare-feu de Service Composer est défini sur le pare-feu distribué, les règles sont appliquées à tous les clusters sur lesquels le pare-feu distribué est installé. Si les règles de pare-feu sont définies pour s'appliquer à des groupes de sécurité de la stratégie, vous disposez d'un contrôle plus précis sur les règles de pare-feu, mais vous pouvez avoir besoin de plusieurs stratégies de sécurité ou de règles de pare-feu pour obtenir le résultat souhaité.

Procédure


2 Cliquez sur l'onglet Stratégies de sécurité (Security Policies).

3 Pour modifier les paramètres de pare-feu généraux :

u Dans NSX 6.4.1 et versions ultérieures, en regard de Paramètres de pare-feu généraux,

cliquez sur l'icône de modification ( ).

u Dans NSX 6.4.0, en regard de Paramètres généraux : Règles de pare-feu Appliqué à, cliquez sur Modifier (Edit).

4 Sélectionnez un paramètre par défaut pour Appliqué à et cliquez sur OK. Cette valeur détermine les vNIC auxquelles la règle de pare-feu est appliquée.

Option Description

Pare-feu distribué Des règles de pare-feu sont appliquées à tous les clusters sur lesquels le pare-feu distribué est installé.

Groupes de sécurité de la stratégie Des règles de pare-feu sont appliquées à des groupes de sécurité sur lesquels la stratégie de sécurité s'applique.

Le paramètre Appliqué à par défaut peut également être affiché et modifié via l'API. Reportez-vous à Guide de NSX API.

Notez que lorsque vous utilisez les règles de pare-feu RDSH, le paramètre Appliqué à est Pare-feu distribué (Distributed Firewall). Les Groupes de sécurité de la stratégie (Policy's Security Groups) ne sont pas pris en charge pour le paramètre Appliqué à pour les règles RDSH.

Exemple : Comportement Appliqué à

Dans cet exemple de scénario, l'action par défaut de votre règle de pare-feu avec le service any est définie sur Bloquer. Vous disposez de deux groupes de sécurité : web-servers et app-servers, qui contiennent des VM. Vous créez une stratégie de sécurité, allow-ssh-from-web, qui contient la règle de pare-feu suivante et l'appliquez au groupe de sécurité app-servers.

n Nom : allow-ssh-from-web

n Source : web-servers

n Destination : Groupe de sécurité de la stratégie

n Service : ssh


VMware, Inc. 451

n Action : allow

Si la règle de pare-feu s'applique au pare-feu distribué, vous pourrez activer l'accès SSH depuis une VM dans le groupe de sécurité web-servers vers une VM dans le groupe de sécurité app-servers.

Si la règle de pare-feu s'applique à un groupe de sécurité de la stratégie, vous ne pourrez pas activer l'accès SSH, car le trafic sera bloqué et ne pourra pas atteindre les serveurs d'application. Vous devrez créer un groupe de sécurité supplémentaire pour autoriser l'accès SSH vers les serveurs d'application et appliquer cette stratégie au groupe de sécurité web-servers.

n Nom : allow-ssh-to-app

n Source : Groupe de sécurité de la stratégie

n Destination : app-servers

n Service : ssh

n Action : allow

Synchroniser la configuration de pare-feu

Synchroniser la configuration de pare-feu synchronise la configuration de Service Composer avec la configuration du pare-feu et recrée des sections de pare-feu et des règles liées à Service Composer du côté du pare-feu.

Synchroniser la configuration de pare-feu permet aux utilisateurs de resynchroniser complètement la configuration de Service Composer avec la configuration du pare-feu. Il recrée des sections de pare-feu et des règles liées à Service Composer du côté du pare-feu. Cette resynchronisation s'applique uniquement aux configurations de stratégies liées au pare-feu et à l'introspection réseau. Cette opération crée toutes les sections de stratégie par ordre de priorité au-dessus de la section par défaut du pare-feu.

Note Cette opération peut prendre un certain temps et ne doit être déclenchée que lorsque cela est nécessaire.

Procédure



3 Pour synchroniser la configuration de pare-feu :

u Dans NSX 6.4.1 et versions ultérieures, en regard d'État de synchronisation, cliquez sur Synchroniser (Synchronize).

u Dans NSX 6.4.0, en regard de Paramètres généraux, cliquez sur Synchroniser (Synchronize).


VMware, Inc. 452

La synchronisation globale sera effectuée avec un pare-feu distribué ou des groupes de sécurité de stratégie. Toutes les sections de pare-feu et les règles liées à Service Composer se synchronisent et changent pour respecter la sélection Appliqué à (Applied To). Reportez-vous à la section Modifier le paramètre Appliqué à du pare-feu de Service Composer.

Créer une règle de sécurité

Une règle de sécurité est un ensemble de services Guest Introspection, de pare-feu et d'introspection réseau pouvant s'appliquer à un groupe de sécurité. L'ordre d'affichage des stratégies de sécurité est déterminé par la pondération de la stratégie. Par défaut, une nouvelle stratégie est affectée de la pondération la plus élevée, c'est-à-dire celle qui se trouve dans le haut du tableau. Cependant, vous pouvez modifier la pondération suggérée par défaut pour changer l'ordre attribué à la nouvelle stratégie.


Vérifiez que :

n les services intégrés VMware requis (par exemple le pare-feu distribué et Guest Introspection) sont installés.

n les services de partenaires requis ont été enregistrés dans NSX Manager.

n la valeur Appliqué à par défaut souhaitée est définie pour des règles de pare-feu de Service Composer. Reportez-vous à la section Modifier le paramètre Appliqué à du pare-feu de Service Composer.

Si vous créez une infrastructure de stratégie de sécurité pour le pare-feu d'identité pour RDSH :









Procédure




VMware, Inc. 453

3 Pour créer une stratégie de sécurité :

u Dans NSX 6.4.1 et versions ultérieures, cliquez sur Ajouter (Add).

u Dans NSX 6.4.0, cliquez sur l'icône Créer une stratégie de sécurité (Create Security

Policy) ( ).

4 Dans la boîte de dialogue Créer une stratégie de sécurité ou Nouvelle stratégie de sécurité, tapez le nom de la stratégie de sécurité.

5 Tapez une description pour la stratégie de sécurité. La description ne doit pas dépasser 255 caractères.

NSX attribue une pondération par défaut (pondération la plus élevée +1000) à la stratégie. Par exemple, si la pondération la plus élevée parmi les stratégies existantes est de 1200, une pondération de 2200 est attribuée à la nouvelle stratégie.

Les stratégies de sécurité s'appliquent en fonction de leur pondération ; une stratégie dont la pondération est plus élevée a priorité sur une stratégie de pondération plus faible.

6 Sélectionnez Hériter d'une stratégie de sécurité (Inherit security policy) si vous souhaitez que la stratégie que vous créez reçoive les services d'une autre stratégie de sécurité. Sélectionnez la stratégie parent.

La nouvelle stratégie hérite de tous les services de la stratégie parent.


8 Dans la page Services Guest Introspection, cliquez sur Ajouter (Add) ou sur l'icône Ajouter un

service Guest Introspection (Add Guest Introspection Service) ( ).

a Dans la boîte de dialogue Ajouter un service Guest Introspection, tapez un nom et une description pour le service.

b Spécifiez si vous souhaitez appliquer le service ou le bloquer.

Lorsque vous héritez d'une stratégie de sécurité, vous pouvez choisir de bloquer un service de la stratégie parent.

Si vous appliquez un service, vous devez sélectionner un service et un profil de service. Si vous bloquez un service, vous devez sélectionner le type de service à bloquer.

c Si vous choisissez de bloquer le service, sélectionnez le type du service.

d Si vous avez choisi d'appliquer le service Guest Introspection, sélectionnez le nom du service.

Le profil du service par défaut du service sélectionné s'affiche. Il inclut des informations sur les types de fonctionnalités de service pris en charge par le modèle fournisseur associé.


VMware, Inc. 454

e Dans la section État (State), spécifiez si vous souhaitez activer le service Guest Introspection sélectionné ou le désactiver.

Vous pouvez ajouter des services Guest Introspection en tant qu'espaces réservés pour des services à activer ultérieurement. Cela est particulièrement utile lorsque des services doivent être appliqués à la demande (par exemple, dans le cas de nouvelles applications).

f Indiquez s'il convient ou non d'appliquer le service Guest Introspection (c'est-à-dire qu'il ne peut pas être remplacé). Si le profil du service sélectionné prend en charge plusieurs types de fonctionnalités de service, cette option est configurée sur Appliquer (Enforce) par défaut et elle ne peut pas être modifiée.

Si vous appliquez un service Guest Introspection dans une stratégie de sécurité, les autres stratégies qui héritent de cette stratégie de sécurité imposent que cette stratégie soit appliquée avant les autres stratégies enfants. Si ce service n'est pas appliqué, une sélection d'héritage ajoute la stratégie parente après l'application des stratégies enfants.

g Cliquez sur OK.

Vous pouvez ajouter des services Guest Introspection supplémentaires en suivant les instructions ci-dessus. Vous pouvez gérer les services Guest Introspection au moyen des icônes situées au-dessus du tableau des services.

Dans NSX 6.4.0, vous pouvez exporter ou copier les services figurant dans cette page en

cliquant sur l'icône située dans la partie inférieure droite de la page Services Guest Introspection.



VMware, Inc. 455

10 Dans la page Pare-feu, vous définissez les règles de pare-feu du ou des groupes de sécurité auxquels cette stratégie de sécurité sera appliquée.

Lorsque vous créez une stratégie de sécurité pour le pare-feu d'identité pour RDSH, Activer l'identité d'utilisateur à la source doit être cochée. Notez que cela désactive l'option Activer le pare-feu sans état, car l'état de connexion TCP est suivi pour identifier le contexte. Cet indicateur ne peut pas être modifié lorsque la stratégie est en cours de mise à jour. Lorsqu'une stratégie de sécurité est créée avec Activer l'identité d'utilisateur à la source, l'héritage n'est pas pris en charge.

a Cliquez sur la case pour activer les paramètres facultatifs suivants :

Option Description

Activer l'identité d'utilisateur à la source Lorsque vous utilisez le pare-feu d'identité pour RDSH, Activer l'identité d'utilisateur à la source doit être cochée. Notez que cela désactive l'option Activer le pare-feu sans état, car l'état de connexion TCP est suivi pour identifier le contexte.

Activer TCP strict Vous permet de définir TCP strict pour chaque section de pare-feu.

Activer le pare-feu sans état Active le pare-feu sans état pour chaque section de pare-feu.

b Cliquez sur Ajouter (Add) ou sur l'icône Ajouter une règle de pare-feu (Add Firewall

Rule) ( ).

c Tapez un nom et une description pour la règle de pare-feu que vous ajoutez.

d Sélectionnez Autoriser (Allow), Bloquer (Block) ou Rejeter (Reject) pour indiquer si la règle doit autoriser, bloquer ou rejeter le trafic vers la destination sélectionnée.

e Sélectionnez la source de la règle. Par défaut, la règle s'applique au trafic entrant à partir des groupes de sécurité auxquels cette stratégie est appliquée. Pour modifier la source par défaut, cliquez sur Sélectionner (Select) ou sur Modifier (Change) et sélectionnez les groupes de sécurité appropriés.

f Sélectionnez la destination de la règle.

Note La Source ou la Destination (ou les deux) doivent être des groupes de sécurité auxquels cette stratégie est appliquée.

Supposons que vous créiez une règle avec la source par défaut, spécifiez Paye comme Destination, puis sélectionnez Inverser la destination (Negate Destination). Vous appliquez ensuite cette stratégie de sécurité au groupe de sécurité Ingénierie. Le groupe Ingénierie est alors en mesure d'accéder à tout, à l'exception du serveur Paye.

g Sélectionnez les services et/ou les groupes de services auxquels la règle s'applique.

h Sélectionnez Activé (Enabled) ou Désactivé (Disabled) pour spécifier l'état de la règle.


VMware, Inc. 456

i Sélectionnez Journal (Log) pour consigner les sessions correspondant à cette règle.

L'activation de la journalisation peut affecter les performances.

j Entrez le texte que vous souhaitez ajouter dans la zone de texte Balise (Tag) lors de l'ajout ou de la modification de la règle de pare-feu.

k Cliquez sur OK.

Pour ajouter des règles de pare-feu supplémentaires, suivez les instructions ci-dessus. Vous pouvez gérer les règles de pare-feu au moyen des icônes se trouvant au-dessus du tableau des pare-feu.

Dans NSX 6.4.0, vous pouvez exporter ou copier les règles affichées sur cette page en

cliquant sur l'icône située dans la partie inférieure droite de la page Pare-feu.

Les règles de pare-feu que vous ajoutez ici s'affichent dans le tableau Pare-feu. VMware recommande de ne pas modifier les règles de Service Composer dans le tableau Pare-feu. Si vous devez le faire pour un dépannage d'urgence, vous devrez resynchroniser les règles de Service Composer avec les règles de pare-feu comme suit :

n Dans NSX 6.4.1 et versions ultérieures, sélectionnez Synchroniser (Synchronize) dans l'onglet Stratégies de sécurité.

n Dans NSX 6.4.0, sélectionnez Synchroniser les règles de pare-feu (Synchronize Firewall Rules) dans le menu Actions de l'onglet Stratégies de sécurité.


La page Services d'introspection réseau affiche les services NetX que vous avez intégrés à votre environnement virtuel VMware.

12 Cliquez sur la case pour activer les paramètres facultatifs suivants :

Option Description



13 Cliquez sur Ajouter (Add) ou sur l'icône Ajouter un service d'introspection réseau (Add

Network Introspection Service) ( ).

a Entrez un nom et une description pour le service que vous ajoutez.

b Sélectionnez s'il convient ou non de rediriger vers le service.

c Sélectionnez le nom et le profil du service.

d Sélectionnez la source et la destination.


VMware, Inc. 457

e Sélectionnez le service réseau que vous souhaitez ajouter.

Vous pouvez effectuer d'autres sélections en fonction du service que vous avez sélectionné.

f Sélectionnez s'il convient d'activer ou de désactiver le service.

g Sélectionnez Journal pour consigner les sessions correspondant à cette règle.

h Entrez le texte que vous voulez ajouter dans la zone de texte Balise (Tag).

i Cliquez sur OK.

Vous pouvez ajouter des services d'introspection réseau supplémentaires en suivant les instructions ci-dessus. Vous pouvez gérer les services d'introspection réseau au moyen des icônes situées au-dessus du tableau des services.

Dans NSX 6.4.0, vous pouvez exporter ou copier les services figurant dans cette page

en cliquant sur l'icône située dans la partie inférieure droite de la page Service d'introspection réseau.

Note Les liaisons créées manuellement pour les profils de service utilisés dans les règles de Service Composer seront désactivées.


La stratégie de sécurité est ajoutée au tableau des stratégies. Vous pouvez cliquer sur le nom de la stratégie et sélectionner l'onglet approprié pour afficher un résumé des services associés à la stratégie, afficher les erreurs de service ou modifier un service.

Étape suivante

Mappez la stratégie de sécurité sur un groupe de sécurité.

Appliquer une règle de sécurité à un groupe de sécurité

Vous pouvez appliquer une règle de sécurité à un groupe de sécurité pour sécuriser vos postes de travail virtuels, applications stratégiques, ainsi que les connexions entre eux. Vous pouvez également afficher la liste des services qui n'ont pas été appliqués et la raison de l'échec.

Procédure



3 Sélectionnez une stratégie de sécurité et cliquez sur l'icône Appliquer (Apply) ou sur l'icône

Appliquer une stratégie de sécurité (Apply Security Policy) ( ).


VMware, Inc. 458

4 Sélectionnez le groupe de sécurité auquel vous souhaitez appliquer la stratégie.


Si vous sélectionnez un groupe de sécurité défini par des machines virtuelles auxquelles une balise de sécurité est appliquée, vous pouvez créer un workflow dynamique ou conditionnel. Dès que la balise est appliquée à une machine virtuelle, cette dernière est automatiquement ajoutée à ce groupe de sécurité.

Les règles d'introspection réseau et les règles Endpoint associées à la règle ne s'appliquent pas pour les groupes de sécurité contenant des membres d'ensembles IP et/ou d'ensembles MAC.

5 (Facultatif) (Dans NSX 6.4.0 uniquement) Cliquez sur l'icône Générer un aperçu de l'état du service (Preview Service Status) pour afficher les services ne pouvant pas être appliqués au groupe de sécurité sélectionné et la raison de l'échec.

Par exemple, le groupe de sécurité peut inclure une machine virtuelle qui appartient à un cluster sur lequel l'un des services de la stratégie n'a pas été installé. Vous devez installer ce service sur le cluster approprié pour que la règle de sécurité fonctionne comme prévu.

6 Cliquez sur OK.

Canevas Service Composer

L'onglet Canevas Service Composer propose une vue graphique affichant tous les groupes de sécurité qui figurent dans l'instance de NSX Manager sélectionnée. La vue affiche également des détails tels que les membres de chaque groupe de sécurité ainsi que la stratégie de sécurité qui lui est appliquée.

Note Dans NSX 6.4.1 et versions ultérieures, l'onglet Service Composer > Canevas (Canvas) est supprimé.

Cette rubrique présente Service Composer en vous montrant un système partiellement configuré pour vous permettre de visualiser les mappages entre les groupes de sécurité et les objets de la stratégie de sécurité à un niveau élevé dans la vue canevas.

Procédure



VMware, Inc. 459

2 Cliquez sur l'onglet Canevas (Canvas).

État de la synchronisation (Synchronization Status), qui affiche des erreurs ou des avertissements, et État de publication du pare-feu (Firewall Publish Status), qui affiche la date et l'heure de la dernière publication réussie de règles de pare-feu, apparaissent en haut de l'écran.

Tous les groupes de sécurité au sein de NSX Manager sélectionné (qui ne sont pas contenus dans un autre groupe de sécurité) s'affichent avec les stratégies qui leur sont appliquées. La liste déroulante NSX Manager répertorie tous les NSX Manager sur lesquels un rôle est attribué à l'utilisateur actuellement connecté.

Résultats

Chaque boîte rectangulaire dans le canevas représente un groupe de sécurité et les icônes contenues dans la boîte représentent les membres du groupe de sécurité et fournissent des informations sur la stratégie de sécurité mappée au groupe de sécurité.

Figure 18-3. Groupe de sécurité

Un nombre en regard de chaque icône indique le nombre d'instances, par exemple, indique que 1 stratégie de sécurité est mappée sur ce groupe de sécurité.

Icône Cliquez pour afficher

Groupes de sécurité imbriqués dans le groupe de sécurité principale.

Machines virtuelles faisant actuellement partie du groupe de sécurité principal ainsi que des groupes de sécurité imbriqués. Cliquez sur l'onglet Erreurs pour voir des machines virtuelles présentant des erreurs de service.

Stratégies de sécurité effectives mappées au groupe de sécurité.

n Vous pouvez créer une nouvelle stratégie de sécurité en cliquant sur l'icône Créer une stratégie de sécurité

(Security Policy) ( ). La stratégie de sécurité récemment créée est automatiquement mappée au groupe de sécurité.

n Mappez des stratégies de sécurité supplémentaires au groupe de sécurité en cliquant sur l'icône Appliquer

une stratégie de sécurité (Apply Security Policy) ( ).


VMware, Inc. 460

Icône Cliquez pour afficher

Services Endpoint effectifs associés à la stratégie de sécurité mappée sur le groupe de sécurité. Supposons que deux stratégies sont appliquées à un groupe de sécurité et qu'un service Endpoint de même catégorie est configuré pour ces deux stratégies. Le nombre de services effectifs dans ce cas est de 1 (car le service de deuxième priorité inférieure est remplacé).

Les pannes de services Endpoint, le cas échéant, sont indiquées par l'icône d'alerte. Pour afficher l'erreur, cliquez sur l'icône.

Règles de pare-feu effectives associées à la stratégie de sécurité mappée sur le groupe de sécurité.

Les pannes de service, le cas échéant, sont indiquées par l'icône d'alerte. Pour afficher l'erreur, cliquez sur l'icône.

Services d'introspection réseau effectifs associés à la stratégie de sécurité mappée sur le groupe de sécurité.

Les pannes de service, le cas échéant, sont indiquées par l'icône d'alerte. Pour afficher l'erreur, cliquez sur l'icône.

Il suffit de cliquer sur une icône pour afficher une boîte de dialogue présentant les informations correspondantes.

Figure 18-4. Informations affichées lorsque vous cliquez sur une icône dans le groupe de sécurité

Vous pouvez rechercher des groupes de sécurité par leur nom. Par exemple, si vous tapez PCI dans le champ de recherche dans l'angle supérieur droit de la vue canevas, seuls les groupes de sécurité dont le nom contient les caractères PCI s'affichent.

Pour voir la hiérarchie du groupe de sécurité, cliquez sur l'icône Premier niveau (Top Level)

( ) dans l'angle supérieur gauche de la fenêtre et sélectionnez le groupe de sécurité que vous souhaitez afficher. Si un groupe de sécurité contient des groupes de sécurité imbriqués, cliquez

sur pour afficher les groupes imbriqués. La barre supérieure affiche le nom du groupe de sécurité parent et les icônes dans la barre affichent le nombre total de stratégies de sécurité, de services Endpoint, de services de pare-feu et de services d'introspection réseau applicables au groupe parent. Vous pouvez revenir au niveau supérieur en cliquant sur l'icône Monter d'un

niveau (Go up one level) ( ) dans la partie supérieure gauche de la fenêtre.

Vous pouvez faire un zoom avant et arrière dans la vue canevas en déplaçant le curseur de zoom dans le coin supérieur droit de la fenêtre. La zone Navigateur affiche une vue en zoom arrière de tout le canevas. Si la taille du canevas est telle que ce dernier ne tient pas entièrement à l'écran, une boîte délimite la zone visible et vous pouvez la déplacer pour changer la section du canevas affichée.


VMware, Inc. 461

Étape suivante

Maintenant que vous connaissez mieux le fonctionnement du mappage entre les groupes de sécurité et les stratégies de sécurité, vous pouvez commencer à créer des stratégies de sécurité pour définir les services de sécurité que vous souhaitez appliquer à vos groupes de sécurité.

Mapper un groupe de sécurité sur une règle de sécurité

Vous pouvez mapper le groupe de sécurité sélectionné sur une règle de sécurité.

Procédure

1 Sélectionnez la règle de sécurité que vous souhaitez appliquer au groupe de sécurité.

2 Pour créer une nouvelle stratégie, sélectionnez Nouveau groupe de sécurité.

Reportez-vous à la section Créer une règle de sécurité.

3 Cliquez sur Enregistrer (Save).

Utilisation des balises de sécurité

Vous pouvez afficher les balises de sécurité appliquées à une machine virtuelle ou créer une balise de sécurité définie par l'utilisateur.

Les balises de sécurité sont des étiquettes qui peuvent être associées à une machine virtuelle (VM). Il est possible de créer différentes balises de sécurité pour identifier une charge de travail donnée. Les critères de correspondance d'un groupe de sécurité peuvent être une balise de sécurité, et une charge de travail qui est marquée peut être placée automatiquement dans un groupe de sécurité.

L'ajout et la suppression de balises de sécurité sur une VM peuvent être dynamiques en fonction de différents critères tels que des analyses d'antivirus ou de vulnérabilité, et des systèmes de prévention des intrusions. L'ajout et la suppression manuelles des balises peuvent être effectuées par un administrateur.


Dans un environnement cross-vCenter NSX, les balises de sécurité universelle sont créées sur l'instance principale de NSX Manager et peuvent être marquées pour la synchronisation universelle avec les instances secondaires de NSX Manager. Les balises de sécurité universelle peuvent être attribuées aux VM de façon statique, suivant une sélection d'ID unique.

Sélection d'ID unique

Le critère de sélection d'ID unique est utilisé pour attribuer des balises aux machines virtuelles dans le cadre de déploiements en mode Veille active.


VMware, Inc. 462

L'ID unique est utilisé par NSX Manager lorsqu'une machine virtuelle (VM) passe du mode veille au déploiement actif. L'ID unique peut être basé sur l'UUID d'instance, l'UUID de BIOS ou le nom de la machine virtuelle, ou encore une combinaison de ces options. En cas de modification des critères (par exemple, si le nom de la machine virtuelle change) après la création des balises de sécurité universelle et leur association aux machines virtuelles, la balise de sécurité doit être détachée des machines virtuelles, puis rattachée.

Procédure

1 Dans vSphere Web Client, accédez à Accueil > Mise en réseau et sécurité > Installation et mise à niveau (Home > Networking & Security > Installation and Upgrade) et sélectionnez l'onglet Gestion (Management).

2 Cliquez sur l'instance principale de NSX Manager, puis sélectionnez Actions > Critères de sélection d'ID unique (Actions > Unique ID Selection Criteria.).

3 Sélectionnez une ou plusieurs des options d'ID unique.

n Utilisez l'UUID de l'instance de machine virtuelle (recommandé) - L'UUID de l'instance de machine virtuelle est unique dans un domaine VC, à quelques exceptions près, par exemple lorsque les déploiements se font par snapshots. Si l'UUID de l'instance de machine virtuelle n'est pas unique, utilisez l'UUID du BIOS de la machine virtuelle, combiné au nom de la machine virtuelle.

n Utilisez l'UUID du BIOS de la machine virtuelle - L'UUID du BIOS n'est pas toujours unique dans un domaine VC, mais il est toujours préservé en cas d'incident. Utilisez l'UUID du BIOS en combinaison avec le nom de la machine virtuelle.

n Utiliser un nom de machine virtuelle - Si tous les noms de VM d'un environnement sont uniques, il est possible d'utiliser le nom des VM pour les identifier sur des instances vCenter. Utilisez le nom de la machine virtuelle en combinaison avec l'UUID du BIOS de celle-ci.

4 Cliquez sur OK.

Étape suivante

Ensuite, créez des balises de sécurité.

Afficher des balises de sécurité appliquées

Vous pouvez afficher les balises de sécurité appliquées aux machines virtuelles dans votre environnement.


Une analyse d'antivirus doit avoir été exécutée et une balise doit avoir été appliquée à la machine virtuelle adéquate.

Note Reportez-vous à la documentation de la solution tierce pour obtenir des informations détaillées sur les balises appliquées par ces solutions.


VMware, Inc. 463

Procédure


2 Cliquez sur l'onglet Balises de sécurité (Security Tags).

Une liste de balises appliquées dans votre environnement s'affiche avec des informations détaillées sur les machines virtuelles auxquelles ces balises ont été appliquées. Notez le nom de balise exact si vous prévoyez d'ajouter un groupe de sécurité pour inclure des machines virtuelles avec une balise spécifique.

3 Cliquez sur le nombre dans la colonne Nombre de VM (VM Count) pour afficher les machines virtuelles auxquelles cette balise dans cette ligne a été appliquée.

Créer une balise de sécurité

Vous pouvez créer une balise de sécurité et l'appliquer à une machine virtuelle. Dans un environnement cross-vCenter, les balises de sécurité sont synchronisées entre des instances principales et secondaires de NSX Manager.


Si vous créez une balise de sécurité universelle dans le cadre d'un déploiement en veille active, définissez tout d'abord les critères de sélection d'ID unique sur l'instance principale de NSX Manager.

Procédure



3 Cliquez sur Ajouter (Add) ou sur l'icône Nouvelle balise de sécurité (New Security Tag).

4 (Facultatif) Pour créer une balise de sécurité universelle pour une utilisation dans les environnements cross-vCenter NSX :

n Dans NSX 6.4.1 et versions ultérieures, cliquez sur le bouton d'activation/désactivation de Synchronisation universelle (Universal Synchronization) pour le faire passer sur Activer (On).

n Dans NSX 6.4.0, sélectionnez Marquer cet objet pour la synchronisation universelle (Mark this object for Universal Synchronization).

5 Tapez un nom et une description pour la balise, puis cliquez sur OK.

Étape suivante

Affectez des machines virtuelles à la balise de sécurité.


VMware, Inc. 464

Attribuer une balise de sécurité

Outre la création d'un workflow conditionnel avec balise de sécurité de type appartenance dynamique, vous pouvez manuellement attribuer une balise de sécurité à des machines virtuelles.

Les balises de sécurité peuvent être utilisées comme critères correspondants dans les groupes de sécurité. Dans un environnement cross-vCenter, les balises de sécurité sont synchronisées entre des instances principales et secondaires de NSX Manager.

Procédure



3 Pour attribuer une balise de sécurité à la machine virtuelle :

u Dans NSX 6.4.1 et versions ultérieures, sélectionnez la balise de sécurité requise et cliquez sur Attribuer une VM (Assign VM).

u Dans NSX 6.4.0, cliquez avec le bouton droit sur une balise de sécurité et sélectionnez Attribuer une balise de sécurité (Assign Security Tag).

La fenêtre Attribuer une balise de sécurité à une machine virtuelle (Assign Security Tag to Virtual Machine) s'affiche, avec les VM disponibles.

4 Sélectionnez une ou plusieurs machines virtuelles pour les déplacer vers la colonne Objets sélectionnés (Selected Objects).

5 Cliquez sur OK.

L'onglet Balises de sécurité (Security Tags) s'affiche avec un nombre de VM actualisé pour la balise de sécurité.

Modifier une balise de sécurité

Vous pouvez modifier une balise de sécurité définie par l'utilisateur. Si un groupe de sécurité est basé sur la balise que vous modifiez, des modifications apportées à la balise peuvent avoir une incidence sur l'appartenance au groupe de sécurité.

Procédure



3 Pour modifier une balise de sécurité :

u Dans NSX 6.4.1 et versions ultérieures, sélectionnez la balise de sécurité requise et cliquez sur Modifier (Edit).

u DansNSX 6.4.0, cliquez avec le bouton droit sur une balise de sécurité et sélectionnez Modifier la balise de sécurité (Edit Security Tag).


VMware, Inc. 465


Supprimer une balise de sécurité

Vous pouvez supprimer une balise de sécurité définie par l'utilisateur. Si un groupe de sécurité est basé sur la balise que vous supprimez, les modifications apportées à la balise peuvent avoir une incidence sur l'appartenance au groupe de sécurité.

Procédure



3 Sélectionnez une balise de sécurité et cliquez sur Supprimer (Delete) ou sur l'icône Supprimer

la balise de sécurité (Delete Security Tag) ( ).

Affichage des services effectifs

Vous pouvez afficher les services effectifs sur un objet d'une stratégie de sécurité ou sur une machine virtuelle.

Afficher des services effectifs sur une stratégie de sécurité

Vous pouvez afficher les services effectifs sur une stratégie de sécurité, notamment ceux hérités d'une stratégie parente.

Procédure



3 Cliquez sur une stratégie de sécurité dans la colonne Nom (Name).


VMware, Inc. 466

4 La fenêtre Stratégie de sécurité s'affiche :


NSX 6.4.1 et versions ultérieures Le volet de navigation gauche affiche Résumé (Summary), Règles de pare-feu (Firewall Rules), Services Guest Introspection (Guest Introspection Services), Services d'introspection réseau (Network Introspection Services) et Stratégies enfants (Child Policies).

Vous pouvez modifier, supprimer ou appliquer la stratégie au groupe de sécurité.

NSX 6.4.0 Accédez à l'onglet Gérer (Manage) > Sécurité des informations (Information Security).

Chacun des trois onglets s (Services Guest Introspection (Guest Introspection Services), Règles de pare-feu (Firewall Rules) et Services d'introspection réseau (Network Introspection Services)) affiche les services correspondants pour la stratégie de sécurité.

Les services qui ne fonctionnent pas sont affichés en grisé. La colonne Remplacé (Overridden) affiche les services qui sont réellement appliqués à la stratégie de sécurité et la colonne Paramètres (Settings) > Général (General)> Hérite de (Inherits from) affiche la stratégie de sécurité à partir de laquelle ces services sont hérités.

Afficher des pannes de service pour une stratégie de sécurité

Vous pouvez voir les services associés à une stratégie de sécurité qui n'ont pas pu s'appliquer au(x) groupe(s) de sécurité mappé(s) sur la stratégie.

Procédure



3 Cliquez sur une stratégie de sécurité dans la colonne Nom (Name).

4 (Facultatif) (Dans NSX 6.4.0 uniquement) Vérifiez que vous êtes dans l'onglet Surveiller (Monitor) > Erreurs de service (Service Errors).

Lorsque vous cliquez sur le lien dans la colonne État (Status), vous êtes dirigé vers la page Déploiement de services, dans laquelle vous pouvez corriger les erreurs des services.

Afficher des services effectifs sur une machine virtuelle

Vous pouvez afficher les services effectifs sur une machine virtuelle. Si plusieurs stratégies de sécurité sont appliquées sur une machine virtuelle (c'est-à-dire que la machine virtuelle appartient à plusieurs groupes de sécurité mappés sur des stratégies), cet affichage répertorie tous les


VMware, Inc. 467

services effectifs pour l'ensemble des stratégies, dans leur ordre d'application. La colonne Statut du service affiche le statut de chaque service.

Procédure


2 Cliquez sur vCenter, puis sur Machines virtuelles (Virtual Machines).

3 Cliquez sur une machine virtuelle dans la colonne Nom (Name).

4 Vérifiez que vous êtes dans l'onglet Surveiller (Monitor) > Service Composer.

Utilisation de stratégies de sécurité

Une stratégie de sécurité est un groupe de services de réseau et de sécurité.

Les services de réseau et de sécurité suivants peuvent être regroupés en une stratégie de sécurité :

n Services Endpoint - services antivirus et de gestion de la vulnérabilité

n Règles du pare-feu distribué

n Service d'introspection réseau : système de prévention des intrusions réseau et outils d'analyse réseau

Gérer la priorité de règles de sécurité

Les règles de sécurité s'appliquent en fonction de leur pondération ; une règle dont la pondération est plus élevée sera prioritaire par rapport à une autre de pondération inférieure. Lorsque vous déplacez une règle vers le haut ou vers le bas dans le tableau, sa pondération est ajustée en fonction.

Il est possible que plusieurs règles de sécurité soient appliquées à une seule machine virtuelle, soit parce que le groupe de sécurité qui contient la machine virtuelle est associé à plusieurs règles, soit parce que la machine virtuelle fait partie de plusieurs groupes de sécurité associés à différentes règles. S'il y a conflit entre les services regroupés sous chaque règle, la pondération de la règle déterminera ceux qui s'appliqueront à la machine virtuelle. Par exemple, supposons que la règle 1, dont la valeur de pondération est 1 000, bloque l'accès à Internet, alors que la règle 2, dont la valeur de pondération est 2 000, autorise l'accès à Internet. Dans ce cas, la pondération de la règle 2 est supérieure et par conséquent la machine virtuelle aura accès à Internet.

Procédure



3 Cliquez sur Gérer (Manage) ou sur l'icône Gérer la priorité (Manage Priority) ( ).


VMware, Inc. 468

4 Dans la boîte de dialogue Gérer la priorité, sélectionnez la stratégie de sécurité dont vous

souhaitez modifier la priorité et cliquez sur Monter (Move Up) ( ) ou sur Descendre (Move

Down) ( ).

5 Si vous souhaitez déplacer un objet vers un classement particulier, cliquez sur Déplacer vers (Move To).

Entrez le classement requis, puis cliquez sur la coche verte ou sur OK.

La pondération est recalculée en fonction du nouveau classement.

6 Si vous souhaitez modifier la pondération de la stratégie, cliquez sur Modifier la pondération (Edit Weight).

Entrez la pondération requise, puis cliquez sur la coche verte ou sur OK.

7 Cliquez sur OK.

Modifier une règle de sécurité

Vous pouvez modifier le nom ou la description d'une règle de sécurité, ainsi que les services et règles associés.

Procédure



3 Sélectionnez la stratégie de sécurité que vous souhaitez modifier et cliquez sur Modifier (Edit)

ou sur l'icône Modifier une stratégie de sécurité (Edit Security Policy) ( ).

4 Dans la boîte de dialogue Modifier une règle de sécurité, effectuez les modifications appropriées, puis cliquez sur Terminer (Finish).

Supprimer une règle de sécurité

Vous pouvez supprimer une règle de sécurité.

Procédure



3 Sélectionnez la stratégie de sécurité à supprimer et cliquez sur Supprimer (Delete) ou sur

l'icône Supprimer une stratégie de sécurité (Delete Security Policy)( ).


VMware, Inc. 469

Importation et exportation de configurations de la stratégie de sécurité

Vous pouvez utiliser Service Composer pour exporter la configuration de la stratégie de sécurité vers un format de fichier spécifique à partir d'un dispositif NSX Manager et importer la configuration exportée dans un autre dispositif NSX Manager.

Dans Service Composer, il n'est pas possible d'exporter directement des groupes de sécurité. Vous devez d'abord vous assurer qu'une stratégie de sécurité est attribuée à un groupe de sécurité, puis exporter cette stratégie de sécurité. L'intégralité du contenu de la stratégie de sécurité, comme les règles DFW, les règles Guest Introspection, les règles d'introspection réseau et les groupes de sécurité qui sont liés à la stratégie de sécurité sont exportés.

Lorsqu'un groupe de sécurité de conteneur contient des groupes de sécurité imbriqués, ces derniers ne sont pas exportés. Lors de l'exportation, vous pouvez ajouter un préfixe à la stratégie. Le préfixe est appliqué au nom de la stratégie, au nom des actions de stratégie et au nom du groupe de sécurité.

Lors de l'importation de la configuration dans un autre NSX Manager, vous pouvez spécifier un suffixe. Le suffixe est appliqué au nom de la stratégie, au nom des actions de stratégie et au nom du groupe de sécurité. Si un groupe de sécurité ou une stratégie de sécurité du même nom existe sur le dispositif NSX Manager sur lequel l'importation se produit, l'importation de la configuration de la stratégie de sécurité échoue.

Exporter une configuration de stratégie de sécurité

Vous pouvez exporter une configuration de stratégie de sécurité et l'enregistrer sur votre poste de travail. La configuration enregistrée peut être utilisée comme sauvegarde au cas où vous supprimeriez accidentellement une configuration de stratégie, ou peut être exportée pour être utilisée dans un autre environnement NSX Manager.

Procédure



3 Sélectionnez la stratégie de sécurité à exporter.

4 Cliquez sur Plus (More) ou sur Actions, puis sur Exporter la configuration (Export Configuration).

5 Tapez un nom et une description pour la configuration que vous exportez.

6 Si nécessaire, tapez un préfixe à ajouter aux stratégies et aux groupes de sécurité en cours d'exportation.

Si vous spécifiez un préfixe, celui-ci est ajouté aux noms des stratégies de sécurité cibles garantissant ainsi qu'ils ont des noms uniques.


VMware, Inc. 470


8 Sur la page Sélectionner des stratégies de sécurité, sélectionnez la stratégie de sécurité à exporter, puis cliquez sur Suivant (Next).

9 La page Aperçu de la sélection ou Prêt à terminer affiche les stratégies de sécurité, les services de point de terminaison, les règles de pare-feu et les services d'introspection réseau à exporter.

Cette page affiche également les groupes de sécurité auxquels les stratégies de sécurité sont appliquées.


11 Sélectionnez le répertoire de votre ordinateur dans lequel vous souhaitez télécharger le fichier exporté, puis cliquez sur Enregistrer (Save).

Le fichier de configuration de stratégie de sécurité est enregistré à l'emplacement spécifié.

Importer une configuration de stratégie de sécurité

Vous pouvez importer une configuration de stratégie de sécurité enregistrée sous la forme d'une sauvegarde ou pour restaurer une configuration similaire sur un autre dispositif NSX Manager.

Lorsque vous importez la configuration, un groupe de sécurité vide est créé. Tous les services, profils de service, applications et groupes d'applications doivent exister dans l'environnement de destination, faute de quoi l'importation échoue.

Procédure



3 Cliquez sur Plus (More) ou sur Actions, puis sur l'icône Importer une configuration (Import Configuration).

4 Sélectionnez le fichier de configuration de stratégie de sécurité à importer.

5 Si nécessaire, tapez un suffixe à ajouter aux stratégies de sécurité et aux groupes de sécurité en cours d'importation.

Si vous spécifiez un suffixe, celui-ci est ajouté aux noms des stratégies de sécurité importées garantissant ainsi l'unicité de leurs noms.


Service Composer vérifie que tous les services auxquels il est fait référence dans la configuration sont disponibles dans l'environnement de destination. Si tel n'est pas le cas, sur la page Gérer les services manquants qui s'affiche, vous pouvez mapper les services manquants aux services cibles disponibles.


VMware, Inc. 471

La page Prêt à terminer affiche les stratégies de sécurité, les services de point de terminaison, les règles de pare-feu et les services d'introspection réseau à importer. Cette page affiche également les groupes de sécurité auxquels les stratégies de sécurité sont appliquées.


La configuration de stratégie de sécurité importée est ajoutée en haut du tableau des stratégies de sécurité (au-dessus des stratégies existantes) du dispositif NSX Manager cible. L'ordre d'origine des règles importées et des services de sécurité dans la stratégie de sécurité est conservé.

Scénarios de Service Composer

Cette section illustre des scénarios hypothétiques pour Service Composer. Nous partons du principe que le rôle d'administrateur de sécurité a été créé et attribué à l'administrateur dans chaque cas d'utilisation.

Scénario de mise en quarantaine de machines infectées

Service Composer peut identifier les systèmes infectés sur votre réseau à l'aide de solutions antivirus tierces et les mettre en quarantaine pour empêcher des contaminations futures.

Notre exemple de scénario montre comment protéger vos bureaux de bout en bout.


VMware, Inc. 472

Figure 18-5. Configuration de Service Composer

Tâches administrateur

Créez une règle de sécuritépour les bureaux(StratégieBureau)

Créez une règle de sécuritépour analyser les bureaux

(StratégieBureau)

Créez une règle de sécuritépour isoler les systèmes infectés

(StratégieQuarantaine)

Créez une règle de sécurité pourles machines virtuelles infectées

(StratégieQuarantaine)

Mappez Quarantaine surSecurityGroupQuarantaine

Exécutez l'analysede la solution partenaire

Mappez StratégieBureau surSecurityGroupBureau


VMware, Inc. 473

Figure 18-6. Workflow conditionnel de Service Composer

Tâches administrateur

Action automatique parService Composer

AnalyseVulnerabilityManagement

Machine virtuelle baliséeajoutée instantanément àQuarantineSecurityGroup

VM dansQuarantineSecurityGroup

protégée par IPS

Identifier la VMvulnérable


Nous sommes conscients que Symantec marque les machines virtuelles infectées avec la balise AntiVirus.virusFound.

Procédure

1 Installez, enregistrez et déployez la solution anti-malwarede Symantec.

2 Créez une stratégie de sécurité pour vos bureaux.

a Cliquez sur l'onglet Stratégies de sécurité (Security Policies), puis cliquez sur l'icône Ajouter une stratégie de sécurité (Add Security Policy).

b Dans Nom (Name), tapez StratégieBureau.

c Dans Description, tapez Analyse antivirus pour tous les bureaux.

d Modifiez la pondération à 51000. La priorité de la stratégie est définie sur une valeur très élevée afin de s'assurer qu'elle est appliquée avant toutes les autres stratégies.

e Cliquez sur Suivant (Next).


VMware, Inc. 474

f Dans la page Ajouter un service Endpoint, cliquez sur et indiquez les valeurs suivantes.

Option Valeur

Action Ne modifiez pas la valeur par défaut

Type de service (Service Type) Anti Virus

Nom du service (Service Name) Logiciel anti-malwarede Symantec

Configuration de service (Service Configuration)

Silver

État (State) Ne modifiez pas la valeur par défaut

Appliquer (Enforce) Ne modifiez pas la valeur par défaut

Nom (Name) Desktop AV

Description Stratégie obligatoire à appliquer sur tous les bureaux

g Cliquez sur OK.

h N'ajoutez pas de services de pare-feu ou d'introspection réseau, puis cliquez sur Terminer (Finish).

3 Créez une stratégie de sécurité pour les machines virtuelles infectées.

a Cliquez sur l'onglet Stratégies de sécurité (Security Policies), puis cliquez sur l'icône Ajouter une stratégie de sécurité (Add Security Policy).

b Dans Nom, tapez StratégieQuarantaine.

c Dans Description, tapez Stratégie à appliquer à tous les systèmes infectés..

d Ne modifiez pas la pondération par défaut.


f Dans la page Ajouter un service Endpoint, ne faites rien et cliquez sur Suivant (Next).

g Dans Pare-feu, ajoutez trois règles : une règle pour bloquer tout le trafic sortant, une deuxième pour bloquer tout le trafic avec des groupes et une dernière pour autoriser le trafic entrant provenant uniquement des outils de correction.

h N'ajoutez aucun service d'introspection réseau et cliquez sur Terminer (Finish).

4 Déplacez StratégieQuarantaine vers le haut du tableau des stratégies de sécurité pour

vous assurer qu'elle est appliquée avant toutes les autres stratégies.

a Cliquez sur l'icône Gérer la priorité (Manage Priority).

b Sélectionnez StratégieQuarantaine, puis cliquez sur l'icône Monter (Move Up).

5 Créez un groupe de sécurité pour tous les bureaux de votre environnement.


b Cliquez sur Mise en réseau et sécurité (Networking & Security), puis cliquez sur Service Composer.


VMware, Inc. 475

c Cliquez sur l'onglet Groupes de sécurité (Security Groups), puis cliquez sur l'icône Ajouter un groupe de sécurité (Add Security Group).

d Dans Nom, tapez SecurityGroupBureau.

e Dans Description, tapez Tous les bureaux.

f Cliquez sur Suivant (Next) dans les pages suivantes.

g Vérifiez vos sélections dans la page Prêt à terminer, puis cliquez sur Terminer (Finish).

6 Créez un groupe de sécurité de quarantaine dans lequel les machines virtuelles infectées doivent être placées.

a Cliquez sur l'onglet Groupes de sécurité (Security Groups), puis cliquez sur l'icône Ajouter un groupe de sécurité (Add Security Group).

b Dans Nom (Name), tapez SecurityGroupQuarantaine.

c Dans Description, tapez Appartenance au groupe dynamique basée sur les machines virtuelles infectées identifiées par l'analyse antivirus.

d Dans la page Définir les critères d'appartenance, cliquez sur et ajoutez les critères suivants.

e Ne faites rien dans la page Sélectionner les objets à inclure ou Sélectionner les objets à exclure, puis cliquez sur Suivant (Next).

f Vérifiez vos sélections dans la page Prêt à terminer, puis cliquez sur Terminer (Finish).

7 Mappez la stratégie StratégieBureau au groupe de sécurité SecurityGroupBureau.

a Dans l'onglet Règles de sécurité, vérifiez que la stratégie StratégieBureau est

sélectionnée.

b Cliquez sur l'icône Appliquer une règle de sécurité (Apply Security Policy) ( ), puis sélectionnez le groupe SG_Desktops.

c Cliquez sur OK.

Ce mappage garantit que tous les bureaux (appartenant au SecurityGroupBureau)) sont

analysés lorsqu'une analyse antivirus est lancée.


VMware, Inc. 476

8 Accédez à la vue de canevas pour vérifier que le SecurityGroupQuarantaine ne comporte

encore aucune machine virtuelle.

a Cliquez sur l'onglet Sécurité des informations (Information Security).

b Vérifiez qu'il n'y a aucune machine virtuelle dans le groupe ( ).

9 Mappez StratégieQuarantaine sur SecurityGroupQuarantaine.

Ce mappage garantit qu'aucun trafic n'atteint les systèmes infectés.

10 Dans la console du logiciel anti-malwarede Symantec, lancez une analyse de votre réseau.

L'analyse détecte les machines virtuelles infectées et leur attribue la balise de sécurité AntiVirus.virusFound. Les machines virtuelles balisées sont immédiatement ajoutées

au SecurityGroupQuarantaine. La StratégieQuarantaine n'autorise aucun trafic en

provenance ou à destination des systèmes infectés.

Sauvegarde de configurations de sécurité

Service Composer peut sauvegarder efficacement vos configurations de sécurité et les restaurer ultérieurement.

Procédure

1 Installer, enregistrer et déployer la solution Rapid 7 Vulnerability Management.

2 Créez un groupe de sécurité pour le premier niveau de l'application Share Point, les serveurs Web.


b Cliquez sur Mise en réseau et sécurité (Networking & Security), puis cliquez sur Service Composer.

c Cliquez sur l'onglet Groupes de sécurité (Security Groups), puis cliquez sur l'icône Ajouter un groupe de sécurité (Add Security Group).

d Dans Nom (Name), tapez SG_Web.

e Dans Description, tapez Groupe de sécurité pour le niveau application.

f Ne faites rien dans la page Définir les critères d'appartenance, puis cliquez sur Suivant (Next).

g Dans la page Sélectionner les objets à inclure, sélectionnez les machines virtuelles du serveur Web.

h Ne faites rien dans la page Sélectionner les objets à exclure, puis cliquez sur Suivant (Next).

i Vérifiez vos sélections dans la page Prêt à terminer, puis cliquez sur Terminer (Finish).


VMware, Inc. 477

3 Créez maintenant un groupe de sécurité pour votre base de données, partagez des serveurs Share Point et nommez-les respectivement SG_Database et SG_Server_SharePoint. Incluez

les objets appropriés dans chaque groupe.

4 Créez un groupe de sécurité de niveau supérieur pour votre niveau d'application et nommez-le SG_App_Group. Ajoutez SG_Web, SG_Database et SG_Server_SharePoint à ce groupe.

5 Créez une stratégie de sécurité pour vos serveurs Web.

a Cliquez sur l'onglet Stratégies de sécurité, puis cliquez sur l'icône Ajouter une stratégie de sécurité.

b Dans la section Nom, tapez SP_App.

c Dans Description, tapez SP pour des serveurs Web d'applications.

d Changez la pondération à 50 000. La priorité de la stratégie est définie à un niveau très élevé afin de garantir qu'elle est appliquée avant la plupart des autres stratégies (à l'exception de la quarantaine).

e Cliquez sur Suivant.

f Dans la page Services Endpoint, cliquez sur et renseignez les valeurs suivantes.

Option Valeur

Action Ne modifiez pas la valeur par défaut

Type de service (Service Type) Gestion de la vulnérabilité

Nom du service (Service Name) Rapid 7

Configuration de service (Service Configuration)

Silver

État (State) Ne modifiez pas la valeur par défaut

Appliquer (Enforce) Ne modifiez pas la valeur par défaut

g N'ajoutez pas de services de pare-feu ou d'introspection réseau, puis cliquez sur Terminer

(Finish).

6 Mappez SP_App sur SG_App_Group.

7 Accédez à la vue de canevas pour confirmer que SP_App a été mappé sur SG_App_Group.

a Cliquez sur l'onglet Sécurité des informations.

b Cliquez sur le nombre en regard de l'icône pour voir que SP_App est mappé.

8 Exportez la stratégie SP_App.

a Cliquez sur l'onglet Stratégies de sécurité, puis cliquez sur l'icône Exporter un Blueprint

(Export Blueprint) ( ).

b Dans Nom (Name), tapez Template_ App_ et dans Préfixe (Prefix), tapez

FromAppArchitect.


VMware, Inc. 478

c Cliquez sur Suivant.

d Sélectionnez la stratégie SP_App et cliquez sur Suivant.

e Vérifiez vos sélections et cliquez sur Terminer.

f Sélectionnez le répertoire de votre ordinateur dans lequel vous souhaitez télécharger le fichier exporté, puis cliquez sur Enregistrer.

La stratégie de sécurité ainsi que tous les groupes de sécurité auxquels cette stratégie a été appliquée (dans notre cas, le groupe de sécurité Application ainsi que les trois groupes de sécurité qui y sont imbriqués) sont exportés.

9 Pour démontrer comment fonctionne la stratégie exportée, supprimez la stratégie SP_App.

10 Nous allons maintenant restaurer la stratégie Template_ App_ DevTest que nous avons exportée à l'étape 7.

a Cliquez sur Actions, puis sur l'icône Importer une configuration de service (Import Service Configuration).

b Sélectionnez le fichier FromAppArtchitect_Template_App sur votre poste de travail

(vous l'avez enregistré à l'étape 7).

c Cliquez sur Suivant (Next).

d La page Prêt à terminer affiche les stratégies de sécurité et leurs objets associés (groupes de sécurité sur lesquels celles-ci ont été appliquées, ainsi que services Endpoint, règles de pare-feu et services d'introspection réseau) à importer.

e Cliquez sur Terminer (Finish).

La configuration et les objets associés sont importés dans l'inventaire vCenter et sont visibles dans la vue canevas.


VMware, Inc. 479

Guest Introspection 19Guest Introspection transfère le traitement des agents antivirus et contre les logiciels malveillants vers un dispositif virtuel sécurisé et dédié, fourni par des partenaires VMware. Étant donné que le dispositif virtuel sécurisé (à la différence d'une machine virtuelle invitée) n'est pas déconnecté, il peut mettre à jour en permanence les signatures antivirus, assurant ainsi une protection ininterrompue des machines virtuelles sur l'hôte. Par ailleurs, les nouvelles machines virtuelles (ou les machines virtuelles existantes qui ont été déconnectées) sont protégées immédiatement contre la plupart des signatures antivirus actuelles dès leur connexion.

L'état d'intégrité de Guest Introspection est transmis par des alarmes qui s'affichent en rouge sur la console vCenter Server. De plus, il est possible d'obtenir des informations d'état en consultant les journaux d'événements.

Important Votre environnement doit être configuré correctement pour la sécurité de Guest Introspection :

n Tous les hôtes d'un pool de ressources contenant des machines virtuelles protégées doivent être préparés pour Guest Introspection afin que les machines virtuelles continuent à être protégées, étant donné qu'elles sont migrées avec vMotion d'un hôte ESXi à un autre dans le pool de ressources. Dans NSX 6.4.1 et versions ultérieures, le matériel de la machine virtuelle doit être à la version v 9.0 ou supérieure pour que Guest Inretrospect prenne en charge la protection des machines virtuelles pendant la migration (vMotion) des machines virtuelles d'un hôte à l'autre.

n L'agent léger Guest Introspection doit être installé sur les machines virtuelles afin que celles-ci soient protégées par la solution de sécurité Guest Introspection. Seuls certains systèmes d'exploitation invités sont pris en charge. Les machines virtuelles avec des systèmes d'exploitation non pris en charge ne sont pas protégées par la solution de sécurité.


n Architecture de Guest Introspection

n Installer Guest introspection sur les clusters d'hôtes

n Installer l'agent léger Guest Introspection sur les machines virtuelles Windows

n Installer l'agent léger Guest Introspection sur les machines virtuelles Linux

n Affichage du statut de Guest Introspection

VMware, Inc. 480

n Messages d'audit Guest Introspection

n Événements Guest Introspection

n Désinstallation d'un module Guest Introspection

Architecture de Guest Introspection

Architecture de NSX Guest Introspection – Intégration des partenaires

Interface utilisateur de NSX/REST API

NSX Manager

Configurer le groupe de sécuritéet la stratégie

Alertes REST APId'inscription de partenaire

Configuration/État (définis parle partenaire)

Déploiement deSVM de partenaire

Déploiement deSVM GI

Événements d'intégrité(RMQ)

Données deconfiguration(RMQ)

Hyperviseur ESXi

VMware ToolsBibliothèque

EPSec

SVM GI

VM

Légende

VMCI

Flux de données de configuration

Flux de données de surveillance de l'intégrité

Flux de données d'enregistrement de partenaire

Flux de données VM-SVM

Configuration des partenaires / Flux d'étatInterface de communicationde machine virtuelle VMwareBus de messages RabbitMQRMQ

Configurationde GI(VMCI)

(VMCI)

Événementsde surveillance de l'intégrité(TCP)

Événements de fichier, de réseau et de temporisateur,

requêtes SVM et réponses

ServiceComposer etregroupement

Gestionnairede configurations

Relais de configuration et de surveillancede l'intégrité

VM invitée SVM de partenaire

Agentléger GI

Module ESXi GI

Surveillancede l'intégrité

Infrastructured'insertionde service

vCenterServer

vSphere ESXiAgent Manager

(EAM)

Consolede gestion

de partenaire


VMware, Inc. 481

Guest Introspection se compose de plusieurs composants associés :

n La console de gestion de partenaire est responsable de l'enregistrement du service (par exemple, antivirus sans agent) auprès de NSX Data Center for vSphere, de la configuration et de la surveillance des machines virtuelles de sécurité de partenaire déployées (SVM de partenaire) et de l'envoi à NSX Manager de messages d'opérations de balisage de machine virtuelle.

n vCenter gère l'instance d'ESX Agent Manager (EAM) qui est responsable du déploiement des SVM de partenaire et de la machine virtuelle de sécurité Guest Introspection (GI-SVM) sur les hôtes de clusters sur lesquels le service de partenaire est configuré.

n NSX Manager est le contrôle central pour Guest Introspection. Il fournit des informations à EAM sur les hôtes qui nécessitent qu'une SVM de partenaire et une GI-SVM soit déployée, envoie des informations de configuration GI à la GI-SVM, reçoit des informations de vérification de l'intégrité GI de la part de l'hôte et exécute des commandes de balisage reçues de la part de la console de gestion de partenaire.

Sur l'hôte, la SVM de partenaire reçoit des événements d'activité et des informations à partir des composants GI via la bibliothèque EPSEC et effectue des opérations de sécurité et des analyses afin de détecter de potentielles menaces ou vulnérabilités. La SVM de partenaire communique ces événements à la console de gestion de partenaire pour exécuter des actions NSX Data Center for vSphere, telles que le regroupement et le balisage. Le module ESX GI dans l'hyperviseur agit comme un commutateur pour transmettre des événements pertinents depuis les agents légers installés sur la machine virtuelle vers la SVM de partenaire appropriée pour l’analyse. La SVM GI utilise des informations de configuration reçues de la part de NSX Manager afin de configurer correctement le module ESX GI à mesure que les machines virtuelles sont instanciées ou déplacées, de générer le contexte d'Identity Firewall et de surveillance des points de terminaison, et de renvoyer à NSX Manager des informations sur l'intégrité relatives à GI.

Questions fréquemment posées sur les SVM et les GI SVM :

Y-a-t-il une différence entre une SVM et une GI USVM ? Les SVM font référence à des tiers (partenaires), tels que Trend et McAfee. Une USVM est une SVM GI.

Quelles sont les caractéristiques clés des SVM et GI SVM qui les différencient d'une VM standard ? Guest Introspection transfère le traitement des agents antivirus et anti-programme malveillant vers un dispositif virtuel sécurisé dédié. Étant donné que le dispositif virtuel sécurisé (contrairement à une machine virtuelle invitée) n'est pas déconnecté, il peut mettre à jour en permanence les signatures antivirus, assurant ainsi une protection ininterrompue des machines virtuelles sur l'hôte.

La machine virtuelle de service universelle Guest Introspection (GI USVM), offre une infrastructure pour l'exécution des produits antivirus tiers sur des machines virtuelles invitées de l'extérieur. Ainsi, les agents antivirus ne sont pas nécessaires dans chaque machine virtuelle. Les SVM contiennent des fichiers binaires et des applications spécifiques ajoutés par le fournisseur de la SVM. Le fournisseur de USVM GI est NSX Data Center for vSphere.

Toute VM peut-elle être déployée/gérée comme une SVM ? Non, les SVM sont préconstruites et fournies par le fournisseur.


VMware, Inc. 482

Y a-t-il une spécification SVM ou USVM GI pour la journalisation ? Non, il n’existe aucune spécification.

Y-a-t-il un guide public sur les événements relatifs aux SVM/USVM ? Non, les journaux de SVM sont utilisés à des fins de dépannage interne.

Installer Guest introspection sur les clusters d'hôtes

L'installation de Guest introspection installe automatique un nouveau VIB et une machine virtuelle de service sur chaque hôte du cluster. Guest introspection est requis pour Activity Monitoring et plusieurs solutions de sécurité de tiers.

Note Vous ne pouvez pas migrer une VM de service (SVM) avec vMotion/SvMotion. Les SVM doivent rester sur l'hôte sur lequel elles ont été déployées pour un fonctionnement correct.


Les instructions d'installation qui suivent supposent que vous disposez du système suivant :

n Un centre de données de données avec les versions prises en charge de vCenter Server et d'ESXi installées sur chaque hôte du cluster.

n Les hôtes dans le cluster sur lequel vous voulez installer Guest introspection ont été préparés pour NSX. Consultez la section « Préparer des clusters d'hôtes pour NSX » dans le Guide d'installation de NSX. Guest introspection ne peut pas être installé sur des hôtes autonomes. Si vous déployez et gérez Guest introspection pour la capacité de déchargement d'antivirus uniquement, vous n'avez pas besoin de préparer les hôtes pour NSX, et la licence NSX for vShield Endpoint ne l'autorise pas.

n NSX Manager installé et en cours d'exécution.

n Assurez-vous que NSX Manager et les hôtes préparés qui exécutent les services Guest Introspection sont reliés au même serveur NTP et que l'heure est synchronisée. Si ce n'est pas le cas, il se peut que les machines virtuelles ne soient pas protégées par des services antivirus, même si l'état du cluster est vert pour Guest introspection et tout service tiers.

Si vous ajoutez un serveur NTP, VMware recommande que vous redéployiez Guest introspection et tout service tiers.

n Si votre réseau contient vSphere 7.0 ou version ultérieure, assurez-vous que les clusters vCenter n'utilisent pas une image vSphere Lifecycle Manager (vLCM) pour gérer les opérations de cycle de vie de l'hôte ESXi. Le service Guest Introspection ne peut pas être installé sur les clusters vCenter qui utilisent une image vLCM.


VMware, Inc. 483

Pour vérifier si une image vLCM est utilisée pour gérer des hôtes dans le cluster, connectez-vous à vSphere Client et accédez à Hôtes et clusters. Dans le volet de navigation, cliquez sur le cluster, puis accédez à Mises à jour > Image. Si une image vLCM n'est pas utilisée pour le cluster, vous devez voir le bouton Configurer l'image. Si une image vLCM est utilisée pour le cluster, vous pouvez afficher les détails de l'image, tels que la version d'ESXi, les modules complémentaires du fournisseur, les détails de la conformité de l'image, etc.

Si vous souhaitez attribuer une adresse IP à la machine virtuelle de service Guest introspection à partir d'un pool d'adresses IP, créez le pool d'adresses IP avant d'installer Guest introspection. Consultez la section Utilisation des pools d'adresses IP dans le Guide d'administration de NSX.

Attention Guest introspection utilise le sous-réseau 169.254.x.x pour attribuer des adresses IP en interne pour le service GI. Si vous attribuez l'adresse IP 169.254.1.1 à n'importe quelle interface VMkernel d'un hôte ESXi, l'installation de Guest introspection échouera. Le service GI utilise cette adresse IP pour la communication interne.

vSphere Fault Tolerance ne fonctionne pas avec Guest introspection.

Guest introspection n'est pas pris en charge avec vSphere Auto Deploy sur des hôtes ESXi sans état.

Procédure

1 Accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Déploiement du service (Service Deployment).


3 Dans la boîte de dialogue Déployer les services Réseau et sécurité, sélectionnez Guest Introspection.

4 Dans Spécifier la planification (Specify schedule) (en bas de la boîte de dialogue), sélectionnez Déployer maintenant (Deploy now) pour déployer Guest Introspection immédiatement après son installation ou sélectionnez une date et une heure de déploiement.


6 Sélectionnez le centre de données et les clusters dans lesquels vous souhaitez installer Guest Introspection, puis cliquez sur Suivant (Next).

7 Sur la page Sélectionner le réseau de stockage et de gestion, sélectionnez la banque de données à laquelle ajouter le stockage des machines virtuelles de service ou sélectionnez Spécifié sur l'hôte (Specified on host). Nous vous conseillons d'utiliser des banques de données et réseaux partagés plutôt que « spécifiés sur l'hôte » afin d'automatiser les workflows du déploiement.

La banque de données doit être disponible sur tous les hôtes dans le cluster sélectionné.

Si vous avez sélectionné Spécifié sur l'hôte (Specified on host), effectuez les sous-étapes ci-dessous pour chaque hôte du cluster.

a Dans la page d'accueil, cliquez sur Hôtes et clusters (Hosts and Clusters).


VMware, Inc. 484

b Cliquez sur un hôte dans le navigateur, puis cliquez sur Configurer (Configure).

c Dans le volet de navigation de gauche, cliquez sur Machines virtuelles (Virtual Machines), sur Machines virtuelles de l'agent (Agent VMs), puis sur Modifier (Edit).

d Sélectionnez la banque de données et cliquez sur OK.

8 Si vous définissez une banque de données comme Spécifié sur l'hôte (Specified on host), vous devez définir le réseau également comme Spécifié sur l'hôte (Specified on host).

Si vous avez sélectionné Spécifié sur l'hôte (Specified on host), suivez les sous-étapes de l'étape 7 pour sélectionner un réseau sur l'hôte. Lorsque vous ajoutez un ou plusieurs hôtes à un cluster, la banque de données et le réseau doivent être définis avant l'ajout de chaque hôte au cluster.

9 Dans la section Attribution IP, sélectionnez l'une des options suivantes :

Sélectionner Pour

DHCP Attribuez une adresse IP à la machine virtuelle de service Guest Introspection via le protocole DHCP (Dynamic Host Configuration Protocol). Sélectionnez cette option si vos hôtes se trouvent sur des sous-réseaux différents.

Utiliser le pool IP Attribuez une adresse IP à la machine virtuelle de service Guest Introspection à partir du pool d'adresses IP sélectionné.

10 Cliquez sur Suivant (Next), puis sur Terminer (Finish) sur la page Prêt à terminer.

11 Surveillez le déploiement jusqu'à ce que la colonne Statut de l'installation (Installation Status) affiche Réussi (Succeeded).

Dans NSX 6.4.0 et versions ultérieures, le nom de la SVM de GI dans vCenter Server affiche l'adresse IP de l'hôte sur lequel elle a été déployée.

12 Si la colonne Installation Status affiche Échec (Failed), cliquez sur l'icône en regard d'Échec. Toutes les erreurs de déploiement sont affichées. Cliquez sur Résoudre (Resolve) pour corriger les erreurs. Parfois, la résolution des erreurs affiche d'autres erreurs. Prenez les mesures nécessaires et cliquez de nouveau sur Résoudre (Resolve).

Attention Dans un réseau qui contient vSphere 7.0 ou version ultérieure, une fois le service Guest Introspection ou tout autre service de partenaires tiers installé, vous ne pouvez pas utiliser une image vLCM sur les clusters vCenter. Si vous tentez d'utiliser une image vLCM sur les clusters vCenter, des messages d'avertissement s'affichent dans vSphere Client pour vous informer que des VIB autonomes sont présents sur les hôtes.

Installer l'agent léger Guest Introspection sur les machines virtuelles Windows

Pour protéger les machines virtuelles à l'aide d'une solution de sécurité Guest Introspection, vous devez installer sur ces machines l'agent léger Guest Introspection, également appelé Pilotes Guest Introspection. Les pilotes Guest Introspection sont inclus dans VMware Tools for Windows, mais


VMware, Inc. 485

ne font pas partie de l'installation par défaut. Pour installer Guest Introspection sur une machine virtuelle Windows, vous devez effectuer une installation personnalisée et sélectionner les pilotes.

n Si vous utilisez vSphere 6.0, reportez-vous à ces instructions pour installer VMware Tools : http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-391BE4BF-89A9-4DC3-85E7-3D45F5124BC7.html.

n Si vous utilisez vSphere 6.5 ou version supérieure, reportez-vous à ces instructions pour installer VMware Tools : https://www.vmware.com/support/pubs/vmware-tools-pubs.html.

Les machines virtuelles Windows sur lesquelles les pilotes Guest Introspection sont installés sont protégées automatiquement à chaque démarrage sur un hôte ESXi hébergeant la solution de sécurité. Les machines virtuelles protégées conservent la protection de la sécurité lors des arrêts et redémarrages, et même après un déplacement par vMotion sur un autre hôte ESXi hébergeant la solution de sécurité.

Pour consulter les instructions Linux, consultez la section Installer l'agent léger Guest Introspection sur les machines virtuelles Linux.


Assurez-vous qu'une version de Windows prise en charge est installée sur la machine virtuelle invitée. NSX Guest Introspection est compatible avec les systèmes d'exploitation Windows suivants :

n Windows XP SP3 et versions ultérieures (32 bits)

n Windows Vista (32 bits)

n Windows 7 (32/64 bits)


n Windows 8.1 (32/64) -- vSphere 6.0 et versions ultérieures

n Windows 10

n Windows 2003 SP2 et versions ultérieures (32/64 bits)

n Windows 2003 R2 (32/64 bits)


n Windows 2008 R2 (64 bits)

n Win2012 (64)

n Win2012 R2 (64) -- vSphere 6.0 et versions ultérieures

Procédure

1 Démarrez l'installation de VMware Tools en suivant les instructions de votre version de vSphere. Sélectionnez l'installation Personnalisée (Custom).


VMware, Inc. 486

http://pubs.vmware.com/vsphere-60/index.jsp?topic=%2Fcom.vmware.vsphere.vm_admin.doc%2FGUID-391BE4BF-89A9-4DC3-85E7-3D45F5124BC7.html



https://www.vmware.com/support/pubs/vmware-tools-pubs.html

2 Développez la section Pilote VMCI (VMCI Driver).

Les options disponibles varient selon la version de VMware Tools.

Pilote Description

Pilote vShield Endpoint Installe les pilotes File Introspection (vsepflt) et Network Introspection (vnetflt).

Pilotes Guest Introspection Installe les pilotes File Introspection (vsepflt) et Network Introspection (vnetflt).

Pilote NSX File Introspection et pilote NSX Network Introspection

Sélectionnez le pilote NSX File Introspection pour installer vsepflt.

(Facultatif) Sélectionnez le pilote NSX Network Introspection pour installer vnetflt (vnetWFP sous Windows 10 ou version ultérieure).

Note Sélectionnez le pilote NSX Network Introspection uniquement si vous utilisez les fonctionnalités Identity Firewall ou Surveillance des points de terminaison.

3 Dans le menu déroulant en regard des pilotes que vous voulez ajouter, sélectionnez Cette fonctionnalité sera installée sur le disque dur local (This feature will be installed on the local hard drive).

4 Suivez les autres étapes de la procédure.

Étape suivante

Vérifiez si l'agent léger s'exécute en utilisant la commande fltmc avec les privilèges

d'administration. La colonne Nom du filtre dans la sortie indique l'agent léger avec une entrée vsepflt.

Installer l'agent léger Guest Introspection sur les machines virtuelles Linux

Guest introspection prend en charge l'introspection de fichier sous Linux uniquement pour l'antivirus. Pour protéger les machines virtuelles Linux à l'aide d'une solution de sécurité Guest Introspection, vous devez installer l'agent léger Guest Introspection.

L'agent léger GI est disponible dans le cadre des packages OSP (propres au système d'exploitation) VMware Tools. L'installation de VMware Tools n'est pas nécessaire. L'installation et la mise à niveau de l'agent léger GI ne sont pas connectées à l'installation et la mise à niveau de NSX. En outre, l'administrateur entreprise ou sécurité (administrateur non NSX) peut installer l'agent sur des VM invitées en dehors de NSX.

Pour installer l'agent léger GI sur des systèmes RHEL, CentOS et SLES Linux , utilisez le package RPM. Pour installer l'agent léger GI sur des systèmes Ubuntu, utilisez le package DEB.

Pour consulter les instructions Windows, consultez la section Installer l'agent léger Guest Introspection sur les machines virtuelles Windows.


VMware, Inc. 487


n Assurez-vous qu'une version de Linux prise en charge est installée sur la machine virtuelle invitée.

n Red Hat Enterprise Linux (RHEL) 7.0–7.4 GA (64 bits).

n CentOS 7.4 GA.

n SUSE Linux Enterprise Server (SLES) 12 GA (64 bits).

n Ubuntu 16.04.5 LTS GA (64 bits).

n Ubuntu 14.04 LTS GA (64 bits).

Note À partir de NSX 6.4.6, la prise en charge d'Ubuntu 14.04 et de RHEL 7.0–7.3 est obsolète. NSX 6.4.6 et versions ultérieures prend en charge Ubuntu 16.04.5 et RHEL 7.4.

n Vérifiez que GLib 2.0 est installé sur la machine virtuelle Linux.

Procédure

u En fonction de votre système d'exploitation Linux, effectuez les étapes suivantes avec un privilège racine :

n Pour les systèmes Ubuntu :

a Procurez-vous les clés publiques des packages VMware et importez-les à l'aide des commandes suivantes :

curl -O https://packages.vmware.com/packages/nsx-gi/keys/VMWARE-PACKAGING-NSX-GI-GPG-RSA-KEY.pub

apt-key add VMWARE-PACKAGING-NSX-GI-GPG-RSA-KEY.pub

b Créez un fichier nommé vm.list sous /etc/apt/sources.list.d.

c Modifiez le fichier comme suit :

deb https://packages.vmware.com/packages/nsx-gi/latest/ubuntu/dists xenial main

d Installez le package :

apt-get updateapt-get install vmware-nsx-gi-file

n Pour les systèmes RHEL7 :



rpm --import VMWARE-PACKAGING-NSX-GI-GPG-RSA-KEY.pub


VMware, Inc. 488

b Créez un fichier nommé vm.repo sous /etc/yum.repos.d.


[vmware]name = VMwarebaseurl = https://packages.vmware.com/packages/nsx-gi/latest/rhel/x86_64enabled = 1gpgcheck = 1metadata_expire = 86400ui_repoid_vars = basearch

d Installez le package :

yum install vmware-nsx-gi-file

n Pour les systèmes SLES :



rpm --import VMWARE-PACKAGING-NSX-GI-GPG-RSA-KEY.pub

b Ajoutez le référentiel suivant :

zypper ar -f "https://packages.vmware.com/packages/nsx-gi/latest/sles12/x86_64/" VMware

c Installez le package :

zypper install vmware-nsx-gi-file

n Pour les systèmes CentOS :


curl -O https://packages.vmware.com/packages/nsx-gi/keys/VMWARE-PACKAGING-NSX-GI-GPG-RSA-KEY.pubrpm --import VMWARE-PACKAGING-NSX-GI-GPG-RSA-KEY.pub

b Créez un fichier nommé vmware.repo sous /etc/yum.repos.d.


[vmware]name = VMwarebaseurl = https://packages.vmware.com/packages/nsx-gi/latest/centos7/x86_64


VMware, Inc. 489

enabled = 1gpgcheck = 1metadata_expire = 86400ui_repoid_vars = basearch

Étape suivante

Vérifiez si l'agent léger s'exécute en utilisant la commande service vsepd status avec les

privilèges d'administration. L'état doit indiquer en cours d'exécution.

Affichage du statut de Guest Introspection

Surveiller une instance de Guest Introspection implique de vérifier l'état provenant des composants de Guest Introspection : la machine virtuelle de sécurité (SVM), le module Guest Introspection de l'hôte résident ESXi et l'agent léger de la machine virtuelle résidente protégé.

Procédure

1 Dans vSphere Web Client, cliquez sur Listes d'inventaires vCenter (vCenter Inventory Lists), puis cliquez sur Centres de données (Datacenters).

2 Dans la colonne Nom (Name), cliquez sur un centre de données.

3 Cliquez sur Moniteur (Monitor), puis cliquez sur Guest Introspection.

La page Intégrité et alarmes de Guest Introspection affiche l'intégrité des objets du centre de données que vous avez sélectionné, ainsi que les alarmes actives. Les modifications de l'état de l'intégrité apparaissent dans la minute qui suit l'événement ayant provoqué la modification.

Messages d'audit Guest Introspection

Les messages d'audit incluent les erreurs fatales et autres messages d'audit importants, ils sont journalisés dans vmware.log.

Les conditions suivantes sont journalisées sous forme de message d'AUDIT :

n Réussite de l'initialisation de l'agent léger (et numéro de version).

n Échec de l'initialisation de l'agent léger.

n Établissement de la première communication avec la SVM.

n Échec d'établissement de la communication avec la SVM (au premier échec de ce genre).

Les messages des journaux générés contiennent les chaînes de caractères secondaires suivantes à côté du début de chaque message du journal : vf-AUDIT, vf-ERROR, vf-WARN, vf-INFO, vf-DEBUG.


VMware, Inc. 490

Événements Guest Introspection

Les événements s'utilisent pour la journalisation et l'audit de conditions internes au système de sécurité basé sur Guest Introspection.

Les événements peuvent être affichés sans plug-in vSphere personnalisé. Reportez-vous au Guide d'administration du serveur vCenter Server pour les événements et alarmes.

Les événements sont la base des alarmes générées. Lors de l'enregistrement en tant qu'extension de vCenter Server, NSX Manager définit les règles permettant de créer et de supprimer des alarmes.

Les arguments communs à tous les événements sont l'horodatage des événements et l'event_id de NSX Manager.

Code d'événement

Gravité de l'événement

Alarme déclenchée Message d'événement Description

26000 Informatif

L'agent léger Guest Introspection en cours d'exécution dans une machine virtuelle invitée est activé. Cet événement est signalé lorsqu'une machine virtuelle est ajoutée à l'inventaire VC ou lorsque la machine virtuelle ou NSX Manager est redémarré.

Action : événement informatif uniquement.

26001 Informatif

Le processus de déploiement du service Guest Introspection a réussi et l'état du service de GI SVM (USVM) est actif.

Action : événement informatif uniquement.

26002 Moyenne La version de l'agent léger dans la VM invitée n'est pas compatible avec la version de la bibliothèque EPsec dans la section partenaire SVM ou l'USVM.

Action : mettez à jour la version de l'agent léger dans la VM invitée.

26003 Moyenne Le module ESX GI (MUX) n'a pas pu établir de connexion avec l'USVM. Cet événement peut être signalé lorsque la VM invitée a tenté de se connecter à l'USVM pour envoyer des rapports d'état de santé.

Action : vérifiez que GI SVM (USVM) est sous tension et que l'état du service s'affiche comme actif dans l'onglet Déploiement des services.

26004 Moyenne Le module ESX GI (MUX) n'a pas pu établir de connexion avec l'USVM. Cet événement peut être signalé lorsque la VM invitée a tenté de se connecter à l'USVM pour envoyer des rapports d'état de santé.

Action : vérifiez que GI SVM (USVM) est sous tension et que l'état du service s'affiche comme actif dans l'onglet Déploiement des services.


VMware, Inc. 491

Code d'événement

Gravité de l'événement

Alarme déclenchée Message d'événement Description

26005 Informatif

Le module ESX GI (MUX) a été installé.

Action : un événement informatif uniquement est déployé pour chaque hôte sur lequel Guest Introspection est déployé.

26006 Informatif

Le module ESX GI (MUX) a été désinstallé.

Action : l'événement informatif uniquement pour chaque hôte sur lequel le module de l'hôte Guest Introspection n'est plus en cours d'exécution.

26007 Informatif

NSX Manager n'a pas pu recevoir le rapport d'état de santé du module hôte pendant trois minutes. La colonne État du service du cluster dans l'onglet Déploiement des services passera en état d'avertissement.

Action : cet événement peut être un événement temporaire pendant le déploiement du service. Si cela persiste, collectez les journaux de support technique de l'hôte et du GI SVM (vmware.log) et ouvrez une demande de support technique.

Désinstallation d'un module Guest Introspection

La désinstallation d'un module Guest Introspection supprime un VIB des hôtes du cluster et supprime la machine virtuelle de service de chaque hôte du cluster. Guest Introspection est requis pour Identity Firewall, la surveillance des points de terminaison et plusieurs solutions de sécurité tierces. La désinstallation de Guest Introspection peut avoir des conséquences de grande ampleur.

Attention Avant de désinstaller un module Guest Introspection d'un cluster, vous devez désinstaller tous les produits tiers qui utilisent Guest Introspection des hôtes de ce cluster. Suivez les instructions du fournisseur de la solution.

Il y a une perte de protection pour les VM dans le cluster d’hôtes. Vous devez migrer les VM par vMotion hors du cluster avant de les désinstaller.

Pour désinstaller Guest Introspection :


2 Sélectionnez une instance Guest Introspection, puis cliquez sur l'icône Supprimer.

3 Supprimez maintenant ou prévoyez de supprimer ultérieurement.


VMware, Inc. 492

Désinstaller Guest Introspection pour Linux

Vous pouvez désinstaller l'agent léger Linux pour Guest Introspection à partir de la machine virtuelle invitée.


Guest Introspection pour Linux est installé. Vous disposez des privilèges racines sur le système Linux.

Procédure

u Pour désinstaller un module du système Ubuntu, exécutez la commande apt-get remove vmware-nsx-gi-file.

u Pour désinstaller un module du système RHEL7, exécutez la commande yum remove vmware-nsx-gi-file.

u Pour désinstaller un module du système SLES, exécutez la commande zypper remove vmware-nsx-gi-file.

Résultats

L'agent léger installé sur une machine virtuelle Linux a été désinstallé.


VMware, Inc. 493

Extensibilité du réseau 20Les réseaux de centres de données se composent généralement d'un large éventail de services réseau, notamment de services de commutation, de routage, d'installation de pare-feu, d'équilibrage de charge, etc. Dans la plupart des cas, ces services sont mis à disposition par plusieurs fournisseurs. Dans le monde physique, connecter ces services au réseau s'avère un exercice compliqué impliquant la mise en rack et l'empilement de périphériques réseau matériels, l'établissement d'une connexion matérielle et la gestion séparée de ces services. NSX simplifie le processus de connexion des services appropriés aux chemins de trafic corrects et peut vous aider à élaborer des réseaux complexes au sein d'un seul serveur ESXi hôte ou dans plusieurs serveurs ESXi hôtes à des fins de production, de tests ou de développement.

Tout le matériel réseau

Transport Overlay

vSphere

Toute application

NSX

NSX API

Insertion duservice Edge

Réseaux virtuels

Extensions dupartenaire matériel

Charges de travailphysiques ou virtuelles

Introspection de l'invitéet du réseau

Extensions dupartenaire logiciel

Plusieurs méthodes de déploiement permettent d'insérer des services tiers dans NSX.

VMware, Inc. 494


n Insertion de service distribuée

n Insertion de service basé sur Edge

n Intégration de services tiers

n Déployer un service de partenaire

n Utilisation de services de fournisseurs via Service Composer

n Redirection du trafic vers une solution de fournisseur via un pare-feu logique

n Utilisation d'un équilibrage de charge de partenaire

n Supprimer l'intégration tierce

Insertion de service distribuée

Dans une insertion de service distribuée, tous les modules de service, modules de noyau et mises en œuvre de machines virtuelles d'un hôte unique résident sur une même machine physique. Tous les composants du système interagissent avec les composants au sein de l'hôte physique. La communication de module à module et les modèles de déploiement compacts s'en trouvent ainsi accélérés. La même configuration peut être répliquée sur des systèmes physiques au sein du réseau à des fins d'évolutivité alors que le contrôle et le trafic sur le plan de données entre les modules de services et le vmkernel demeurent sur le même système physique. Pendant une opération vMotion des machines virtuelles protégées, la machine de sécurité partenaire déplace l'état de la machine virtuelle de l'hôte source vers l'hôte de destination.

Parmi les solutions de fournisseurs qui utilisent ce type d'insertion de service figurent des solutions de service de prévention des intrusions (IPS)/service de détection des intrusions (IDS), de pare-feu, d'anti-virus, de surveillance de l'identité des fichiers (FIM) et de gestion des vulnérabilités.

Insertion de service basé sur Edge

NSX Edge est déployé en tant que machine virtuelle dans le cluster Edge Services avec d'autres services réseau. NSX Edge est capable de rediriger un trafic spécifique vers des services réseau de tiers.

Les solutions de fournisseurs qui utilisent ce type d'insertion de service incluent les périphériques de solutions ADC/d'équilibrage de charge.

Intégration de services tiers

Il s'agit là d'un workflow générique de haut niveau permettant l'insertion d'un service tiers dans la plate-forme NSX.


VMware, Inc. 495

Procédure

1 Enregistrez le service tiers auprès de NSX Manager sur la console du fournisseur.

Pour enregistrer le service, vous devez disposer d'informations d'identification de connexion à NSX. Pour plus d'informations, reportez-vous à la documentation du fournisseur.

2 Déployez le service dans NSX. Reportez-vous à la section Déployer un service de partenaire.

Un fois déployé, le service tiers s'affiche dans la fenêtre Déploiements de services de NSX. La procédure permettant d'utiliser le service dans NSX dépend du type de service inséré.

Vous pouvez, par exemple, activer un service de pare-feu résidant sur un hôte en créant une règle de sécurité dans Service Composer ou en créant une règle de pare-feu pour rediriger le trafic vers le service. Reportez-vous à la section Utilisation de services de fournisseurs via Service Composer ou Redirection du trafic vers une solution de fournisseur via un pare-feu logique. Pour plus d'informations sur l'utilisation d'un service basé sur Edge, reportez-vous à la section Utilisation d'un équilibrage de charge de partenaire.

Déployer un service de partenaire

Si la solution de partenaire inclut un dispositif virtuel résidant sur l'hôte, vous pouvez déployer le service après avoir enregistré la solution auprès de NSX Manager.

Important Les machines virtuelles invitées protégées par un service de partenaires perdent temporairement leur protection si elles sont migrées vers un autre cluster à l'aide de vMotion. Pour éviter cela, migrez par vMotion les machines virtuelles invitées uniquement vers des hôtes dans le même cluster.


Vérifiez que :

n La solution de partenaire est enregistrée auprès de NSX Manager.

n NSX Manager peut accéder à la console de gestion de la solution de partenaire.

n Les clusters vCenter dans vSphere 7.0 ou version ultérieure n'utilisent pas une image vSphere Lifecycle Manager (vLCM) pour gérer les opérations de cycle de vie de l'hôte ESXi. Les services de partenaires ne peuvent pas être installés sur des clusters vCenter qui utilisent une image vLCM.

Pour vérifier si une image vLCM est utilisée pour gérer des hôtes dans le cluster, connectez-vous à vSphere Client et accédez à Hôtes et clusters. Dans le volet de navigation, cliquez sur le cluster, puis accédez à Mises à jour > Image. Si une image vLCM n'est pas utilisée pour le cluster, vous devez voir le bouton Configurer l'image. Si une image vLCM est utilisée pour le cluster, vous pouvez afficher les détails de l'image, tels que la version d'ESXi, les modules complémentaires du fournisseur, les détails de la conformité de l'image, etc.

n L'édition de licence requise a été attribuée. Reportez-vous à la section https://kb.vmware.com/kb/2145269.


VMware, Inc. 496

https://kb.vmware.com/kb/2145269


Procédure



3 Dans la boîte de dialogue Déployer les services Réseau et sécurité, sélectionnez Guest Introspection.

4 Dans Spécifier la planification (Specify schedule) (en bas de la boîte de dialogue), sélectionnez Déployer maintenant (Deploy now) pour déployer Guest Introspection immédiatement après son installation ou sélectionnez une date et une heure de déploiement.


6 Sélectionnez le centre de données et les clusters dans lesquels vous souhaitez installer Guest Introspection, puis cliquez sur Suivant (Next).

7 Sur la page Sélectionner le réseau de stockage et de gestion, sélectionnez la banque de données à laquelle ajouter le stockage des machines virtuelles de service ou sélectionnez Spécifié sur l'hôte (Specified on host). Nous vous conseillons d'utiliser des banques de données et réseaux partagés plutôt que « spécifiés sur l'hôte » afin d'automatiser les workflows du déploiement.

La banque de données doit être disponible sur tous les hôtes dans le cluster sélectionné.

Si vous avez sélectionné Spécifié sur l'hôte (Specified on host), effectuez les sous-étapes ci-dessous pour chaque hôte du cluster.

a Dans la page d'accueil, cliquez sur Hôtes et clusters (Hosts and Clusters).

b Cliquez sur un hôte dans le navigateur, puis cliquez sur Configurer (Configure).

c Dans le volet de navigation de gauche, cliquez sur Machines virtuelles (Virtual Machines), sur Machines virtuelles de l'agent (Agent VMs), puis sur Modifier (Edit).

d Sélectionnez la banque de données et cliquez sur OK.

8 Si vous définissez une banque de données comme Spécifié sur l'hôte (Specified on host), vous devez définir le réseau également comme Spécifié sur l'hôte (Specified on host).

Si vous avez sélectionné Spécifié sur l'hôte (Specified on host), suivez les sous-étapes de l'étape 7 pour sélectionner un réseau sur l'hôte. Lorsque vous ajoutez un ou plusieurs hôtes à un cluster, la banque de données et le réseau doivent être définis avant l'ajout de chaque hôte au cluster.


VMware, Inc. 497

9 Dans la section Attribution IP, sélectionnez l'une des options suivantes :

Sélectionner Pour

DHCP Attribuez une adresse IP à la machine virtuelle de service Guest Introspection via le protocole DHCP (Dynamic Host Configuration Protocol). Sélectionnez cette option si vos hôtes se trouvent sur des sous-réseaux différents.

Utiliser le pool IP Attribuez une adresse IP à la machine virtuelle de service Guest Introspection à partir du pool d'adresses IP sélectionné.

10 Cliquez sur Suivant (Next), puis sur Terminer (Finish) sur la page Prêt à terminer.

11 Surveillez le déploiement jusqu'à ce que la colonne Statut de l'installation (Installation Status) affiche Réussi (Succeeded).

Dans NSX 6.4.0 et versions ultérieures, le nom de la SVM de GI dans vCenter Server affiche l'adresse IP de l'hôte sur lequel elle a été déployée.

12 Si la colonne Installation Status affiche Échec (Failed), cliquez sur l'icône en regard d'Échec. Toutes les erreurs de déploiement sont affichées. Cliquez sur Résoudre (Resolve) pour corriger les erreurs. Parfois, la résolution des erreurs affiche d'autres erreurs. Prenez les mesures nécessaires et cliquez de nouveau sur Résoudre (Resolve).

Attention Dans un réseau qui contient vSphere 7.0 ou version ultérieure, une fois le service Guest Introspection ou tout autre service de partenaires tiers installé, vous ne pouvez pas utiliser une image vLCM sur les clusters vCenter. Si vous tentez d'utiliser une image vLCM sur les clusters vCenter, des messages d'avertissement s'affichent dans vSphere Client pour vous informer que des VIB autonomes sont présents sur les hôtes.

Étape suivante

Vous pouvez maintenant consommer le service du partenaire par le biais de l'interface utilisateur de NSX ou de NSX API.

Utilisation de services de fournisseurs via Service Composer

Les services de fournisseurs tiers comprennent la redirection de trafic, l'équilibrage de charge et des services de sécurité invités tels que la prévention de pertes de données, la protection antivirus et d'autres encore. Service Composer vous permet d'appliquer ces services à un ensemble d'objets vCenter.

Un groupe de sécurité est un ensemble d'objets vCenter tels que des clusters, des machines virtuelles, des cartes réseau virtuelles et des commutateurs logiques. Une stratégie de sécurité est un ensemble de services de Guest Introspection, de règles de pare-feu et de services d'introspection de réseau.


VMware, Inc. 498

Lorsque vous mappez une stratégie de sécurité sur un groupe de sécurité, des règles de redirection sont créées sur le profil de services du fournisseur tiers adéquat. Lorsque le trafic provient de machines virtuelles appartenant à ce groupe de sécurité, il est redirigé vers des services de fournisseurs tiers qui déterminent comment traiter ce trafic. Pour plus d'informations sur Service Composer, reportez-vous à Utilisation de Service Composer.

Redirection du trafic vers une solution de fournisseur via un pare-feu logique

Vous pouvez ajouter des règles de pare-feu pour rediriger le trafic vers des solutions de fournisseur enregistrées. Le trafic redirigé est ensuite traité par le service du fournisseur.


n Le service tiers doit être enregistré auprès de NSX Manager et doit être déployé dans NSX.

n Si l'action par défaut de la règle de pare-feu est définie sur Bloquer, vous devez ajouter une règle pour permettre la redirection du trafic.

Procédure

1 Dans vSphere Web Client, sélectionnez Mise en réseau et sécurité (Networking & Security) > Firewall.

2 Cliquez sur l'onglet Services de sécurité partenaires (Partner security services).

3 Dans la section dans laquelle vous ajoutez une règle, cliquez sur l'icône Ajouter une règle

(Add rule) ( ).

Une toute nouvelle règle d'autorisation est ajoutée en haut de la section.

4 Pointez le curseur sur la cellule Nom (Name) de la nouvelle règle, cliquez sur et entrez un nom pour cette règle.

5 Spécifiez la Source, la Destination et le Service pour la règle. Pour plus d'informations, reportez-vous à Ajouter une règle de pare-feu.

6 Pointez le curseur sur la cellule Action de la nouvelle règle et cliquez sur .

a Dans Action, sélectionnez Rediriger. (Redirect.)

b Dans Rediriger vers (Redirect To), sélectionnez le profil de service et le commutateur logique ou groupe de sécurité auquel vous voulez lier le profil de service.

Le profil de service est appliqué aux machines virtuelles connectées au commutateur logique ou au groupe de sécurité sélectionné (ou qui sont contenues dans celui-ci).


VMware, Inc. 499

c Indiquez si le trafic redirigé doit être consigné et entrez des commentaires, le cas échéant.

d Cliquez sur OK.

Le profil de service sélectionné s'affiche sous la forme d'un lien dans la colonne Action. L'activation du lien du profil de service entraîne l'affichage des liaisons de profils de service.


Utilisation d'un équilibrage de charge de partenaire

Vous pouvez utiliser un équilibrage de charge tiers afin d'équilibrer le trafic pour un NSX Edge spécifique.


L'équilibrage de charge tiers doit être enregistré dans NSX Manager et déployé dans NSX.

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > NSX Edge (NSX Edges).

2 Double-cliquez sur un dispositif NSX Edge.

3 Cliquez sur Gérer (Manage), puis cliquez sur l'onglet Équilibrage de charge (Load Balancer).

4 Cliquez sur Modifier (Edit) situé à côté de Configuration globale de l'équilibrage de charge.

5 Sélectionnez Activer le répartiteur de charge (Enable Load Balancer) et Activer Service Insertion (Enable Service Insertion).

6 Dans Définition du service (Service Definition), sélectionnez le répartiteur de charge partenaire adéquat.

7 Dans Configuration du service (Service Configuration), sélectionnez la configuration du service adéquate.

8 Renseignez les champs restants et définissez le répartiteur de charge en ajoutant un moniteur de service, un pool de serveurs, un profil d'application, des règles d'application et un serveur virtuel. Lorsque vous ajoutez un serveur virtualisé, sélectionnez le modèle fourni par le fournisseur. Pour plus d'informations, consultez Configuration de l'équilibrage de charge.

Résultats

La charge du trafic du dispositif Edge spécifié est équilibrée par la console de gestion du fournisseur tiers.

Supprimer l'intégration tierce

Cet exemple explique comment supprimer une solution d'intégration tierce de NSX.


VMware, Inc. 500

Vous devez traiter les logiciels dans un ordre précis lors de la suppression d'une solution logicielle tierce. Si cette séquence n'est pas suivie et plus particulièrement, si la solution tierce est désinstallée ou supprimée avant d'être désinscrite auprès de NSX Manager, l'opération de suppression échouera. Voir https://kb.vmware.com/kb/2126678 pour des instructions sur la façon de résoudre ce problème.

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité > Service Composer (Networking & Security > Service Composer) et supprimez les règles (ou les stratégies de sécurité) qui redirigent le trafic vers la solution tierce.

2 Accédez à Définitions de service (Service Definitions) et double-cliquez sur le nom de la solution tierce.

3 Cliquez sur Objets associés (Related Objects) et supprimez les objets associés.

4 Accédez à Installation et mise à niveau > Déploiements de services (Installation and Upgrade > Service Deployments) et supprimez le déploiement tiers.

Cette action désinstalle les machines virtuelles associées.

5 Revenez à Définitions de service (Service Definitions) et supprimez les éventuels sous-composants de la définition.

6 Dans l'instance de service, supprimez le profil de service.

7 Supprimez l'instance de service.

8 Supprimez la définition de service.

Résultats

La solution d'intégration tierce est supprimée de NSX.

Étape suivante

Notez les paramètres de configuration, puis supprimez NSX de la solution tierce. Vous devrez peut-être supprimer, par exemple, les règles faisant référence à d'autres objets, puis supprimer les objets en question.


VMware, Inc. 501


Gestion des utilisateurs 21Dans un grand nombre d'organisations, les opérations de mise en réseau et de sécurité sont gérées par différentes équipes ou différents membres. Ces organisations peuvent avoir besoin d'un moyen de limiter certaines opérations à des utilisateurs spécifiques. Cette rubrique décrit les options que propose NSX pour configurer ce type de contrôle d'accès.

NSX prend également en charge Single Sign-On (SSO), ce qui lui permet d'authentifier les utilisateurs provenant d'autres services d'identité tels qu'Active Directory, NIS et LDAP.

La gestion des utilisateurs dans le vSphere Web Client est distincte de la gestion des utilisateurs dans l'interface de ligne de commande (CLI) de tout composant NSX.


n Utilisateurs et autorisations NSX par fonctionnalité

n Configurer Single Sign-On

n Gestion des droits d'utilisateur

n Gestion du compte utilisateur par défaut

n Attribuer un rôle à un utilisateur vCenter

n Attributions de rôles selon les groupes

n Créer un utilisateur avec accès à l'interface Web à l'aide de l'interface de ligne de commande

n Modifier un compte utilisateur

n Changer un rôle d'utilisateur

n Désactiver ou activer un compte utilisateur

n Supprimer un compte utilisateur

Utilisateurs et autorisations NSX par fonctionnalité

Pour déployer et administrer NSX Data Center for vSphere, certaines autorisations vCenter sont requises. NSX Data Center for vSphere offre des autorisations étendues d'accès en lecture et en lecture/écriture pour les différents utilisateurs et rôles.

VMware, Inc. 502

Liste des fonctionnalités avec les rôles et les autorisations

Note n Les rôles Ingénieur de sécurité et Ingénieur réseau sont disponibles dans NSX 6.4.2 et

versions ultérieures.

n Le rôle Administrateur de sécurité et de rôles est disponible dans NSX 6.4.5 et versions ultérieures.

Fonctionnalité Description Rôles

Auditeur

Administrateur sécurité

Ingénieur de sécurité

Administrateur NSX

Ingénieur réseau

Administrateur de sécurité et de rôles

Administrateur d'entreprise

Administrateur (Administrator)

Configuration Configuration de vCenter et SSO avec NSX

R R R R R R R, W

Mise à jour Pas d'accès

Pas d'accès

Pas d'accès

R, W R, W Pas d'accès

R, W

Événements système


R R, W R, W R, W R, W R, W R, W

journaux d'audit

journaux d'audit R R R R R R R

Déboguer Pas d'accès

Pas d'accès

Pas d'accès

Pas d'accès

Pas d'accès

Pas d'accès

Pas d'accès

Tâches de maintenance

R R R R, W R, W R R, W

Désactivation de l’authentification de base

R R R R R R R, W

Gestion des comptes utilisateurs (User Account Management (URM))

Gestion des comptes utilisateurs

Gestion des utilisateurs

R Pas d'accès

Pas d'accès

R R R, W R, W

Contrôle d'accès aux objets

Pas d'accès

Pas d'accès

Pas d'accès

R R R R


VMware, Inc. 503


Auditeur



Administrateur NSX

Ingénieur réseau



Contrôle d'accès aux fonctionnalités

Pas d'accès

Pas d'accès

Pas d'accès

R R R R

Edge

Système Système fait référence aux paramètres système généraux


Services avancés

R R, W R, W R R R, W R, W

Dispositif Facteurs de forme différents de NSX Edge (Compacte /Grande/Extra grande/Super grande)


Haute disponibilité


vNIC Configuration d'interface sur NSX Edge

R R, W R R, W R, W R R, W

DNS R R, W R R R, W R R, W

SSH Configuration de SSH sur NSX Edge


Auto plumbing R R, W R, W R R R, W R, W

Statistiques R R R R R R R, W

NAT Configuration de NAT sur NSX Edge

R R, W R R R, W R R, W

DHCP R R, W R R R, W R R, W

Équilibrage de charge


VPN L3 VPN L3 R R, W R R R, W R R, W


VMware, Inc. 504


Auditeur



Administrateur NSX

Ingénieur réseau



VPN VPN L2, SSL VPN


Syslog Configuration de Syslog sur NSX Edge


Bundle de support

R (accès au téléchargement)

R, W R, W R, W R, W R, W R, W

Routage L'ensemble du routage statique et dynamique (BGP/OSPF) sur NSX Edge


Pare-feu Configuration du pare-feu sur NSX Edge


Pontage R R, W R R R, W R R, W

Certificat R R, W R, W R R R, W R, W

Contrôle du système

Le contrôle du système faire référence aux paramètres du noyau du système tels que les limites maximales, le transfert IP, la mise en réseau et les paramètres système. Par exemple :

ysctl.net.ipv4.conf.vNic_1.rp_filter

sysctl.net.netfilter.nf_conntrack_tcp_timeout_established



VMware, Inc. 505


Auditeur



Administrateur NSX

Ingénieur réseau



Pare-feu distribué (Distributed Firewall)

Configuration du pare-feu

n Règles de pare-feu de couche 3-7 (général)

n Règles de pare-feu de couche 2 (Ethernet)

R R, W R, W R, W Pas d'accès

R, W R, W

Flux Le dispositif Flow monitoring permet de surveiller les flux de trafic dans le système. Les flux en direct peuvent également être surveillés

R R, W R, W Pas d'accès

R, W R, W R, W

Configuration IPFix

Activation/désactivation d'IPFix et affectation de collecteurs


R, W R, W R, W

Forcer la synchronisation

ForceSync effectue une synchronisation complète à partir de la page Installation et mise à niveau > Préparation de l'hôte (Installation and Upgrade > Host Preparation)

R R R, W R, W Pas d'accès

R, W R, W


VMware, Inc. 506


Auditeur



Administrateur NSX

Ingénieur réseau



Installer DFW (préparation de l'hôte)

Installer VIBS sur les clusters


Configurations enregistrées (brouillons)

Chaque publication enregistrera automatiquement la configuration DFW existante en tant que brouillon


Pas d'accès

R, W R, W

Liste d'exclusion

Ajout à la liste d'exclusion de VM ne devant PAS être protégées par DFW ou à supprimer


Pas d'accès

R, W R, W

Support technique DFW

Collecte du bundle de support technique DFW à partir d'un hôte (uniquement shell de configuration NSX)

Pas d'accès

R, W R, W R, W Pas d'accès

R, W R, W

Temporisateurs de session DFW

Configuration du délai d'expiration de connexion pour le protocole TCP/UDP/autre


Pas d'accès

R, W R, W

Découverte d'adresses IP (Écoute DHCP/ARP)

Découverte d'adresses IP lorsque les VMware Tools ne s'exécutent pas sur les VM invitées

R R, W R, W R Pas d'accès

R, W R, W


VMware, Inc. 507


Auditeur



Administrateur NSX

Ingénieur réseau



Gestionnaire de règles d'application

Des flux sont collectés pour un ensemble sélectionné d'applications. Des règles de pare-feu sont ensuite créées en fonction des flux collectés.


Pas d'accès

R, W R, W

app.syslog R R Pas d'accès

R, W Pas d'accès

Pas d'accès

R, W

Capture de paquets


Espace de noms (NameSpace)

Configuration R R R R, W R, W R R, W

SpoofGuard

Configuration Publication de SpoofGuard dans TOFU ou en mode manuel


Pas d'accès

R, W R, W

Endpoint Security (EPSEC)

Rapports R R R R, W R R R, W

Enregistrement Gestion des solutions [Inscrire, Désinscrire, Solutions enregistrées par requête, Activer] Solutions

R Pas d'accès

Pas d'accès


R, W


VMware, Inc. 508


Auditeur



Administrateur NSX

Ingénieur réseau



Surveillance de l'intégrité

Extraction du statut d'intégrité de VM, SVM vers NSX Manager

Pas d'accès

R R R R R R

Règle Gestion des règles de sécurité [Créer, Lire, Mettre à jour, Supprimer]

R R, W R, W R, W R R, W R, W

Planification des analyses

R Pas d'accès

R, W R, W R R, W R, W

Bibliothèque (Library)

Préparation de l'hôte

Action de préparation de l'hôte sur le cluster

Pas d'accès

Pas d'accès

Pas d'accès


R, W

Regroupement Ensemble d'IP, ensemble MAC, groupe de sécurité, service, groupe de services


Balisage Balise de sécurité (par exemple, attacher ou détacher des VM)


Installer (Install)

App Pas d'accès

R R R, W R, W R R, W

EPSEC Pas d'accès



VMware, Inc. 509


Auditeur



Administrateur NSX

Ingénieur réseau



DLP Pas d'accès


VDN

Configurer NSM

Configurer Network Security Manager


Provisionner R R R R, W R, W R R, W

ESX Agent Manager (EAM)

Installer ESX Agent Manager

Pas d'accès


Service Insertion

Service R R, W R, W R, W R R, W R, W

Profil du service

R R R, W R, W R R, W R, W

Magasin d'approbations (Trust Store)

trustentity_management

Gestion de certificat NSX


IP Address Management (IPAM)

Configuration Configuration du pool d'adresses IP


Allocation IP Allocation IP et publication


Security Fabric


VMware, Inc. 510


Auditeur



Administrateur NSX

Ingénieur réseau



Déployer Déployer le service ou la VM de sécurité sur le cluster au moyen de la page Déploiement de services (Service Deployment)

R R R R, W R R R, W

Alarmes Dans la page Déploiement de services (Service Deployment), gérez les alarmes qui sont générées par la VM de sécurité


Statut d'intégrité de l'agent

Gestion de l'alarme de l'état d'intégrité de l'agent via un appel REST, principalement utilisé par les VM partenaires


Messagerie (Messaging)

Messagerie Structure de messagerie utilisée par NSX Edge et Guest Introspection pour communiquer avec NSX Manager


Réplicateur (configuration multiple de vCenter avec l'instance secondaire de NSX Manager) (Replicator (Multi vCenter setup with secondary NSX Manager))


VMware, Inc. 511


Auditeur



Administrateur NSX

Ingénieur réseau



Configuration Sélection ou désélection du rôle principal pour NSX Manager, et ajout ou suppression du NSX Manager secondaire


blueprint_sam.featurelist

blueprint_sam.ad_config

Utilisé pour la configuration de domaine Active Directory


Stratégie de sécurité (Security Policy)

Configuration Configurer la stratégie de sécurité pour créer, mettre à jour, modifier ou supprimer


Pas d'accès

R, W R, W

Liaison du groupe de sécurité

Association du groupe de sécurité à une stratégie de sécurité


Pas d'accès

R, W R, W

Appliquer la stratégie


Pas d'accès

R, W R, W

Synchronisation de la stratégie

Stratégie de sécurité de synchronisation avec DFW

R Peut se synchroniser

Peut se synchroniser

Pas d'accès

Pas d'accès

Peut se synchroniser

R, W

NSX Appliance Management (Dans NSX 6.4 et versions ultérieures)

NSX Appliance Management

NSX Appliance Management

R R R R R R R, W


VMware, Inc. 512


Auditeur



Administrateur NSX

Ingénieur réseau



Référentiel d’adresses IP/Découverte d’adresses IP (IP Repository/IP Discovery)

Configuration R R, W R, W R Pas d'accès

R, W R, W

Tableau de bord (Dashboard)

Configuration du widget

R R, W R R, W R R R, W

Configuration système

R R, W R R, W R R R, W

Mettre à niveau le coordinateur (Upgrade Coordinator)

Mise à niveau Pas d'accès

Pas d'accès

R R, W R R R, W

Plan de mise à niveau

R R R R, W R R R, W

Bundle de support technique (Tech Support Bundle)

Configuration Endpoint R, W R, W R, W R, W R, W R, W R, W

Authentification basée sur le jeton (Token Based Authentication)


VMware, Inc. 513


Auditeur



Administrateur NSX

Ingénieur réseau



Invalidation Pas d'accès

Pas d'accès

Pas d'accès

Pas d'accès

Pas d'accès

Pas d'accès

R, W

Ops

Configuration R R R R, W R R R, W

Configurer Single Sign-On

SSO renforce la sécurité de vSphere et NSX Data Center for vSphere en autorisant les divers composants à communiquer entre eux par le biais d'un mécanisme sécurisé d'échange de jetons au lieu d'exiger que chaque composant authentifie un utilisateur séparément.

Vous pouvez configurer Lookup Service sur l'instance de NSX Manager et fournir les informations de connexion de l'administrateur SSO pour enregistrer le service de gestion NSX en tant qu'utilisateur SSO. L'intégration du service SSO (Single Sign-On) à NSX Data Center for vSphere améliore la sécurité de l'authentification des utilisateurs vCenter et permet à NSX Data Center for vSphere d'authentifier ces derniers à partir d'autres services d'identité tels qu'AD, NIS et LDAP. Avec SSO, NSX Data Center for vSphere prend en charge l'authentification à l'aide de jetons SAML (Security Assertion Markup Language) authentifiés provenant d'une source approuvée via des appels REST API. NSX Manager peut également acquérir des jetons d'authentification SAML à utiliser avec d'autres solutions VMware.

NSX Data Center for vSphere met en cache les informations de groupe pour les utilisateurs SSO. Les modifications apportées aux appartenances à un groupe se propagent en 60 minutes du fournisseur d'identité (par exemple, Active Directory) à NSX Data Center for vSphere.


n Pour utiliser SSO sur NSX Manager, vous devez disposer de vCenter Server 6.0 ou version ultérieure. En outre, le service d'authentification SSO doit être installé sur vCenter Server. Notez que cela s'applique à la version intégrée de SSO. À la place, votre déploiement peut utiliser un serveur SSO centralisé externe.

Pour plus d'informations sur les services SSO fournis par vSphere, consultez la documentation Administration de Platform Services Controller.

Important Vous devez configurer le dispositif NSX Manager afin qu'il utilise la même configuration SSO que celle utilisée sur le système vCenter Server associé.


VMware, Inc. 514

n Le serveur NTP doit être spécifié de sorte que l'heure du serveur SSO et l'heure de NSX Manager soient synchronisées.

Par exemple :

Procédure


Dans un navigateur Web, accédez à l'interface utilisateur graphique du dispositif NSX Manager à l'adresse https://<adresse-ip-nsx-manager> ou https://<nom-hôte-nsx-manager> et connectez-vous en tant qu'administrateur ou avec un compte ayant le rôle Administrateur d'entreprise.


3 Dans la page d'accueil, cliquez sur Gérer les paramètres des dispositifs (Manage Appliance Settings) > NSX Management Service.

4 Cliquez sur Modifier (Edit) dans la section URL de Lookup Service.

5 Entrez le nom ou l'adresse IP de l'hôte qui dispose de Lookup Service.

6 Entrez le numéro de port.

Si vous utilisez vSphere 6.0 ou version ultérieure, entrez le port 443.

L'URL de Lookup Service s'affiche en fonction de l'hôte et du port spécifiés.

7 Entrez le nom d'utilisateur et le mot de passe de l'administrateur SSO, puis cliquez sur OK.

L'empreinte du certificat du serveur SSO s'affiche.

8 Vérifiez que l'empreinte du certificat correspond au certificat du serveur SSO.

Si vous avez installé un certificat signé par une autorité de certification sur le serveur d'autorité de certification, vous recevez l'empreinte de ce certificat. Sinon, vous recevez un certificat auto-signé.

9 Confirmez que l'état de Lookup Service est Connecté (Connected).


VMware, Inc. 515

Étape suivante

Consultez la section « Attribuer un rôle à un utilisateur vCenter » dans le Guide d'administration de NSX.

Gestion des droits d'utilisateur

Le rôle d'un utilisateur définit les actions qu'il est autorisé à effectuer sur une ressource donnée. Le rôle détermine les activités autorisées de l'utilisateur sur une ressource donnée, pour s'assurer que chaque utilisateur n'a accès qu'aux fonctions nécessaires pour effectuer les opérations applicables. Cela autorise un contrôle de domaine sur des ressources spécifiques ou sur l'ensemble du système si votre autorisation n'a pas de restrictions.

Un utilisateur ne peut avoir qu'un seul rôle. Le tableau suivant répertorie les autorisations de chaque rôle d'utilisateur.

Tableau 21-1. Rôles d'utilisateur de NSX Manager

Rôle Autorisations

Administrateur d'entreprise Les utilisateurs disposant de ce rôle peuvent effectuer toutes les tâches liées au déploiement et à la configuration des produits NSX et à l'administration de cette instance de NSX Manager.

Administrateur NSX Les utilisateurs disposant de ce rôle peuvent effectuer toutes les tâches liées au déploiement et à l'administration de cette instance de NSX Manager. Par exemple, installation de dispositifs virtuels, configuration de groupes de ports.

Administrateur de la sécurité Les utilisateurs avec ce rôle peuvent configurer des stratégies de conformité de sécurité et également afficher les informations de rapport et d'audit dans le système. Par exemple, définir des règles du pare-feu distribué, configurer des services NAT et des services d'équilibrage de charge.

Auditeur Les utilisateurs dans ce rôle peuvent uniquement afficher les paramètres système, l'audit, les événements et les informations de rapport, et ne peuvent pas apporter de modifications de configuration.

Ingénieur de sécurité (introduit dans NSX Data Center for vSphere 6.4.2).

Les utilisateurs dans ce rôle peuvent effectuer toutes les tâches de sécurité, telles que la configuration de stratégies, de règles de pare-feu. Les utilisateurs ont accès en lecture à certaines fonctionnalités de mise en réseau, mais pas d'accès à la gestion des comptes utilisateur et la préparation de l'hôte.

Ingénieur réseau (introduit dans NSX Data Center for vSphere 6.4.2).

Les utilisateurs dans ce rôle peuvent effectuer toutes les tâches de mise en réseau, telles que le routage, DHCP ou le pontage. Les utilisateurs ont accès en lecture aux fonctionnalités de sécurité de point de terminaison, mais pas d'accès à d'autres fonctions de sécurité.

Administrateur de sécurité et de rôles (introduit dans NSX Data Center for vSphere 6.4.5).

Les utilisateurs avec ce rôle disposent de toutes les autorisations de fonctionnalité que possède un ingénieur de sécurité et ils peuvent également effectuer des tâches de gestion des utilisateurs.

Lorsque vous attribuez un rôle à un utilisateur SSO, l'accès est accordé dans les interfaces suivantes :

n Le plug-in Mise en réseau et sécurité dans vSphere Web Client.


VMware, Inc. 516

n Le dispositif NSX Manager, y compris l'API. Cet accès n'est disponible que dans NSX 6.4 ou version ultérieure.

Le rôle Administrateur d'entreprise permet d'obtenir le même accès au dispositif NSX Manager et à l'API que l'utilisateur admin de NSX Manager. Les autres rôles de NSX reçoivent un accès en lecture seule au dispositif NSX Manager et à l'API.

Par exemple :

Les utilisateurs SSO avec un rôle autre que le rôle Administrateur d'entreprise peuvent accéder à l'interface utilisateur de NSX Manager et exécuter des demandes API en mode lecture seule. Les utilisateurs peuvent accéder aux API NSX avec la demande d'API GET, mais ils ne peuvent pas exécuter les demandes d'API PUT, POST et DELETE. En outre, ces utilisateurs SSO ne peuvent pas effectuer des actions telles qu'arrêter, configurer, modifier etc., dans l'interface utilisateur de NSX Manager.

Gestion du compte utilisateur par défaut

L'interface utilisateur de NSX Manager inclut un compte utilisateur qui dispose de droits d'accès à l'ensemble des ressources. Vous ne pouvez pas modifier les droits ni supprimer cet utilisateur. Le nom d'utilisateur par défaut est admin et le mot de passe par défaut est default ou le mot de

passe que vous avez spécifié lors de l'installation de NSX Manager.

Vous pouvez gérer l'utilisateur admin du dispositif NSX Manager uniquement au moyen de

commandes CLI.

Attribuer un rôle à un utilisateur vCenter

Lorsque vous attribuez un rôle à un utilisateur SSO, vCenter Server authentifie l'utilisateur avec le service d'identité configuré sur le serveur SSO. Si le serveur SSO n'est pas configuré ou s'il n'est pas disponible, l'utilisateur est authentifié localement ou avec Active Directory, selon la configuration de vCenter Server.

Lorsque vous attribuez un rôle à un utilisateur SSO, l'accès est accordé dans les interfaces suivantes :

n Le plug-in Mise en réseau et sécurité dans vSphere Web Client.

n Le dispositif NSX Manager, y compris l'API. Cet accès n'est disponible que dans NSX 6.4 ou version ultérieure.

Le rôle Administrateur d'entreprise permet d'obtenir le même accès au dispositif NSX Manager et à l'API que l'utilisateur admin de NSX Manager. Les autres rôles de NSX reçoivent un accès en lecture seule au dispositif NSX Manager et à l'API.

Vous pouvez attribuer des rôles individuellement, ou via l'appartenance à un groupe. Un rôle NSX peut être attribué à un utilisateur de manière individuelle, et cet utilisateur peut également être membre d'un groupe auquel un autre rôle NSX a été attribué. Dans ce cas, le rôle attribué individuellement à l'utilisateur est utilisé pour se connecter au dispositif NSX Manager.


VMware, Inc. 517

Procédure


2 Vérifiez que vous êtes bien dans l'onglet Utilisateurs (Users).

3 Si plusieurs adresses IP sont disponibles dans le menu déroulant NSX Manager, sélectionnez une adresse IP ou conservez la sélection par défaut.

4 Cliquez sur l'icône Ajouter (Add).

La fenêtre Attribuer un rôle s'affiche.

5 Cliquez sur Spécifier un utilisateur vCenter (Specify a vCenter user) ou Spécifier un groupe vCenter (Specify a vCenter group).

6 Tapez les détails de l'utilisateur et les détails du groupe vCenter Server.

Par exemple :

Champ Valeur d'exemple

Nom de domaine corp.vmware.com

Alias corp

Nom de groupe [email protected]

Nom d'utilisateur [email protected]

Alias de l'utilisateur user1@corp

Note Lorsqu'un rôle est attribué à un groupe sur NSX Manager, n'importe quel utilisateur de ce groupe peut se connecter à l'interface utilisateur de NSX Manager.


8 Sélectionnez le rôle de l'utilisateur et cliquez sur Suivant (Next). Pour plus d'informations sur les rôles disponibles, reportez-vous à la section Gestion des droits d'utilisateur.


Le compte utilisateur apparaît dans la table Utilisateurs.

Attributions de rôles selon les groupes

Les organisations créent des groupes d'utilisateurs pour gérer correctement les utilisateurs. Après l'intégration à SSO, NSX Manager est en mesure d'obtenir les détails des groupes auxquels un utilisateur appartient. Au lieu d'attribuer des rôles à des utilisateurs susceptibles d'appartenir au même groupe, NSX Manager attribue des rôles aux groupes. Les scénarios suivants illustrent l'attribution de rôles par NSX Manager.


VMware, Inc. 518

Exemple : Scénario de contrôle d'accès basé sur les rôlesDans ce scénario, une ingénieure réseau, Sally Moore, obtient un accès aux composants NSX dans l'environnement suivant :

n Domaine AD : corp.local

n Groupe vCenter : [email protected]

n Nom d'utilisateur : [email protected]

Conditions préalables : vCenter Server doit être enregistré avec NSX Manager et SSO doit être configuré. Notez que SSO est requis uniquement pour les groupes.

1 Attribuez un rôle à Sally.


b Accédez à Mise en réseau et sécurité (Networking & Security) > Système (System) > Utilisateurs et domaines (Users and Domains).

c Vérifiez que vous êtes bien dans l'onglet Utilisateurs (Users).

d Cliquez sur l'icône Ajouter (Add).

La fenêtre Attribuer un rôle s'affiche.

e Cliquez sur Spécifier un groupe vCenter (Specify a vCenter group) et tapez [email protected] dans Groupe (Group).

f Cliquez sur Suivant (Next).

g Dans Sélectionner les rôles (Select Roles), cliquez sur Administrateur NSX (NSX Administrator), puis sur Suivant (Next).

2 Accordez l'accès au centre de données à Sally.

a Cliquez sur l'icône Accueil, puis sur Mise en réseau (Networking).

b Sélectionnez un centre de données et cliquez sur Actions > Ajouter une autorisation (Add Permission).

c Cliquez sur Ajouter (Add) et sélectionnez le domaine corp.local.

d Dans Utilisateurs et groupes (Users and Groups), sélectionnez Afficher groupes d'abord (Show Groups First).

e Sélectionnez NetEng et cliquez sur OK.

f Dans Rôle attribué (Assigned Role), sélectionnez Lecture seule (Read-only), désélectionnez Propager vers les enfants (Propagate to children), puis cliquez sur OK.

3 Déconnectez-vous de vSphere Web Client et reconnectez-vous en tant que [email protected].

Sally peut effectuer des opérations NSX uniquement. Par exemple, elle peut installer des dispositifs virtuels, créer des commutateurs logiques et effectuer d'autres tâches opérationnelles.


VMware, Inc. 519

Exemple : Hériter d'autorisations par l'intermédiaire d'un scénario d'appartenance à un groupe d'utilisateursDans ce scénario, John appartient au groupe G1 auquel le rôle auditeur a été attribué. John hérite du rôle et des autorisations pour les ressources du groupe.

Option du groupe Valeur d'exemple

Nom G1

Rôle attribué Auditeur (lecture seule)

Ressources Racine globale

Option de l'utilisateur Valeur d'exemple

Nom John

Appartient au groupe G1

Rôle attribué Aucune

Exemple : Scénario d'un utilisateur membre de plusieurs groupesDans ce scénario, Joseph appartient aux groupes G1 et G2 et hérite de la combinaison des droits et des autorisations des rôles auditeur et administrateur de sécurité. Joseph dispose par exemple des autorisations suivantes :

n Lecture, écriture (rôle administrateur de sécurité) pour Centre de données 1

n Lecture seule (auditeur) pour racine globale


Nom G1

Rôle attribué Auditeur (lecture seule)



Nom G2

Rôle attribué Administrateur de sécurité (lecture et écriture)

Ressources Centre de données 1


Nom Joseph

Appartient au groupe G1, G2

Rôle attribué Aucun


VMware, Inc. 520

Exemple : Scénario d'un utilisateur membre de plusieurs rôlesDans ce scénario, Bob se voit attribuer le rôle administrateur de sécurité. Il n'hérite donc pas des autorisations du rôle de groupe. Bob bénéficie des autorisations suivantes :

n Lecture, écriture (rôle administrateur de sécurité) pour Centre de données 1 et ses ressources enfants

n Rôle administrateur d'entreprise sur Centre de données 1


Nom G1

Rôle attribué Administrateur d'entreprise



Nom Bob

Appartient au groupe G1

Rôle attribué Administrateur de sécurité (lecture et écriture)

ressources réseau Centre de données 1

Créer un utilisateur avec accès à l'interface Web à l'aide de l'interface de ligne de commande

Vous pouvez créer un utilisateur NSX ayant accès à l'interface Web à l'aide de l'interface de ligne de commande (CLI). Vous pouvez utiliser ce compte d'utilisateur pour accéder et faire fonctionner différents plug-ins ou l'utiliser à des fins d'audit.

Procédure

1 Créez un compte d'utilisateur de CLI. Vous pouvez créer un compte d'utilisateur de CLI pour chaque dispositif virtuel NSX. Pour créer un compte d'utilisateur de CLI, procédez comme suit :

a Connectez-vous à vSphere Web Client, puis sélectionnez un dispositif virtuel NSX Manager.

b Cliquez sur l'onglet Console pour ouvrir une session de la CLI.

c Connectez-vous à la session de la CLI en utilisant le compte d'administrateur et le mot de passe que vous avez spécifiés lors de l'installation de NSX Manager. Par exemple,

nsx-mgr> enablePassword:nsx-mgr>


VMware, Inc. 521

d Passez du mode Basique au mode Privilégié à l'aide de la commande enable comme suit :

nsx-mgr> enablePassword:nsx-mgr#

e Passez du mode Privilégié au mode Configuration à l'aide de la commande configure terminal comme suit :

nsx-mgr# configure terminalnsx-mgr(config)#

f Ajoutez un compte d'utilisateur de CLI à l'aide de la commande user username password (hash | plaintext) password. Par exemple,

nsx-mgr(config)# user cliuser password plaintext abcd1234

Note Un nom d'utilisateur avec une majuscule n'est pas autorisé.

g Enregistrez la configuration comme suit :

nsx-mgr(config)# write memoryConfiguration saved[OK]

2 Fournissez maintenant un privilège d'interface Web qui permet à l'utilisateur de se connecter au dispositif virtuel NSX Manager et qui permet l'exécution d'API REST de gestion des dispositifs comme suit :

a Vérifiez que vous êtes en mode Configuration comme suit :

nsx-mgr# configure terminalnsx-mgr(config)#

b Autorisez l'utilisateur de la CLI créé à exécuter les appels d'API REST à l'aide de la commande user username privilege web-interface. Par exemple :

nsx-mgr(config)# user userName privilege web-interface

nsx-mgr(config)# user cliuser privilege web-interface

3 (Facultatif) Vous pouvez vérifier la configuration en cours d'exécution comme suit :

nsx-mgr# show running-configBuilding configuration...

Current configuration:!user cliuser!


VMware, Inc. 522

ntp server 192.168.110.1!ip name server 192.168.110.10!hostname nsxmgr-01a!interface mgmt ip address 192.168.110.15/24!ip route 0.0.0.0/0 192.168.110.1!web-manager

4 Quittez la session de la CLI.

nsx-mgr#(config)# exitnsx-mgr# exit

L'utilisateur créé n'est pas répertorié dans l'onglet Mise en réseau et sécurité (Networking & Security) > Système (System) > Utilisateurs et domaines (Users and Domains) > Uilisateurs (Users). En outre, aucun rôle n'est attribué à l'utilisateur.

5 Attribuez le rôle requis à l'utilisateur à l'aide de l'API REST. Vous pouvez attribuer le rôle auditor (Auditeur), security_admin (Administrateur sécurité) ou super_user (Administrateur système) comme suit :

POST - https://<NSX-IP>/api/2.0/services/usermgmt/role/<username>?isCli=true<accessControlEntry><role>auditor</role> # Enter the required role #<resource><resourceId>globalroot-0</resourceId></resource></accessControlEntry>

Résultats

L'utilisateur de la CLI NSX est créé avec un accès à l'interface Web.

Étape suivante

Vous pouvez vous connecter à vSphere Web Client à l'aide des informations d'identification fournies lors de la création de l'utilisateur.

Pour plus d'informations sur la CLI, consultez le document Référence de l'interface de ligne de commandes de NSX.

Pour plus d'informations sur l'API, consultez le Guide de NSX API.

Modifier un compte utilisateur

Vous pouvez modifier un compte utilisateur pour changer le rôle ou la portée. Vous ne pouvez pas modifier le compte admin.


VMware, Inc. 523

Procédure




4 Sélectionnez l'utilisateur à modifier.



7 Cliquez sur Terminer (Finish) pour enregistrer vos modifications.

Changer un rôle d'utilisateur

Vous pouvez changer l'attribution de rôle de tous les utilisateurs, sauf celui de l'utilisateur admin.

Procédure




4 Sélectionnez l'utilisateur dont vous voulez modifier le rôle.



7 Cliquez sur Terminer (Finish) pour enregistrer vos modifications.

Désactiver ou activer un compte utilisateur

Vous pouvez désactiver un compte utilisateur pour empêcher cet utilisateur de se connecter à NSX Manager. Vous ne pouvez désactiver ni l'utilisateur admin ni l'utilisateur actuellement

connecté à NSX Manager.

Procédure




VMware, Inc. 524


4 Sélectionnez un utilisateur, puis cliquez sur l'icône Activer (Enable) ou Désactiver (Disable).

Supprimer un compte utilisateur

Vous pouvez supprimer tout compte utilisateur créé. Vous ne pouvez pas supprimer le compte utilisateur admin. Des enregistrements d'audit sont conservés dans la base de données pour les

utilisateurs supprimés et peuvent être inclus dans un rapport de journal d'audit.

Procédure




4 Sélectionnez un utilisateur, puis cliquez sur l'icône Supprimer (Delete) ( ou ).

5 Pour confirmer la suppression, cliquez sur Supprimer (Delete) ou sur Oui.

Si vous supprimez un compte utilisateur vCenter, seule l'attribution de rôle de NSX Manager est supprimée. Le compte utilisateur n'est pas supprimé dans vCenter Server.


VMware, Inc. 525

Objets réseau et de sécurité 22Cette section décrit les conteneurs de réseau et de sécurité personnalisés. Ces conteneurs peuvent être utilisés dans le pare-feu distribué et dans Service Composer. Dans un environnement cross-vCenter NSX, vous pouvez créer un réseau universel et des conteneurs de sécurité à utiliser dans les règles de pare-feu distribué universelles. Vous ne pouvez pas utiliser de réseau universel ni d'objets de sécurité dans Service Composer.

Note Les noms en double sont autorisés lorsque vous créez un groupe avec une étendue universelle. Vous pouvez fournir des noms en double lorsque vous sélectionnez l'option Marquer cet objet pour la synchronisation universelle (Mark this object for Universal Synchronization) pour créer les groupes suivants :

n Groupes d'adresses IP (ensemble d'adresses IP)

n Groupes d'adresses MAC (ensemble d'adresses MAC)

n Groupe de sécurité

n Services et groupe de services


n Utilisation des groupes d'adresses IP

n Utilisation des groupes d'adresses MAC

n Utilisation de pools IP

n Utilisation des groupes de sécurité

n Utilisation des services et des groupes de services

Utilisation des groupes d'adresses IP

Un groupe d'adresses IP (ensemble d'adresses IP) est un moyen de regrouper une liste d'adresses IP ou une plage d'adresses IP. Vous pouvez utiliser des groupes d'adresses IP lors de la définition des règles de pare-feu Edge et des règles de pare-feu distribué.

VMware, Inc. 526

Vous pouvez créer un groupe d'adresses IP en entrant manuellement les adresses IP ou en important un fichier .csv ou .txt qui contient une liste d'adresses IP séparées par des virgules.

De plus, vous pouvez exporter un groupe d'adresses IP existant vers un fichier .txt qui contient

une liste d'adresses IP séparées par des virgules.

Créer un groupe d'adresses IP

Vous pouvez créer un groupe d'adresses IP, puis ajouter ce groupe comme source ou destination dans une règle de pare-feu. Cette règle peut contribuer à protéger les machines physiques des machines virtuelles ou inversement.


n Installez VMware Tools sur chaque machine virtuelle.

n Si vous prévoyez d'utiliser des objets de regroupement plutôt que des adresses IP, activez une méthode de découverte d'adresses IP, comme l'écoute DHCP, l'écoute ARP ou les deux. Pour plus d'informations, consultez Découverte d'adresses IP pour les machines virtuelles.

Procédure


2 Accédez à Ensembles d'adresses IP (IP Sets) :

n Dans NSX 6.4.1 et versions ultérieures, vérifiez que vous êtes dans l’onglet Ensembles d'adresses IP (IP Sets).

n Dans NSX 6.4.0, vérifiez que vous êtes dans l’onglet Regroupement des objets (Grouping Objects) > Ensembles d'adresses IP (IP Sets).


u Vous devez sélectionner l'instance principale de NSX Manager si vous voulez gérer des groupes d'adresses IP universelles.

4 Cliquez sur Ajouter (Add) ou sur l'icône Ajouter (Add) ( ).

5 Tapez le nom du groupe d'adresses.

6 (Facultatif) Tapez la description du groupe d'adresses.

7 Tapez les adresses IP ou une plage d'adresses IP à inclure dans le groupe.

Attention Lors de la saisie de plages d'adresses IPv6 dans les ensembles d'adresses IP, assurez-vous de diviser les plages d'adresses en groupes de 64. Dans le cas contraire, la publication des règles de pare-feu échoue.


VMware, Inc. 527

8 (Facultatif) Sélectionnez Héritage (Inheritance) ou Activer l'héritage pour autoriser la visibilité des étendues sous-jacentes. (Enable inheritance to allow visibility at underlying scopes.)

Lorsque l'héritage est activé, les objets de regroupement créés au niveau global sont accessibles depuis les étendues dérivées, telles que centre de données, Edge, etc.

9 (Facultatif) Pour créer un groupe d’adresses IP universelles :

u Dans NSX 6.4.1 et versions ultérieures, cliquez sur le bouton d'activation/désactivation de Synchronisation universelle (Universal Synchronization) pour le faire passer sur Activer (On).

u Dans NSX 6.4.0, sélectionnez Marquer cet objet pour la synchronisation universelle (Mark this object for Universal Synchronization).


Modifier un groupe d'adresses IP

Procédure







4 Sélectionnez le groupe à modifier, puis cliquez sur l'icône Modifier (Edit) ( ou ).


Supprimer un groupe d'adresses IP

Procédure



VMware, Inc. 528






4 Sélectionnez le groupe que vous voulez supprimer, puis cliquez sur l'icône Supprimer (Delete)

( ou ).

Utilisation des groupes d'adresses MAC

Créer un groupe d'adresses MAC

Vous pouvez créer un groupe d'adresses MAC (ensemble d'adresses MAC) composé d'une plage d'adresses MAC, puis ajouter ce groupe comme source ou destination dans une règle de pare-feu distribué. Cette règle peut contribuer à protéger les machines physiques des machines virtuelles ou inversement.

Procédure


2 Accédez à Ensembles d'adresses MAC (MAC Sets) :

n Dans NSX 6.4.1 et versions ultérieures, vérifiez que vous êtes dans l’onglet Ensembles d'adresses MAC (MAC Sets).

n Dans NSX 6.4.0, vérifiez que vous êtes dans l’onglet Regroupement des objets (Grouping Objects) > Ensembles d'adresses MAC (MAC Sets).


u Pour gérer les groupes d'adresses MAC universelles, l’instance principale de NSX Manager doit être sélectionnée.


5 Tapez le nom du groupe d'adresses.

6 (Facultatif) Tapez la description du groupe d'adresses.

7 Tapez les adresses MAC à inclure dans le groupe.


VMware, Inc. 529



9 (Facultatif) Sélectionnez Synchronisation universelle (Universal Synchronization) ou Marquer cet objet pour la synchronisation universelle (Mark this object for Universal Synchronization) pour créer un groupe d'adresses MAC universelles.


Modifier un groupe d'adresses MAC

Procédure









Supprimer un groupe d'adresses MAC

Procédure






VMware, Inc. 530




( ou ).

Utilisation de pools IP

Vous pouvez créer un pool d'adresses IP pour spécifier une plage d'adresses IP.

Créer un pool IP

Vous pouvez ajouter des plages d'adresses IP à inclure dans le pool d'adresses IP. Assurez-vous que le pool d'adresses IP n'inclut pas la plage d'adresses IP ou les adresses IP déjà utilisées dans le réseau.

Procédure


2 Accédez à Pools d’adresses IP (IP Pools) :

n Dans NSX 6.4.1 et versions ultérieures, vérifiez que vous êtes dans l’onglet Pools d’adresses IP (IP Pools).

n Dans NSX 6.4.0, vérifiez que vous êtes dans l’onglet Regroupement des objets (Grouping Objects) > Pools d’adresses IP (IP Pools).


4 Cliquez sur Ajouter (Add) ou sur l’icône Ajouter un nouveau pool d'adresses IP (Add New IP Pool).

5 Tapez un nom pour le pool d'adresses IP et entrez la passerelle et la longueur de préfixe par défaut.

6 (Facultatif) Tapez le DNS principal et secondaire et le suffixe DNS.

7 Tapez les plages d'adresses IP à inclure dans le pool, puis cliquez sur Ajouter (Add) ou sur OK.

Modifier un pool IP

Vous pouvez modifier le nom et la plage d'adresses IP d'un pool IP. Toutefois, vous ne pouvez pas modifier la passerelle et la longueur de préfixe si un pool IP a déjà été utilisé.


VMware, Inc. 531

Procédure






4 Sélectionnez un pool IP et cliquez sur l'icône Modifier (Edit) ( ou ).


Supprimer un pool IP

Vous pouvez supprimer le pool d'adresses IP.

Procédure






4 Sélectionnez le pool d'adresses IP que vous voulez supprimer, puis cliquez sur l'icône

Supprimer (Delete) ( ou ).

Utilisation des groupes de sécurité

Un groupe de sécurité désigne un ensemble de ressources ou d'objets de groupement issus de votre inventaire vSphere.


VMware, Inc. 532

Les groupes de sécurité sont des conteneurs qui peuvent contenir plusieurs types d'objets : commutateur logique, vNIC, IPset et machine virtuelle (VM). Les groupes de sécurité peuvent avoir des critères d'appartenance dynamiques basés sur des balises de sécurité, un nom de machine virtuelle (VM) ou un nom de commutateur logique. Par exemple, toutes les VM qui ont la balise de sécurité « web » seront automatiquement ajoutées à un groupe de sécurité spécifique destiné aux serveurs Web. Après avoir créé un groupe de sécurité, une stratégie de sécurité est appliquée à ce groupe.



Les groupes de sécurité utilisés dans le pare-feu d'identité ne peuvent contenir que des groupe de répertoires AD. Les groupes imbriqués peuvent être des groupes non-AD ou des entités logiques telles que des machines virtuelles.

Pour plus d'informations, reportez-vous à Comportement des règles de pare-feu dans des groupes de sécurité.

Dans un environnement cross-vCenter NSX, les groupes de sécurité universelle sont définis sur l'instance principale de NSX Manager et peuvent être marqués pour la synchronisation universelle avec les instances secondaires de NSX Manager. Les groupes de sécurité universels ne peuvent pas avoir de critères d'appartenance dynamiques définis, sauf s'ils sont marqués pour une utilisation dans un scénario de déploiement en mode Veille active.

Dans un environnement cross-vCenter NSX avec un scénario de déploiement en mode Veille active, le SRM crée une VM à espace réservé sur le site de récupération pour chaque VM protégée sur le site actif. Les VM à espace réservé ne sont pas actives, et restent en mode Veille. Lorsque les VM protégées s'arrêtent, les VM à espace réservé sur le site de récupération sont activées et prennent le relais des tâches des VM protégées. Les utilisateurs créent des règles du pare-feu distribué avec les groupes de sécurité universelle contenant des balises de sécurité universelle sur le site actif. NSX Manager réplique la règle du pare-feu distribué avec les groupes de sécurité universelle contenant les balises de sécurité universelle sur les VM à espace réservé. Lorsque les VM à espace réservé sont activées, les règle de pare-feu répliquées avec les groupes de sécurité universelle et les balises de sécurité universelle sont appliquées correctement.

Note n Les groupes de sécurité universels créés avant la version 6.3 ne peuvent pas être modifiés

pour une utilisation dans les déploiements en mode Veille active.


VMware, Inc. 533

Comportement des règles de pare-feu dans des groupes de sécurité

Le comportement des règles de pare-feu varie selon les différents groupes de sécurité.

Tableau 22-1. Comportement des règles de pare-feu avec des sections RDSH et non-RDSH

Activer un groupe de sécurité d'identité des utilisateurs (section RDSH)

Groupe de sécurité d'identité (section RDSH)

N'importe quel groupe de sécurité (section non-RDSH)

Source : les règles basées sur SID sont envoyées préventivement à l'hyperviseur. L'application des règles se fait sur le premier paquet.

Source : règles basées sur l'adresse IP Source : règles basées sur l'adresse IP




Appliqué à avec un groupe de sécurité basé sur l'identité : appliqué à tous les hôtes


Appliqué à avec un groupe de sécurité non basé sur l'identité : appliqué à basé sur l'utilisateur


Créer un groupe de sécurité


Les groupes de sécurité universels sont utilisés dans deux types de déploiements : environnements cross-vCenter NSX actifs et environnements cross-vCenter NSX en veille active, où un site est en direct à un moment donné et le reste est en attente.

n Des groupes de sécurité universels dans un environnement actif ne peuvent contenir que les objets inclus suivants : groupes de sécurité, ensembles d'adresses IP, ensembles d'adresses MAC. Vous ne pouvez pas configurer une appartenance dynamique ou des objets exclus.

n Des groupes de sécurité universels dans un environnement en veille active peuvent contenir les objets inclus suivants : groupes de sécurité, ensembles d'adresses IP, ensembles d'adresses MAC, balises de sécurité universelle. Vous pouvez également configurer une appartenance dynamique en utilisant le nom de VM uniquement. Vous ne pouvez pas configurer d'objets exclus.

Note Les machines virtuelles désactivées basées sur des critères dynamiques tels que le nom du système d'exploitation de l'ordinateur et le nom de l'ordinateur ne sont pas incluses dans les groupes de sécurité. Les critères dynamiques sont reçus par NSX une seule fois, lorsque la machine virtuelle est activée. Après l'activation, les détails de l'invité sont synchronisés avec NSX Manager et restent sur l'instance de NSX Manager, même si la machine virtuelle est désactivée ultérieurement.

Note Les groupes de sécurité universels créés avant la version 6.3 ne peuvent pas être modifiés pour une utilisation dans les déploiements en mode Veille active.


VMware, Inc. 534


Si vous créez un groupe de sécurité basé sur des objets de groupe Active Directory, vérifiez qu'un ou plusieurs domaines ont été enregistrés dans NSX Manager. NSX Manager obtient de chaque domaine enregistré des informations sur les utilisateurs et les groupes, ainsi que sur la relation entre eux. Reportez-vous à la section Enregistrer un domaine Windows avec NSX Manager.

Procédure


2 Accédez à Groupe de sécurité (Security Group) :

n Dans NSX 6.4.1 et versions ultérieures, vérifiez que vous êtes dans l’onglet Groupes de sécurité (Security Groups).

n Dans NSX 6.4.0, vérifiez que vous êtes dans l’onglet Regroupement des objets (Grouping Objects) > Groupe de sécurité (Security Group).


u Pour gérer les groupes de sécurité universels, l’instance principale de NSX Manager doit être sélectionnée.

4 Cliquez sur Ajouter (Add) ou sur l'icône Ajouter un groupe de sécurité (Add New Security Group).

5 Tapez le nom et une description (facultative) du groupe de sécurité.

6 (Facultatif) Si vous créez un groupe de sécurité universel, sélectionnez Synchronisation universelle (Universal Synchronization) ou Marquer cet objet pour la synchronisation universelle (Mark this object for universal synchronization).

7 (Facultatif) Si vous créez un groupe de sécurité universel à utiliser dans un déploiement en mode Veille active, sélectionnez à la fois Synchronisation universelle/Marquer cet objet pour la synchronisation universelle (Universal Synchronization / Mark this object for universal synchronization) et Utiliser pour les déploiements en mode actif/de secours (Use for active standby deployments). L'appartenance dynamique pour les groupes de sécurité universels avec déploiement en mode Veille active est basée sur le nom de la machine virtuelle.



VMware, Inc. 535

9 Sur la page Appartenance dynamique, définissez les critères auxquels un objet doit répondre pour être ajouté au groupe de sécurité que vous créez. Cela vous permet d'inclure des machines virtuelles en définissant un critère de filtre avec un certain nombre de paramètres pris en charge afin de correspondre aux critères de recherche.

Note Si vous créez un groupe de sécurité universel, l'étape Définir l'appartenance dynamique (Define dynamic membership) n'est pas disponible dans les déploiements actifs actifs. Il est disponible dans les déploiements en veille active, en fonction du nom de la machine virtuelle uniquement.

Par exemple, vous pouvez inclure dans le groupe de sécurité un critère prévoyant l'ajout de toutes les machines virtuelles disposant de la balise de sécurité spécifiée (par exemple AntiVirus.virusFound). Les balises de sécurité sont sensibles à la casse.

Sinon, vous pouvez ajouter au groupe de sécurité toutes les machines virtuelles contenant le nom W2008 et les machines virtuelles situées dans le commutateur logique global_wire.



VMware, Inc. 536

11 Sur la page Sélectionner les objets à inclure, sélectionnez l'onglet de la ressource à ajouter et choisissez une ou plusieurs ressources à ajouter au groupe de sécurité. Vous pouvez inclure les objets suivants dans un groupe de sécurité.

Tableau 22-2. Objets pouvant être inclus dans des groupes de sécurité et des groupes de sécurité universels.

Groupe de sécurité Groupe de sécurité universel

n Autres groupes de sécurité à imbriquer dans le groupe de sécurité que vous créez.

n Cluster

n Commutateur logique

n Réseau

n Application virtuelle

n Centre de données


n Groupes de répertoires

Note La configuration Active Directory pour les groupes de sécurité NSX est différente de celle pour vSphere SSO. La configuration de groupe AD NSX concerne les utilisateurs finaux qui accèdent aux machines virtuelles invitées, alors que vSphere SSO est destiné aux administrateurs qui utilisent vSphere et NSX. Pour consommer ces groupes de répertoires, vous devez vous synchroniser avec Active Directory. Reportez-vous à la section Chapitre 12 Présentation d'Identity Firewall.

n Ensembles d'adresses MAC

n Balise de sécurité

n vNIC

n Machine virtuelle

n Pool de ressources

n Groupe de ports virtuels distribués

n Autres groupes de sécurité universels à imbriquer dans le groupe de sécurité universel que vous créez.

n Ensembles d'adresses IP universelles

n Ensembles de MAC universels

n Balise de sécurité universelle (déploiements en veille active uniquement)

Les objets sélectionnés ici sont toujours inclus dans le groupe de sécurité, indépendamment de leur correspondance aux critères que vous avez définis précédemment sur la page Appartenance dynamique.

Lorsque vous ajoutez une ressource à un groupe de sécurité, toutes les ressources associées sont ajoutées automatiquement. Par exemple, lorsque vous sélectionnez une machine virtuelle, la vNIC associée est ajoutée automatiquement au groupe de sécurité.

12 Cliquez sur Suivant (Next) et sélectionnez les objets à exclure du groupe de sécurité.

Note Si vous créez un groupe de sécurité universel, l'étape Sélectionner des objets à exclure n'est pas disponible.

Les objets sélectionnés ici sont toujours exclus du groupe de sécurité, indépendamment de leur correspondance aux critères dynamiques.


VMware, Inc. 537


La fenêtre Prêt à terminer (Ready to Complete) s'affiche avec un résumé du groupe de sécurité.


Exemple

L'appartenance à un groupe de sécurité est déterminée comme suit :

{Résultat de l'expression (dérivé de Définir l'appartenance dynamique (Define dynamic membership)) + Inclusions (spécifiées dans Sélectionner les objets à inclure (Select objects to include)} - Exclusion (spécifiée dans Sélectionner les objets à exclure (Select objects to exclude))

Cela signifie que les éléments d'inclusion sont d'abord ajoutés au résultat de l'expression. Les éléments d'exclusion sont ensuite soustraits du résultat combiné.

Modifier un groupe de sécurité

Procédure








Note Les groupes de sécurité universels créés avant la version 6.3 ne peuvent pas être modifiés pour une utilisation dans les déploiements en mode Veille active.

5 Dans la boîte de dialogue Modifier un groupe de sécurité, effectuez les modifications appropriées.

6 Cliquez sur Terminer (Finish) ou sur OK.

Supprimer un groupe de sécurité


VMware, Inc. 538

Procédure








( ou ).

Utilisation des services et des groupes de services

Un service est une combinaison de protocole et de port, et un groupe de services est un rassemble des services ou d'autres groupes de services.

Créer un service

Vous pouvez utiliser des services dans les règles de pare-feu. Vous pouvez utiliser des services prédéfinis ou créer des services supplémentaires.

Vous devrez peut-être créer un service si votre application n'est pas déjà définie ou si elle utilise un protocole standard avec un port autre que le port par défaut. Par exemple :

n HTTP sur un port autre que le port par défaut - TCP:8080

n FTP sur un port autre que le port par défaut - FTP:8021

n Port du serveur NoMachine - UDP:4000

Note Le protocole SCTP n'est pas pris en charge sur Edge Firewall.

Procédure


2 Accédez à Services :

n Dans NSX 6.4.1 et versions ultérieures, vérifiez que vous êtes dans l’onglet Services.

n Dans NSX 6.4.0, vérifiez que vous êtes dans l’onglet Regroupement des objets (Grouping Objects) > Service.


VMware, Inc. 539


u Pour gérer les services universels, l’instance principale de NSX Manager doit être sélectionnée.


5 Tapez un Nom (Name) pour identifier le service.

6 (Facultatif) Tapez une Description du service.

7 Sélectionnez une Couche (Layer).

Si vous sélectionnez la couche 7, vous êtes invité à sélectionner un App ID.

8 Sélectionnez un Protocole (Protocol).

Par exemple, TCP, UDP ou FTP.

En fonction du protocole sélectionné, vous pouvez être invité à entrer des informations supplémentaires, comme le port de destination. Développez Options avancées (Advanced Options) pour entrer un port source.

Note Le protocole SCTP n'est pas pris en charge sur Edge Firewall.



10 (Facultatif) Sélectionnez Synchronisation universelle (Universal Synchronization) ou Marquer cet objet pour la synchronisation universelle (Mark this object for Universal Synchronization) pour créer un service universel.


Résultats

Le service apparaît dans le tableau des services.

Créer un groupe de services

Vous pouvez créer un groupe de services, puis définir des règles pour ce groupe de services.

Procédure



VMware, Inc. 540

2 Accédez à Groupes de services (Service Groups) :

n Dans NSX 6.4.1 et versions ultérieures, vérifiez que vous êtes dans l’onglet Groupes de services (Service Groups).

n Dans NSX 6.4.0, vérifiez que vous êtes dans l’onglet Regroupement des objets (Grouping Objects) > Groupes de services (Service Groups).




5 Tapez un Nom (Name) pour identifier le groupe de services.

6 (Facultatif) Tapez la Description du groupe de services.

7 Dans Membres, sélectionnez les services ou les groupes de services que vous souhaitez ajouter au groupe.

8 (Facultatif) Sélectionnez Synchronisation universelle (Universal Synchronization) ou Marquer cet objet pour la synchronisation universelle (Mark this object for Universal Synchronization) pour créer un groupe de services universel.




Modifier un service ou un groupe de services

Vous pouvez modifier des services et des groupes de services.

Procédure


2 Cliquez sur l'onglet Service ou l'onglet Groupes de services (Service Groups).

3 Sélectionnez un service ou un groupe de services personnalisé, puis cliquez sur l'icône

Modifier (Edit) ( ou ).



VMware, Inc. 541

Supprimer un service ou un groupe de services

Vous pouvez supprimer des services ou un groupe de services.

Procédure


2 Cliquez sur l'onglet Service ou l'onglet Groupes de services (Service Groups).

3 Sélectionnez le service ou le groupe de services personnalisé que vous voulez supprimer, puis

cliquez sur l'icône Supprimer (Delete) ( ou ).


VMware, Inc. 542

Opérations et gestion 23Ce chapitre contient les rubriques suivantes :

n Ajouter et attribuer une licence

n Utilisation du tableau de bord

n Contrôler la Santé du canal de communication

n Gestion de NSX Controller

n Mode Controller Disconnected Operation pour plusieurs sites

n Modifier le port VXLAN

n Programme d'amélioration du produit

n À propos des journaux NSX

n Journaux d'audit

n Événements système

n Paramètres du système de gestion

n Sauvegarde et restauration de NSX

n Outils de surveillance et de diagnostic NSX

Ajouter et attribuer une licence

Vous pouvez ajouter et attribuer une licence à l'aide de vSphere Web Client.

À partir de NSX 6.4.0, vous devez être membre du groupe LicenseService.Administrators pour gérer les licences.

La licence par défaut lors de l'installation est NSX pour vShield Endpoint. Cette licence permet d'utiliser NSX pour déployer et gérer vShield Endpoint pour la capacité de déchargement d'antivirus uniquement. Elle dispose de la contrainte de mise en conformité inconditionnelle pour limiter l'utilisation de VXLAN, du pare-feu et des services Edge, en bloquant la préparation de

VMware, Inc. 543

l'hôte et la création de dispositifs NSX Edge. Pour utiliser d'autres fonctionnalités, y compris des commutateurs logiques, des routeurs logiques, le pare-feu distribué ou NSX Edge, vous devez acheter une licence pour utiliser ces fonctionnalités ou demander une licence d'évaluation pour en faire une évaluation à court terme.

n Les clés de licence de NSX for vSphere Standard, Advanced et Enterprise sont effectives dans NSX 6.2.2 et versions ultérieures.

n Les clés de licence de NSX Data Center Standard, Professional, Advanced, Enterprise Plus et Remote Office Branch Office sont effectives dans NSX 6.4.1 et versions ultérieures.

Pour plus d’informations sur les éditions de licence et fonctionnalités associées de NSX Data Center, NSX et NSX for vShield Endpoint, reportez-vous à la section https://kb.vmware.com/kb/2145269.

Pour plus d'informations sur les licences de produits VMware, consultez http://www.vmware.com/files/pdf/vmware-product-guide.pdf.

Pour plus d'informations sur la gestion des licences dans vSphere, consultez la documentation Gestion de vCenter Server et des hôtes correspondant à votre version de vSphere.


Vérifiez que tous les utilisateurs de vCenter qui gèrent des licences se trouvent dans le groupe LicenseService.Administrators.

Si vous disposez de plusieurs systèmes vCenter Server utilisant la même instance de Platform Services Controller et de plusieurs instances de NSX Manager enregistrées dans ces serveurs vCenter Server, vous devez combiner les licences des dispositifs NSX Manager en une licence unique. Pour plus d'informations, reportez-vous à https://kb.vmware.com/s/article/53750. Pour plus d'informations sur la combinaison de licences, reportez-vous à la section https://kb.vmware.com/s/article/2006973.

Procédure


2 Cliquez sur Administration, puis sur Licences (Licenses).

3 Cliquez sur l'onglet Actifs (Assets), puis sur l'onglet Solutions.

4 Sélectionnez NSX for vSphere dans la liste Solutions. Dans le menu déroulant Toutes les actions (All Actions), sélectionnez Attribuer une licence... (Assign license...).

5 Cliquez sur l'icône Ajouter (Add) ( ). Entrez une clé de licence et cliquez sur Suivant (Next). Ajoutez un nom pour la licence et cliquez sur Suivant (Next). Cliquez sur Terminer (Finish) pour ajouter la licence.

6 Sélectionnez la nouvelle licence.

7 (Facultatif) Cliquez sur l'icône Afficher les fonctionnalités (View Features) pour voir quelles fonctionnalités sont activées avec cette licence.


VMware, Inc. 544



http://www.vmware.com/files/pdf/vmware-product-guide.pdf

http://www.vmware.com/files/pdf/vmware-product-guide.pdf




8 Cliquez sur OK pour attribuer la nouvelle licence à NSX.

Utilisation du tableau de bord

Le tableau de bord affiche la santé générale des composants NSX dans une vue centralisée. Le tableau de bord simplifie le dépannage en affichant l'état des différents composants NSX tels que les instances de NSX Manager, les contrôleurs, les commutateurs logiques, la préparation de l'hôte, le déploiement des services, la sauvegarde ainsi que les notifications Edge.


2 Cliquez sur Mise en réseau et sécurité (Networking & Security). La page Tableau de bord (Dashboard) > Présentation (Overview) s'affiche comme page d'accueil par défaut.

Vous pouvez afficher les widgets existants définis par le système et les widgets personnalisés.

Widget Composant

Présentation du système NSX Manager :

n Utilisation du CPU

n Utilisation du disque NSX Manager

n État de service du service de base de données, du service de bus de messages et du service de réplicateur. Erreurs de réplication sur l'instance secondaire de NSX Manager

n État de synchronisation du contrôleur

Nœuds de contrôleur :

n État du nœud de contrôleur

n État de connectivité de l'homologue de contrôleur

n État de la VM du contrôleur (désactivée/supprimée)

n Alertes de latence de disque du contrôleur

Composants externes :

n État du service de vSphere ESX Agent Manager (EAM)

État de publication du pare-feu Nombre d'hôtes avec l'état de publication du pare-feu échoué. L'état est Rouge lorsqu'un hôte n'applique pas correctement la configuration du pare-feu distribué publié.

État du commutateur logique Nombre de commutateurs logiques avec l'état Erreur ou Avertissement. Signale lorsque le groupe de ports virtuels distribué sur lequel il repose est supprimé de vCenter Server.

État du déploiement des services n État de l'installation pour les déploiements ayant échoué

n État de service pour tous les services en échec

Notification de l'hôte Alertes de sécurité des hôtes. Vous pouvez afficher cette alerte lorsque l'adresse matérielle du client DHCP est usurpée. Une possible attaque de déni de service DHCP est en cours.


VMware, Inc. 545

Widget Composant

Statut de la structure État de préparation de l'hôte :

n État du déploiement comme clusters avec l'état d'échec de l'installation, mise à niveau en attente, installation en cours, etc.

n Pare-feu :

n Nombre de clusters avec le pare-feu désactivé

n État du pare-feu distribué

n VXLAN :

n Nombre de clusters avec VXLAN non configuré

n État de VXLAN

État d'intégrité du canal de communication

État de la sauvegarde État de sauvegarde pour NSX Manager :

n Planification des sauvegardes

n État de la dernière sauvegarde (échec/réussite/non planifiée avec date et heure).

n Dernière tentative de sauvegarde (date et heure avec détails)

n Dernière sauvegarde réussie (date et heure avec détails)

Notifications Edge Indique des alarmes actives pour certains services. Surveille la liste des événements critiques répertoriés et les suit jusqu'à ce que le problème ne soit pas résolu. Les alarmes sont résolues automatiquement lorsqu'un événement de récupération est signalé ou lorsque la synchronisation, le redéploiement ou la mise à niveau du dispositif Edge sont forcés.

Outils n État de Flow Monitoring

n État de surveillance du point de terminaison

Tableau de bord Échelle du système Affiche un résumé des avertissements et des alertes de l'échelle. Pour voir la liste détaillée des paramètres et des numéros d'échelle, cliquez sur Détails (Details) pour accéder au Tableau de bord Échelle du système.

Widget personnalisé Vous pouvez afficher le widget personnalisé créé via l'API.

Widget personnalisé

Vous pouvez ajouter des widgets personnalisés au tableau de bord à l'aide de REST API. Vous pouvez créer cinq widgets personnalisés pour votre affichage personnel dans le tableau de bord.

Vous pouvez également partager les widgets personnalisés avec d'autres utilisateurs en définissant le paramètre shared sur true dans la configuration du widget. La limite maximale de

widgets partagés est de 10. Cela signifie que le nombre total de widgets partagés par tous les utilisateurs est limité à 10.


VMware, Inc. 546

API de widgets personnalisés

Utilisez les API suivantes pour afficher, créer, modifier et supprimer les widgets personnalisés sur votre tableau de bord :

n Pour afficher des informations sur la configuration d'un widget spécifique : utilisez l'API GET /api/2.0/services/dashboard/ui-views/dashboard/widgetconfigurations/<widgetconfiguration-id>.

n Pour créer un widget personnalisé : utilisez l'API POST /api/2.0/services/dashboard/ui-views/dashboard/widgetconfigurations.

n Pour modifier la configuration du widget existant : utilisez l'API PUT /api/2.0/services/dashboard/ui-views/dashboard/widgetconfigurations/<widgetconfiguration-id>.

n Pour supprimer le widget personnalisé créé précédemment : utilisez l'API DELETE /api/2.0/services/dashboard/ui-views/dashboard/widgetconfigurations/<widgetconfiguration-id>.


Tableau de bord Échelle du système

Le tableau de bord Échelle du système (System Scale) collecte des informations sur l'échelle actuelle du système et affiche les valeurs maximales de configuration pour les paramètres d'échelle pris en charge. Vous pouvez configurer un seuil d'avertissement pour les alertes lorsque l'échelle du système dépasse la valeur de seuil configurée. Lorsque le seuil est dépassé, un événement système est généré et utilisé pour configurer des notifications. Ces informations sont également journalisées et incluses dans le bundle de support.

Si la valeur actuelle dépasse un pourcentage de seuil spécifié, un indicateur d'avertissement s'affiche pour alerter que l'échelle maximale prise en charge sera bientôt atteinte. Un indicateur rouge indique que la valeur maximale de configuration est atteinte. La liste est triée dans l'ordre décroissant des valeurs de pourcentage d'échelle actuelle ce qui garantit que les indicateurs d'avertissement sont toujours affichés en haut.

Les données sont collectées toutes les heures pour vérifier si les valeurs de seuil dépassent les limites et un indicateur est créé lorsque les seuils sont dépassés. Les informations sont journalisées deux fois par jour dans les journaux de support technique de NSX Manager.

Des événements système sont générés lorsque les conditions suivantes se produisent :

n Un événement d'avertissement lorsqu'un paramètre dépasse la limite de seuil.

n Un événement critique lorsqu'un paramètre dépasse la configuration d'échelle du système prise en charge.

n Un événement d'information lorsqu'un paramètre est inférieur à la valeur de seuil.


VMware, Inc. 547

Récupérer les limites de seuil de l'échelle actuelle pour tous les paramètres

Vous pouvez déterminer la configuration d'échelle du système actuelle et prise en charge à l'aide de l'API GET /api/2.0/capacity-parameters/report . La sortie de l'API affiche le résumé

d'échelle, la valeur d'échelle actuelle, la valeur d’échelle du système prise en charge et la valeur de seuil pour chaque paramètre.

Configurer un seuil d'échelle pour le système

Vous pouvez définir la limite du seuil d'échelle pour votre système.

Pour configurer la limite du seuil :

1 Récupérez le seuil de système global à l'aide de l'API GET /api/2.0/capacity-parameters/thresholds. Par exemple, la sortie de l'API montre que le seuil global est égal à 80.

Cela signifie que le tableau de bord Échelle du système (System Scale) indique un Seuil d'avertissement de l'utilisation (Usage Warning Threshold) de 80 %.

Note Par défaut, la valeur de seuil global est définie sur 80.

2 Pour modifier le seuil de système, utilisez l'API PUT /api/2.0/capacity-parameters/thresholds. Par exemple, vous modifiez la valeur de seuil global sur 70. Désormais, le tableau

de bord Échelle du système (System Scale) indique un Seuil d'avertissement de l'utilisation (Usage Warning Threshold) de 70 %.

Pour plus d'informations sur les API, consultez le Guide de NSX API.

Pour plus d'informations sur les échelles du système, reportez-vous à la section Valeurs maximales de configuration recommandées de NSX.

Contrôler la Santé du canal de communication

NSX contrôle l'état de la communication entre l'instance de NSX Manager et l'agent de pare-feu, entre l'instance de NSX Manager et l'agent de plan de contrôle ainsi qu'entre l'agent de plan de contrôle et les contrôleurs.

Vous pouvez également afficher la santé du canal de communication sur le tableau de bord dans Mise en réseau et sécurité (Networking & Security) > Tableau de bord (Dashboard) dans la section Statut de la structure.

Procédure

1 Accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Préparation de l'hôte (Host Preparation).


VMware, Inc. 548

2 Effectuez les étapes suivantes pour afficher la santé des canaux de communication.


NSX 6.4.1 et versions ultérieures a Cliquez sur un cluster dans le volet de gauche. Dans le volet de droite, les hôtes du cluster sélectionné s'affichent dans le tableau Hôtes.

b Dans la colonne Canaux de communication du tableau Hôtes, cliquez sur l'icône d'état.

NSX 6.4.0 a Développez le cluster qui contient l'hôte pour lequel vous souhaitez afficher la santé du canal de communication.

b Cliquez sur l'hôte, puis cliquez sur Actions > Santé du canal de communication (Communication Channel Health).

Une fenêtre contextuelle affiche l'état d'intégrité des canaux de communication suivants :

n NSX Manager à l'agent de pare-feu

n NSX Manager à l'agent de plan de contrôle

n Agent de plan de contrôle au contrôleur

Gestion de NSX Controller

Vous pouvez modifier la configuration des nœuds NSX Controller, y compris les noms, les mots de passe ou la configuration NTP. Vous pouvez également télécharger les informations de support technique à partir des nœuds NSX Controller.

Pour plus d'informations sur la résolution des problèmes de cluster de contrôleurs, y compris la suppression de contrôleurs en toute sécurité, consultez la section NSX Controller dans le Guide de dépannage de NSX.

Modifier le nom de NSX Controller

Vous pouvez modifier le nom de chaque nœud NSX Controller.

À partir de NSX Data Center for vSphere 6.4.0, vous pouvez modifier le nom du contrôleur à l'aide de l'API. Consultez le Guide de NSX API pour plus d'informations. À partir de NSX Data Center for vSphere 6.4.2, vous pouvez modifier le nom du contrôleur à l'aide devSphere Web Client ou de vSphere Client.

Lorsque vous créez un nœud de contrôleur, vous êtes invité à lui donner un nom. Un ID de contrôleur est également affecté au nœud de contrôleur, au format controller-X (par exemple,

controller-5). Le nom et l'ID du contrôleur sont utilisés pour configurer des identificateurs pour

le contrôleur à plusieurs emplacements :

n Le nom affiché dans l'interface utilisateur de Mise en réseau et sécurité est défini sur name

n Le nom de machine virtuelle dans vSphere est défini sur name-NSX-<controller_id>

n Le nom d'hôte de la machine virtuelle est défini sur nsx-controller


VMware, Inc. 549

Lorsque vous mettez à jour le nom du contrôleur, les modifications suivantes sont effectuées :

n Le nom affiché dans l'interface utilisateur de Mise en réseau et sécurité devient newName

n Le nom de machine virtuelle dans vSphere devient newName-NSX-<controller_id>

n Le nom d'hôte de la machine virtuelle devient newName-NSX-<controller_id>

Note Le nom d'hôte est utilisé dans les entrées de journal du contrôleur. Si vous modifiez le nom d'hôte du contrôleur, les entrées de journal affichent le nouveau nom d'hôte.

Procédure

1 Accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Gestion (Management) > Nœuds de NSX Controller (NSX Controller Nodes).

2 Sélectionnez un nœud de contrôleur, puis cliquez sur Actions > Modifier le nom de contrôleur (Change Controller Name).

3 Entrez le nouveau nom et cliquez sur Enregistrer (Save).

Modifier le mot de passe d'un contrôleur

Vous pouvez modifier les mots de passe de vos instances de NSX Controller pour garantir la sécurité.

Procédure


2 Sélectionnez le contrôleur pour lequel vous souhaitez modifier le mot de passe.

3 Cliquez sur Actions > Modifier le mot de passe du cluster de contrôleurs (Change Controller Cluster Password).

4 Tapez un nouveau mot de passe et cliquez sur OK.

Le mot de passe du contrôleur est modifié.

Configurer DNS, NTP et Syslog pour le cluster NSX Controller

Vous pouvez configurer les serveurs DNS, NTP et les serveurs Syslog pour le cluster NSX Controller. Les mêmes paramètres s'appliquent à tous les nœuds NSX Controller du cluster.


VMware, Inc. 550

À partir de NSX Data Center for vSphere 6.4.2, vous pouvez effectuer ces modifications à l'aide de vSphere Web Client ou de vSphere Client. Dans les versions 6.4 antérieures, vous pouvez modifier NTP et les paramètres Syslog à l'aide de l'API uniquement. Consultez le Guide de NSX API pour plus d'informations.

Important Si vous disposez d'une configuration non valide (par exemple, avec des serveurs NTP inaccessibles), puis que vous déployez un contrôleur, le déploiement du nœud de contrôleur échoue. Vérifiez et corrigez la configuration et déployez de nouveau le nœud du contrôleur.

Les paramètres DNS du cluster NSX Controller remplacent tous les paramètres DNS configurés sur le pool d'adresses IP du contrôleur.

Procédure


2 Sélectionnez les instances de NSX Manager qui gèrent les nœuds NSX Controller que vous souhaitez modifier.

3 Cliquez sur le lien MODIFIER (EDIT) des attributs communs du contrôleur.

4 (Facultatif) Entrez une liste séparée par des virgules de serveurs DNS et éventuellement de suffixes DNS.

Paramètre DNS Exemples de valeurs

Serveurs DNS 192.168.110.10, 192.168.110.11

Suffixes DNS fr.exemple.com, corp.exemple.com, exemple.com

5 (Facultatif) Entrez une liste séparée par des virgules de serveurs NTP.

Vous pouvez entrer les serveurs NTP sous forme d'adresses IPv4 ou de noms de domaine complet (FQDN). Si un nom de domaine complet est utilisé, vous devez configurer DNS afin que les noms puissent être résolus.

6 (Facultatif) Configurez un ou plusieurs serveurs Syslog.

a Dans le panneau des serveurs Syslog, cliquez sur AJOUTER (ADD).

b Entrez le nom ou l'adresse du serveur Syslog.

Vous pouvez entrer les serveurs Syslog sous forme d'adresses IPv4 ou de noms de domaine complet (FQDN). Si un nom de domaine complet est utilisé, vous devez configurer DNS afin que les noms puissent être résolus.


VMware, Inc. 551

c Sélectionnez le protocole.

Si vous sélectionnez TLS, vous devez fournir un certificat X.509 à encodage PEM.

Important La sélection de TCP ou de TLS peut entraîner une consommation supplémentaire de mémoire pour la mise en mémoire tampon, ce qui pourrait affecter négativement les performances du contrôleur. Dans les cas extrêmes, cela peut arrêter le traitement du contrôleur jusqu'à ce que les appels de journal réseau en mémoire tampon soient purgés.

Note n Si le serveur Syslog utilise un certificat auto-signé, collez le contenu du certificat auto-

signé Syslog dans la zone de texte Certificat.

n Si le serveur Syslog utilise un certificat signé par une autorité de certification, collez le contenu des certificats intermédiaires et du certificat racine. Dans la chaîne de certificats, l'ordre des certificats doit être le suivant :

n Tout nombre de certificats d'autorité de certification intermédiaires

n Certificat d'autorité de certification racine

Chaque certificat doit inclure les lignes -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----, comme indiqué dans l'exemple suivant :

-----BEGIN CERTIFICATE----- Intermediate cert-----END CERTIFICATE----------BEGIN CERTIFICATE----- Root cert-----END CERTIFICATE-----

d (Facultatif) Modifiez le port.

Le port par défaut pour TCP et UDP Syslog est 514. Pour TLS Syslog, le port par défaut est 6514.

e (Facultatif) Sélectionnez un le niveau de journalisation.

INFO est sélectionné par défaut.

Télécharger les journaux de support technique pour NSX Controller

Vous pouvez télécharger les journaux du support technique pour chaque instance NSX Controller. Ces journaux spécifiques au produit contiennent des informations de diagnostic pour l'analyse. Vous pouvez également collecter les données de bundle de support pour les contrôleurs à l'aide de l'outil de collecte Bundle de support (Support Bundle). Pour plus de détails, consultez le Guide d'administration de NSX.

Pour collecter des journaux NSX Controller :


VMware, Inc. 552

Procédure


2 Sélectionnez le contrôleur pour lequel vous souhaitez générer les journaux de support technique.

Attention Générez les journaux de support pour un contrôleur à la fois. Une erreur peut se produire si vous tentez de générer simultanément des journaux de support pour plusieurs contrôleurs.

3 Cliquez sur Journaux de support (Support Logs) ( ou ).

NSX commence à recueillir les journaux de support technique. La génération des fichiers journaux prend plusieurs minutes. Vous pouvez cliquer sur Annuler (Cancel) à tout moment pour annuler le processus et générer les journaux de support ultérieurement.

4 Après avoir généré les journaux du support technique, cliquez sur Télécharger (Download).

Les journaux de support sont enregistrés sur votre ordinateur dans un fichier compressé avec l'extension de fichier .tgz.

Résultats

Vous pouvez maintenant analyser les journaux téléchargés.

Étape suivante

Pour télécharger des informations de diagnostic pour le support technique VMware, consultez l'article de la base de connaissances 2070100.

Mode Controller Disconnected Operation pour plusieurs sites

Le mode CDO (Controller Disconnected Operation) garantit que la connectivité de plan de données n'est pas affectée dans un environnement multi-site, lorsque le site principal perd la connectivité. Vous pouvez activer le mode CDO sur le site secondaire pour éviter les problèmes de connectivité temporaire concernant le plan de données, lorsque le site principal est arrêté ou qu'il n'est pas accessible. Vous pouvez également activer le mode CDO sur le site principal pour l'échec du plan de contrôle.

Le mode CDO permet d'éviter les problèmes de connectivité dans les scénarios de panne suivants :

n Tout site principal d'un environnement cross-vCenter NSX est en panne.

n Le WAN est en panne.


VMware, Inc. 553


n Échec du plan de contrôle.

Note À partir de NSX 6.4.0, CDO est pris en charge au niveau de NSX Manager et non au niveau de la zone de transport.

Le mode CDO est désactivé par défaut.

Lorsque le mode CDO est activé et que l'hôte détecte une panne du plan de contrôle, l'hôte attend la période configurée, puis passe en mode CDO. Vous pouvez configurer la période pendant laquelle vous voulez que l'hôte attende avant de passer en mode CDO. Par défaut, le temps d'attente est de cinq minutes.

NSX Manager crée un commutateur logique COD spécial (4999) sur le contrôleur. Le VNI (VXLAN Network Identifier) du commutateur logique CDO spécial est unique par rapport à tous les autres commutateurs logiques. Lorsque le mode CDO est activé, un contrôleur du cluster est responsable de la collecte de toutes les informations VTEP signalées par tous les nœuds de transport et de la réplication des informations VTEP mises à jour vers tous les autres nœuds de transport. Après la détection du mode CDO, des paquets de diffusion comme ARP/GARP et RARP sont envoyés à la liste de VTEP globale. Cela permet de migrer par vMotion les VM entre les serveurs vCenter Server sans problème de connectivité du plan de données.

Lorsque vous désactivez le mode CDO, NSX Manager supprime le commutateur logique CDO du contrôleur.

Activer le mode CDO (Controller Disconnected Operation)

Vous pouvez activer le mode CDO (Controller Disconnected Operation) pour NSX Manager. Le mode CDO est désactivé par défaut.


n Après la mise à niveau vers NSX 6.4, NSX Manager désactive le mode CDO pour les nœuds de transport existants. Utilisez un VNI global prédéfini pour configurer vSphere Distributed Switch (VDS), si NSX Manager disposait d'un ou plusieurs nœuds de transport activés pour CDO avant la mise à niveau.

Procédure

1 Accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Gestion (Management) > NSX Managers.

2 Sélectionnez le NSX Managerrequis.

3 Cliquez sur Actions > Activer le mode CDO (Enable CDO mode).

Une boîte de dialogue de confirmation s'affiche.

4 Cliquez sur Oui (Yes).

Le mode CDO est activé pour l'instance de NSX Manager sélectionnée.


VMware, Inc. 554

Résultats

La colonne Mode CDO affiche l'état Activé (Enabled) et le statut Réussite (Successful).

NSX Manager crée un commutateur logique COD sur le contrôleur. Pour afficher les détails du commutateur logique CDO, connectez-vous à la CLI de NSX Manager en tant qu'utilisateur admin et exécutez la commande suivante :

nsxmgr> show logical-switch controller controllerID host host_IP joined-vnis

Par exemple :

nsxmgr> show logical-switch controller controller-1 host 192.168.110.54 joined-vnisVNI Controller BUM-Replication ARP-Proxy Connections VTEPs Active5000 192.168.110.31 Enabled Enabled 2 2 true5004 192.168.110.31 Enabled Enabled 2 2 true5006 192.168.110.31 Enabled Enabled 3 3 true4999 192.168.110.31 Enabled Enabled 5 5 true5003 192.168.110.31 Enabled Enabled 3 3 true5005 192.168.110.31 Enabled Enabled 1 1 true5007 192.168.110.31 Enabled Enabled 3 3 true

Notez la création du commutateur logique CDO avec le VNI 4999.

Désactiver le mode CDO (Controller Disconnected Operation)

Vous pouvez désactiver le mode CDO (Controller Disconnected Operation) déjà activé lorsque les problèmes de connectivité liés au site secondaire sont résolus. Le mode CDO reste désactivé par défaut.

Procédure


2 Sélectionnez le NSX Managerrequis.

3 Cliquez sur Actions > Désactiver le mode CDO (Disable CDO mode).



Le mode CDO est désactivé pour l'instance de NSX Manager sélectionnée.

Résultats

La colonne Mode CDO affiche l'état Désactivé (Disabled) et le statut Réussite (Successful).

NSX Manager supprime le commutateur logique COD du contrôleur. Pour vérifier si le commutateur logique CDO est supprimé, connectez-vous à la CLI de NSX Manager en tant qu'utilisateur admin et exécutez la commande suivante :

nsxmgr> show logical-switch controller controllerID host host_IP joined-vnis


VMware, Inc. 555

Par exemple :

nsxmgr> show logical-switch controller controller-1 host 192.168.110.54 joined-vnisVNI Controller BUM-Replication ARP-Proxy Connections VTEPs Active5000 192.168.110.31 Enabled Enabled 2 2 true5004 192.168.110.31 Enabled Enabled 2 2 true5006 192.168.110.31 Enabled Enabled 3 3 true5003 192.168.110.31 Enabled Enabled 3 3 true5005 192.168.110.31 Enabled Enabled 1 1 true5007 192.168.110.31 Enabled Enabled 3 3 true

Notez que le commutateur logique CDO avec le VNI 4999 n'est pas disponible sur le contrôleur.

Resynchroniser la configuration CDO

Si l'opération en mode CDO échoue, vous pouvez exécuter la même opération à l'aide de la fonction de resynchronisation.

Par exemple : un vSphere Distributed Switch (VDS) est supprimé de la base de données NSX Manager, lorsque le dernier cluster associé à ce VDS n'est plus configuré depuis le VXLAN. Ensuite, NSX Manager supprime la propriété opaque liée à CDO de VDS. Si la suppression de la propriété opaque échoue pour une raison quelconque, la propriété opaque reste dans le VDS. Maintenant, si vous désactivez le mode CDO et que vous configurez VXLAN sur un hôte associé à ce VDS, le mode CDO est activé sur cet hôte, car la propriété opaque est présente et un VNI est également présent dans le contrôleur. Dans ce cas, utilisez la fonctionnalité de resynchronisation pour appliquer le mode CDO désactivé à nouveau. Maintenant, NSX Manager tente de supprimer la propriété opaque de VDS.


L'opération d'activation ou de désactivation du mode CDO a échoué.

Procédure


2 Sélectionnez l'instance secondaire de NSX Manager, puis cliquez sur Actions > Activer le mode CDO (Enable CDO mode) pour activer le mode CDO.

3 À présent, sélectionnez NSX Manager et cliquez sur Actions > Mode Resynchroniser la configuration CDO (Resync CDO configuration mode).



Le mode CDO est de nouveau synchronisé pour l'instance de NSX Manager sélectionnée.

Modifier le port VXLAN

Vous pouvez modifier le port utilisé pour le trafic VXLAN.


VMware, Inc. 556

Dans NSX 6.2.3 et version ultérieure, le port VXLAN par défaut est le port 4789, le port standard attribué par l'IANA. Avant NSX 6.2.3, le numéro de port UDP VXLAN par défaut était 8472.

Toutes les nouvelles installations de NSX utiliseront le port UDP 4789 pour VXLAN.

Si vous effectuez la mise à niveau de NSX 6.2.2 ou version antérieure vers NSX 6.2.3 ou version ultérieure et que votre installation utilisait l'ancien numéro de port par défaut (8472) ou un numéro de port personnalisé (par exemple, 8888) avant la mise à niveau, ce port sera toujours utilisé après la mise à niveau, sauf si vous le modifiez.

Si votre installation mise à niveau utilise ou utilisera des passerelles VTEP matérielles (passerelles ToR), vous devez passer au port VXLAN 4789.

Cross-vCenter NSX ne nécessite pas que vous utilisiez le port 4789 pour VXLAN, toutefois, tous les hôtes dans un environnement cross-vCenter NSX doivent être configurés pour utiliser le même port VXLAN. Si vous passez au port 4789, cela assurera que toutes les nouvelles installations de NSX ajoutées à l'environnement cross-vCenter NSX utilisent le même port que les déploiements existants de NSX.

La modification du port VXLAN se fait en trois étapes et elle n'interrompt pas le trafic VXLAN.

1 NSX Manager configure tous les hôtes afin qu'ils écoutent le trafic VXLAN sur l'ancien port et le nouveau. Les hôtes continuent d'envoyer le trafic VXLAN sur l'ancien port.

2 NSX Manager configure tous les hôtes afin qu'ils envoient du trafic sur le nouveau port.

3 NSX Manager configure tous les hôtes afin qu'ils arrêtent d'écouter sur l'ancien port. L'ensemble du trafic est envoyé et reçu sur le nouveau port.

Dans un environnement cross-vCenter NSX, vous devez démarrer la modification du port sur le NSX Manager principal. Pour chaque étape, les modifications de configuration sont effectuées sur tous les hôtes dans l'environnement cross-vCenter NSX avant de passer à l'étape suivante.


n Vérifiez que le port que vous voulez utiliser pour VXLAN n'est pas bloqué par un pare-feu.

n Vérifiez que la préparation de l'hôte n'est pas exécutée en même temps que la modification du port VXLAN.

Procédure

1 Accédez aux paramètres de transport VXLAN.

u Dans NSX 6.4.1 et versions ultérieures, accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Paramètres de réseau logique (Logical Network Settings) > Paramètres de VXLAN (VXLAN Settings).

u Dans NSX 6.4.0, accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Préparation du réseau logique (Logical Network Preparation) > Transport VXLAN (VXLAN Transport).


VMware, Inc. 557

2 En regard de Port VXLAN (VXLAN Port), cliquez sur Modifier (Edit) ou sur Changer (Change). Entrez le port que vous voulez utiliser. 4789 est le port attribué par l'IANA pour VXLAN.

La propagation de la modification du port sur tous les hôtes prend un peu de temps.

3 (Facultatif) Consultez la progression de la modification du port avec la demande d'API GET /api/2.0/vdn/config/vxlan/udp/port/taskStatus.

GET https://nsxmgr-01a/api/2.0/vdn/config/vxlan/udp/port/taskStatus

<?xml version="1.0" encoding="UTF-8"?><vxlanPortUpdatingStatus> <prevPort>8472</prevPort> <targetPort>4789</targetPort> <taskPhase>PHASE_TWO</taskPhase> <taskStatus>PAUSED</taskStatus></vxlanPortUpdatingStatus>

...

<?xml version="1.0" encoding="UTF-8"?><vxlanPortUpdatingStatus> <prevPort>8472</prevPort> <targetPort>4789</targetPort> <taskPhase>FINISHED</taskPhase> <taskStatus>SUCCEED</taskStatus></vxlanPortUpdatingStatus>

Programme d'amélioration du produit

NSX participe au Programme d'amélioration du produit de VMware (CEIP).

Les détails concernant les données recueillies via le CEIP et les fins auxquelles elles sont utilisées par VMware sont définis dans le Centre d'approbation et d'assurance à l'adresse https://www.vmware.com/solutions/trustvmware/ceip.html.

Pour participer ou quitter le CEIP pour NSX, ou pour modifier les paramètres du programme, reportez-vous à la section Modifier l'option Programme d'amélioration du produit.

Modifier l'option Programme d'amélioration du produit

Lorsque vous installez ou mettez à niveau NSX Manager, vous pouvez choisir de participer au programme d'amélioration du produit (CEIP). Vous pouvez participer ou quitter le CEIP ultérieurement. Vous pouvez également définir la fréquence et les jours où les informations sont collectées.


n Vérifiez que NSX Manager est connecté et peut se synchroniser avec vCenter Server.


VMware, Inc. 558

https://www.vmware.com/solutions/trustvmware/ceip.html

https://www.vmware.com/solutions/trustvmware/ceip.html

n Vérifiez que DNS est configuré sur NSX Manager.

n Vérifiez que NSX est connecté à un réseau public pour télécharger les données.

Procédure

1 Dans vSphere Web Client, accédez aux paramètres Programme d'amélioration du produit.

n Dans NSX 6.4.6 et versions ultérieures, cliquez sur Mise en réseau et sécurité > À propos de NSX.

n Dans NSX 6.4.5 et versions antérieures, cliquez sur Mise en réseau et sécurité > Accueil NSX > Résumé.

2 Dans le volet Programme d'amélioration du produit, cliquez sur Modifier (Edit).

3 Rejoignez le programme CEIP.

n Dans NSX 6.4.6 et versions ultérieures, en regard de État du programme, cliquez sur Rejoindre.

n Dans NSX 6.4.5 et versions antérieures, cochez la case Participer au programme d'amélioration du produit VMware.

4 (Facultatif) Configurez les paramètres de récurrence.

5 Cliquez sur Enregistrer ou sur OK.

À propos des journaux NSX

Vous pouvez configurer le serveur Syslog et afficher les journaux de support technique de chaque composant NSX. Les journaux du plan de gestion sont disponibles dans NSX Manager et les journaux du plan de données sont disponibles dans vCenter Server. C'est pourquoi nous vous recommandons de spécifier le même serveur Syslog pour le composant NSX et pour vCenter Server, afin d'obtenir une image complète lorsque vous affichez des journaux sur le serveur Syslog.

Pour plus d'informations sur la configuration d'un serveur Syslog pour les hôtes gérés par un vCenter Server, consultez la version appropriée de la documentation de vSphere à l'adresse https://docs.vmware.com.

Note Les serveurs Syslog ou de saut utilisés pour collecter des journaux et accéder à une VM de contrôle du DLR (routeur logique distribué) NSX ne peuvent pas se trouver sur le même commutateur logique qui est directement lié aux interfaces logiques de ce DLR.


VMware, Inc. 559

https://docs.vmware.com

Tableau 23-1. Journaux de NSX

Composant Description

Journaux d'ESXi Ces journaux sont collectés dans le cadre du bundle de support de VM généré depuis vCenter Server.

Pour plus d'informations sur les fichiers journaux d'ESXi, consultez la documentation de vSphere.

Journaux de NSX Edge Utilisez la commande show log [follow | reverse] dans l'interface de ligne de

commande de NSX Edge.

Téléchargez le bundle de journaux de support technique via l'interface utilisateur de NSX Edge.

Journaux de NSX Manager Utilisez la commande de l'interface de ligne de commande show log dans

l'interface de ligne de commande de NSX Manager.

Téléchargez le bundle de journaux de support technique via l'interface utilisateur du dispositif virtuel NSX Manager.

Journaux de routage Consultez le guide Journalisation et événements système dans NSX.

Journaux de pare-feu Consultez le guide Journalisation et événements système dans NSX.

Journaux de Guest Introspection Consultez le guide Journalisation et événements système dans NSX.

NSX Manager

Pour spécifier un serveur Syslog, reportez-vous à la section Configurer un serveur Syslog pour NSX Manager.

Pour télécharger les journaux de support technique, reportez-vous à la section Télécharger les journaux de support technique pour NSX

NSX Edge

Pour spécifier un serveur Syslog, reportez-vous à la section Configurer les serveurs Syslog pour NSX Edge.

Pour télécharger les journaux de support technique, reportez-vous à la section Télécharger les journaux du support technique de NSX Edge

NSX Controller

Pour spécifier un serveur Syslog, reportez-vous à la section Configurer DNS, NTP et Syslog pour le cluster NSX Controller.

Pour télécharger les journaux de support technique, reportez-vous à la section Télécharger les journaux de support technique pour NSX Controller

Pare-feu

Pour plus d'informations, consultez Journaux de pare-feu.


VMware, Inc. 560

Journaux d'audit

Les journaux d'audit des opérations suivies par un ticket comprennent l'ID du ticket. La fonction d'enregistreur automatique de ticket NSX vous permet de suivre vos modifications avec un ID de ticket.

Utilisation de l'enregistreur automatique de ticket NSX

L'enregistreur automatique de ticket NSX vous permet de suivre les modifications que vous apportez à l'infrastructure. Toutes les opérations sont balisées avec l'ID de ticket spécifié, et les journaux d'audit pour ces opérations incluent l'ID de ticket. Les fichiers journaux de ces opérations sont balisés avec le même ID de ticket.

Procédure


2 Cliquez sur l'onglet Gérer (Manage), puis sur l'onglet Enregistreur automatique de ticket NSX (NSX Ticket Logger).

3 Cliquez sur Modifier (Edit) en regard de Paramètres de l'enregistreur automatique de ticket NSX (NSX Ticket Logger Settings).

4 Tapez un ID de ticket et cliquez sur Activer (Turn On).

Le panneau de journalisation des ticket NSX s'affiche du côté droit de la fenêtre vSphere Web Client. Les journaux d'audit des opérations que vous effectuez dans la session d'interface utilisateur actuelle incluent l'ID de ticket dans la colonne Balises d'opération (Operation Tags).

Figure 23-1. Panneau Enregistreur automatique de ticket NSX

Si plusieurs systèmes vCenter Server sont gérés par vSphere Web Client, l'ID de ticket est utilisé pour la journalisation sur tous les systèmes NSX Manager concernés.


VMware, Inc. 561

Étape suivante

La journalisation de ticket est basée sur la session. Si la journalisation de ticket est activée et que vous vous déconnectez ou si la session est perdue, la journalisation de ticket sera désactivée par défaut lorsque vous vous reconnecterez à l'interface utilisateur. Lorsque vous avez terminé les opérations sur un ticket, vous désactivez la journalisation en recommençant les étapes 2 et 3 en cliquant sur Désactiver (Turn Off).

Afficher le journal d'audit

L'onglet Journaux d'audit (Audit Logs) fournit une vue des actions effectuées par tous les utilisateurs de NSX Manager. NSX Manager conserve jusqu'à 100 000 journaux d'audit.

Procédure




Les détails du journal d'audit s'affichent dans l'onglet Journaux d'audit (Audit Logs).

4 Lorsque les détails sont disponibles pour un journal d'audit, le texte dans la colonne Opération (Operation) pour ce journal est cliquable. Pour afficher les détails d'un journal d'audit, cliquez sur le texte dans la colonne Opération (Operation).

5 Dans les Détails des modifications du journal d'audit (Audit Log Change Details), sélectionnez Rangées modifiées (Changed Rows) pour afficher uniquement les propriétés dont les valeurs ont changé pour cette opération du journal d'audit.


Les événements système sont des événements associés au fonctionnement de NSX. Ils se déclenchent pour détailler chaque événement opérationnel. Les événements peuvent concerner l'exploitation de base (type Informational) ou une erreur critique (Critical).

Afficher le rapport d'événements système

À partir de vSphere Web Client, vous pouvez afficher les événements système pour tous les composants gérés par NSX Manager.

Procédure




VMware, Inc. 562

3 Cliquez sur l'onglet Événements système (System Events).

Vous pouvez cliquer sur les flèches dans les en-têtes de colonne pour trier les événements ou utiliser la zone de texte Filtrer (Filter) pour filtrer les événements.

Format d'un événement système

Si vous spécifiez un serveur syslog, NSX Manager envoie l'ensemble des événements système au serveur syslog.

Ces messages ont un format similaire au message affiché ci-dessous :

Jan 8 04:35:00 NSXMGR 2017-01-08 04:35:00.422 GMT+00:00 INFO TaskFrameworkExecutor-18 SystemEventDaoImpl:133 - [SystemEvent] Time:'Tue Nov 08 04:35:00.410 GMT+00:00 2016', Severity:'High', Event Source:'Security Fabric', Code:'250024', Event Message:'The backing EAM agency for this deployment could not be found. It is possible that the VC services may still be initializing. Please try to resolve the alarm to check existence of the agency. In case you have deleted the agency manually, please delete the deployment entry from NSX.', Module:'Security Fabric', Universal Object:'false

L'événement système contient les informations suivantes.

Event ID and Time Severity: Possible values include informational, low, medium, major, critical, high. Event Source: Source where you should look to resolve the reported event.Event Code: Unique identifier for the event.Event Message: Text containing detailed information about the event.Module: Event component. May be the same as event source. Universal Object: Value displayed is True or False.

Alarmes

Les alarmes sont des notifications activées en réponse à un événement, un groupe de conditions ou l'état d'un objet. Les alarmes, ainsi que d'autres alertes, sont affichées sur le tableau de bord de NSX et d'autres écrans de l'interface utilisateur de vSphere Web Client.

Vous pouvez utiliser l'API GET api/2.0/services/systemalarms pour consulter les alarmes sur les

objets NSX.

NSX prend en charge deux méthodes de gestion d'alarme :

n L'alarme correspond à un système et est associée à un résolveur qui tentera de résoudre le problème à l'origine de l'alarme. Cette approche est conçue pour le déploiement d'infrastructure réseau et de sécurité (par exemple, service EAM, bus de messages, plug-in de déploiement) ; elle est également prise en charge par Service Composer. Ces alarmes utilisent le code d'événement en tant que code d'alarme. Pour plus d'informations, reportez-vous au document Journalisation et événements système dans NSX.


VMware, Inc. 563

n Les alarmes de notification Edge sont structurées sous la forme d'une paire d'alarmes de déclenchement et de résolution. Cette méthode est prise en charge par plusieurs fonctions Edge, notamment le réseau virtuel IPSec, l'équilibrage de charge, la haute disponibilité, la vérification de l'intégrité, le système de fichiers Edge et la réservation de ressources. Ces alarmes utilisent un code d'alarme unique qui se distingue du code d'événement. Pour plus d'informations, reportez-vous au document Journalisation et événements système dans NSX.

En général, une alarme est supprimée automatiquement par le système lorsque la condition d'erreur est corrigée. Certaines alarmes ne sont pas effacées automatiquement à l'occasion d'une mise à jour de la configuration. Une fois le problème résolu, vous devez désactiver les alarmes manuellement.

Voici l'exemple de l'API que vous pouvez utiliser pour effacer les alarmes.

Vous pouvez obtenir les alarmes d'une source spécifique, par exemple, un cluster, un hôte, un pool de ressources, un groupe de sécurité ou NSX Edge. Afficher les alarmes d'une source par ID source :

GET https://<<NSX-IP>>/api/2.0/services/alarms/{sourceId}

Résoudre toutes les alarmes d'une source par ID source :

POST https://<<NSX-IP>>/api/2.0/services/alarms/{sourceId}?action=resolve

Vous pouvez afficher les alarmes NSX, notamment les alarmes du bus de messages, du plug-in de déploiement, de Service Composer et les alarmes Edge :

GET https://<<NSX-IP>>/api/2.0/services/systemalarms

Vous pouvez afficher une alarme NSX spécifique par ID d'alarme :

GET https://<<NSX-IP>>/api/2.0/services/systemalarms/<alarmId>

Vous pouvez résoudre une alarme NSX spécifique par ID d'alarme :

POST https://<<NSX-IP>>/api/2.0/services/systemalarms/<alarmId>?action=resolve


Format d'une alarme

Vous pouvez afficher le format d'une alarme via l'API.

Le format d'une alarme contient les informations suivantes.

Event ID and TimeSeverity: Possible values include informational, low, medium, major, critical, high. Event Source: Source where you should look to resolve the reported event.Event Code: Unique identifier for the event. Message: Text containing detailed information about the event.Alarm ID: ID of an alarm.


VMware, Inc. 564

Alarm Code: Event code which uniquely identifies the system alarm. Alarm Source: Source where you should look to resolve the reported event.

Utilisation d'interruptions SNMP

NSX Manager reçoit des événements système qui sont informatifs, avertissement et critiques depuis, par exemple, le dispositif NSX Edge et l'hyperviseur. L'agent SNMP transmet les interruptions SNMP avec les ID d'objet au récepteur SNMP.

Les interruptions SNMP doivent disposer de la version SNMPv2c. Les interruptions doivent être associées à une base d'information de gestion (MIB) afin que le récepteur SNMP puisse les traiter avec des identifiants d'objet (OID).

Par défaut, le mécanisme d'interruption SNMP est désactivé. L'activation de l'interruption SNMP n'active que les notifications de gravité critique et élevée de sorte que le gestionnaire SNMP n'est pas submergé par un volume important de notifications. Une adresse IP ou un nom d'hôte définit la destination de l'interruption. Pour que le nom d'hôte fonctionne pour la destination de l'interruption, le périphérique doit être configuré pour interroger un serveur DNS (Domain Name System).

Lorsque vous activez le service SNMP, une interruption coldStart avec l'ID d'objet 1.3.6.1.6.3.1.1.5.1 est envoyée la première fois. Une interruption warmStart avec l'ID d'objet 1.3.6.1.6.3.1.1.5.2 est envoyée plus tard à chaque arrêt-départ aux récepteurs SNMP configurés.

Si le service SNMP reste activé, une interruption de pulsation vmwHbHeartbeat avec l'ID d'objet 1.3.6.1.4.1.6876.4.190.0.401 est envoyée toutes les cinq minutes. Lorsque vous désactivez le service, une interruption vmwNsxMSnmpDisabled avec l'ID d'objet 1.3.6.1.4.1.6876.90.1.2.1.0.1 est envoyée. Ce processus arrête l'exécution de l'interruption vmwHbHeartbeat et désactive le service.

Lorsque vous ajoutez, modifiez ou supprimez une valeur de récepteur SNMP, une interruption warmStart avec l'ID d'objet 1.3.6.1.6.3.1.1.5.2 et une interruption vmwNsxMSnmpManagerConfigUpdated avec l'ID d'objet 1.3.6.1.4.1.6876.90.1.2.1.0.2 est envoyée aux récepteurs SNMP nouveaux ou mis à jour.

Note L'interrogation SNMP n'est pas prise en charge.

Configurer les paramètres SNMP

Vous pouvez activer les paramètres SNMP et configurer des récepteurs de destination pour qu'ils envoient des interruptions qui sont critiques, élevées ou informatives.


n Familiarisez-vous avec le mécanisme d'interruption SNMP. Reportez-vous à la section Utilisation d'interruptions SNMP.

n Vérifiez qu'un récepteur SNMP est configuré.


VMware, Inc. 565

n Téléchargez et installez le module MIB pour NSX Manager afin que le récepteur SNMP puisse traiter les interruptions avec un ID d'objet. Reportez-vous à la section http://kb.vmware.com/kb/1013445.

Procédure


2 Cliquez sur l’onglet Gérer (Manage). Si plusieurs instances de NSX Manager sont disponibles, sélectionnez une adresse IP d'une instance de NSX Manager dans le menu déroulant NSX Manager.

3 Assurez-vous que l'onglet Événements SNMP (SNMP Events) est sélectionné.

4 Cliquez sur Modifier (Edit) pour configurer les paramètres SNMP.

Option Description

Service Envoie une interruption SNMP.

Cette option est désactivée par défaut.

Notification de groupe Ensemble prédéfini de groupes pour certains événements système qui sont utilisés pour collecter les événements produits. Cette option est activée par défaut.

Par exemple, si un événement système appartient à un groupe, l'interruption pour ces événements groupés est refusée. Toutes les cinq minutes est envoyée une interruption détaillant le nombre d'événements système qui ont été reçus de la part de NSX Manager. Le fait d'envoyer le moins d'interruptions possible permet d'économiser les ressources du récepteur SNMP.

Récepteurs Configurez jusqu'à quatre récepteurs auxquels seront envoyées les interruptions.

Vous devez exécuter les actions suivantes lorsque vous ajoutez un récepteur SNMP.

Adresse du récepteur : adresse IP ou nom de domaine complet de l'hôte récepteur.

Port du récepteur : le port UDP par défaut du récepteur SNMP est le port 162.

Chaîne de communauté : informations à envoyer dans le cadre de l'interruption de notification.

Activé : indique si ce récepteur envoie une interruption.

5 Cliquez sur OK.

Résultats

Le service SNMP est activé et les interruptions sont envoyées aux récepteurs.

Étape suivante

Vérifiez si la configuration SNMP fonctionne. Reportez-vous à la section Vérifier la configuration de l'interruption SNMP.


VMware, Inc. 566



Vérifier la configuration de l'interruption SNMP

Avant de commencer à modifier une interruption de système existante, vous devez vérifier si le nouveau service SNMP activé ou mis à jour fonctionne correctement.


Vérifiez que SNMP est configuré. Reportez-vous à la section Configurer les paramètres SNMP.

Procédure

1 Vérifiez la configuration SNMP et la connexion du récepteur.

a Cliquez sur les onglets Gérer (Manage) > Événements SNMP (SNMP Events).

b Cliquez sur Modifier (Edit) pour configurer les paramètres SNMP.

Ne modifiez pas les paramètres dans la boîte de dialogue.

c Cliquez sur OK.

Une interruption warmStart avec l'ID d'objet 1.3.6.1.6.3.1.1.5.2 est envoyée à tous les récepteurs SNMP.

2 Déboguez la configuration SNMP ou les problèmes du récepteur.

a Si le récepteur SNMP ne reçoit pas les interruptions, vérifiez qu'il est exécuté sur un port configuré.

b Vérifiez la précision des détails du récepteur sous la section des paramètres SNMP.

c Si le récepteur SNMP cesse de recevoir une interruption vmwHbHeartbeat avec l'ID d'objet 1.3.6.1.4.1.6876.4.190.0.401 toutes les cinq minutes, vérifiez si le dispositif NSX Manager ou l'agent SNMP NSX Manager fonctionne.

d Si l'interruption Heartbeat s'arrête, vérifiez si le service SNMP est désactivé ou testez si la connectivité réseau entre NSX Manager et le récepteur SNMP fonctionne.

Modifier les interruptions de système

Vous pouvez modifier une interruption de système pour augmenter ou réduire la gravité et l'activation d'une interruption afin que les interruptions soient envoyées à des récepteurs ou refusées.

Lorsque la valeur de la colonne Module, ID d'objet SNMP ou Interruption SNMP activée est --,

cela signifie que les événements n'ont pas reçu un ID d'objet d'interruption. Par conséquent, une interruption pour ces événements ne sera pas envoyée.

Une interruption de système contient plusieurs colonnes présentant différents aspects d'un événement système.

Option Description

Code d'événement Code d'événement statique associé à un événement.

Description Résumé décrivant l'événement.


VMware, Inc. 567

Option Description

Module Sous-composant qui déclenche un événement.

Gravité Niveau d'un événement pouvant être informatif, faible, moyen, majeur, critique ou élevé.

Par défaut, lorsque le service SNMP est activé, les interruptions sont envoyées uniquement pour les événements avec les gravités critique et élevée afin de mettre en avant les interruptions qui nécessitent une attention immédiate.

ID d'objet SNMP Représente l'ID d'objet individuel qui est envoyé lorsqu'un événement système se produit.

La notification de groupe est activée par défaut. Lorsque les notifications de groupe sont activées, les événements ou interruptions sous ce groupe indiquent l'ID d'objet du groupe auquel l'événement ou l'interruption appartient.

Par exemple, l'ID d'objet de notification de groupe classé sous le groupe de configuration possède l'ID d'objet 1.3.6.1.4.1.6876.90.1.2.0.1.0.1.

Interruption SNMP activée

Indique si l'envoi de l'interruption pour cet événement est activée ou désactivée.

Vous pouvez basculer l'icône pour activer un événement ou une interruption individuellement. Lorsque la notification de groupe est activée, vous ne pouvez pas basculer l'activation d'interruption.

Filtrer Recherchez des mots pour filtrer les interruptions de système.


Vérifiez que les paramètres SNMP sont disponibles. Reportez-vous à la section Configurer les paramètres SNMP.

Procédure


2 Cliquez sur l'onglet Gérer (Manage), puis sélectionnez une adresse IP de NSX Manager.

3 Dans la section Interruptions de système, sélectionnez un événement système.


La modification d'une activation d'interruption n'est pas autorisée lorsque la notification de groupe est activée. Vous pouvez modifier l'activation d'interruptions qui n'appartiennent pas à un groupe.

5 Modifiez la gravité de l'événement système dans le menu déroulant.

6 Si vous passez la gravité de Informatif à Critique, cochez la case Activer en tant qu'interruption SNMP (Enable as SNMP Trap).

7 Cliquez sur OK.

8 (Facultatif) Cliquez sur l'icône Activer (Enable) ( ) ou Désactiver (Disable) ( ) dans l'en-tête pour activer ou désactiver l'envoi d'une interruption de système.

9 (Facultatif) Cliquez sur l'icône Copier (Copy) ( ) pour copier une ou plusieurs lignes d'événement vers votre Presse-papiers.


VMware, Inc. 568

Paramètres du système de gestion

Vous pouvez modifier le vCenter Server, le serveur DNS et le serveur NTP ainsi que le serveur de recherche que vous avez spécifié lors de la première ouverture de session. NSX Manager nécessite une communication avec votre système vCenter Server et divers services tels que DNS et NTP pour fournir des détails sur votre inventaire de VMware Infrastructure.

Se connecter au dispositif virtuel NSX Manager

Après avoir installé et configuré la machine virtuelle NSX Manager, connectez-vous à l'interface utilisateur de NSX Manager pour vérifier les paramètres spécifiés pendant l'installation.

Procédure

1 Ouvrez une fenêtre de navigateur Web et tapez l'adresse IP attribuée à NSX Manager. Par exemple, https://192.168.110.42.

L'interface utilisateur de NSX Manager s'ouvre dans une fenêtre de navigateur Web utilisant SSL.

2 Acceptez le certificat de sécurité.

Note Vous pouvez utiliser un certificat SSL pour l'authentification.

L'écran de connexion de NSX Manager s'affiche.

3 Connectez-vous au dispositif virtuel NSX Manager en utilisant le nom d'utilisateur admin et le

mot de passe défini lors de l'installation.

4 Cliquez sur Connexion (Log In).

Événements du dispositif virtuel NSX Manager

Les événements suivants sont spécifiques à un dispositif virtuel NSX Manager.

Tableau 23-2. Événements du dispositif virtuel NSX Manager

Mise hors tension Mise sous tensionDésactivation d'interface Activation d'interface

CLI locale Lancez la commande show log follow.

Lancez la commande show log follow.



Interface graphique utilisateur

ND ND ND ND


VMware, Inc. 569

Tableau 23-3. Événements du dispositif virtuel NSX Manager

CPU Mémoire Stockage

CLI locale Lancez la commande show process monitor.

Lancez la commande show system memory.

Lancez la commande show filesystem.

Interface graphique utilisateur

ND ND ND

Modifier la date et l'heure de NSX Manager

Vous pouvez modifier le serveur NTP indiqué lors de la première ouverture de session.

Procédure


2 Sous Gestion des dispositifs (Appliance Management), cliquez sur Gérer les paramètres des dispositifs (Manage Appliance Settings).

3 Cliquez sur Modifier (Edit) en regard de Paramètres de temps (Time Settings).


5 Cliquez sur OK.

6 Redémarrez NSX Manager.

Modifier l'adresse IP du dispositif NSX Manager

À partir de NSX 6.4.0, vous pouvez modifier l'adresse IP d'un dispositif NSX Manager. Vous pouvez modifier l'adresse IP de tous les types d'instance de NSX Manager : autonome, principale ou secondaire.

Important La modification du nom d'hôte de NSX Manager n'est pas prise en charge.

Si vos configurations de solution de partenaires font référence à l'adresse IP de NSX Manager et que vous modifiez cette adresse IP, vous devez mettre à jour votre solution de partenaires. Reportez-vous à la section Mettre à jour des solutions de partenaires après la modification de l'adresse IP de NSX Manager.

Si vous modifiez la configuration réseau d'une instance secondaire de NSX Manager dans un environnement cross-vCenter NSX, vous devez mettre à jour la configuration de cette instance sur l'instance principale de NSX Manager. Reportez-vous à la section Mettre à jour l'instance secondaire de NSX Manager sur l'instance principale de NSX Manager.


n Vérifiez que la nouvelle adresse IP est ajoutée à DNS et qu'elle peut être résolue à partir de tous les systèmes vCenter Server, Platform Services Controller et ESXi connexes.


VMware, Inc. 570

Procédure



2 Sur la page d'accueil, cliquez sur Gérer les paramètres des dispositifs (Manage Appliance Settings) > Réseau (Network).

3 Cliquez sur Modifier (Edit) dans le volet des paramètres de réseau Général et mettez à jour les sections de configuration IPv4 ou IPv6.

4 Redémarrez le dispositif NSX Manager. Cliquez sur Actions ( ), puis sur Redémarrer le dispositif (Reboot Appliance).

5 Une fois que le dispositif NSX Manager a redémarré, connectez-vous à l'interface Web et accédez à Page d'accueil (Home) > Afficher le résumé (View Summary). Vérifiez que NSX Management Service présente l'état EN COURS D'EXÉCUTION. Dans un environnement cross-vCenter NSX, vérifiez également que NSX Universal Synchronization Service présente l'état EN COURS D'EXÉCUTION.

Si vous rencontrez des problèmes de connexion à l'interface Web de NSX Manager lorsque la VM du dispositif NSX Manager est en cours d'exécution, votre ordinateur ou votre navigateur peut avoir mis en cache l'ancienne adresse IP. Fermez toutes les fenêtres de navigateur, relancez votre navigateur et effacez le cache. Ou bien accédez au dispositif à l'aide de sa nouvelle adresse IP au lieu de son nom d'hôte.

6 Déconnectez-vous de vSphere Web Client, puis reconnectez-vous.

7 Accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade).

Plusieurs minutes peuvent être nécessaires à NSX Manager pour se connecter au système vCenter Server après la modification de la configuration du réseau et le redémarrage. Si vous voyez le message d'erreur « Aucune instance de NSX Manager trouvée », déconnectez-vous de vSphere Web Client, patientez quelques minutes et reconnectez-vous.

8 Cliquez sur Préparation de l'hôte (Host Preparation). Chaque cluster d'hôtes indique l'état Non prêt. Cliquez sur Non prêt (Not Ready), puis sur Tout résoudre (Resolve all).

La modification de l'adresse IP entraîne la modification de l'URL utilisée pour accéder aux VIB. Lorsque vous cliquez sur Tout résoudre (Resolve All), l'URL est mise à jour.

Étape suivante

Si vos configurations de solution de partenaires font référence à l'adresse IP de NSX Manager, mettez à jour votre solution de partenaires. Reportez-vous à la section Mettre à jour des solutions de partenaires après la modification de l'adresse IP de NSX Manager.


VMware, Inc. 571

Si vous avez modifié la configuration réseau d'une instance secondaire de NSX Manager, mettez à jour la configuration de cette instance sur l'instance principale de NSX Manager. Reportez-vous à la section Mettre à jour l'instance secondaire de NSX Manager sur l'instance principale de NSX Manager.

Mettre à jour des solutions de partenaires après la modification de l'adresse IP de NSX Manager

Si vos configurations de solution de partenaires font référence à l'adresse IP de NSX Manager et que vous modifiez cette adresse IP, vous devez mettre à jour votre solution de partenaires.


n Vérifiez que l'adresse IP de NSX Manager a été modifiée. Reportez-vous à la section Modifier l'adresse IP du dispositif NSX Manager.

n Consultez la documentation des partenaires pour obtenir des instructions sur la mise à jour de l'adresse IP de NSX Manager dans la configuration de la solution de partenaires.

Procédure

1 Si la configuration de la solution de partenaires fait référence à l'adresse IP de NSX Manager, mettez à jour la solution de partenaires avec la nouvelle adresse IP de NSX Manager.

Pour plus d'informations, consultez la documentation des partenaires.


3 Accédez à Installation et mise à niveau (Installation and Upgrade) > Déploiements de services (Service Deployments).

4 Si un de vos services de partenaires utilise Guest Introspection, sur les colonnes d'état de l'installation de Guest Introspection, cliquez sur Non prêt (Not Ready), puis sur Tout résoudre (Resolve all).

5 Dans les colonnes d'état de l'installation de la solution de partenaires, cliquez sur Non prêt (Not Ready), puis sur Tout résoudre (Resolve all).

Mettre à jour l'instance secondaire de NSX Manager sur l'instance principale de NSX Manager

Si vous modifiez l'adresse IP d'une instance secondaire de NSX Manager, l'instance principale de NSX Manager affiche des erreurs de synchronisation jusqu'à ce que vous mettiez à jour les informations d'adresse IP de l'instance secondaire de NSX Manager sur l'instance principale de NSX Manager.


n Vérifiez que vous avez modifié l'adresse IP sur une instance secondaire de NSX Manager dans un environnement cross-vCenter NSX. Reportez-vous à la section Modifier l'adresse IP du dispositif NSX Manager.


VMware, Inc. 572

Procédure


2 Cliquez sur Mise en réseau et sécurité (Networking & Security), puis sur Installation et mise à niveau (Installation and Upgrade).

3 Cliquez sur l'onglet Gestion (Management). Dans le volet Instances de NSX Manager, cliquez sur Actions > Mettre à jour un NSX Manager secondaire (Update Secondary NSX Manager). Entrez la nouvelle adresse IP attribuée à l'instance secondaire de NSX Manager.

4 Vérifiez que l'empreinte numérique affichée est l'empreinte correcte de l'instance secondaire de NSX Manager. Cliquez sur OK.

Configurer un serveur Syslog pour NSX Manager

Si vous spécifiez un serveur Syslog, NSX Manager envoie l'ensemble de ses journaux d'audit et événements système au serveur Syslog. NSX Manager prend en charge cinq serveurs Syslog.

Les données syslog sont particulièrement utiles pour la résolution des problèmes et la révision des données journalisées pendant l'installation et la configuration.

Procédure



2 Dans la page d'accueil, cliquez sur Gérer les paramètres des dispositifs (Manage Appliance Settings) > Général (General).

3 Cliquez sur Modifier (Edit) en regard de Serveur syslog (Syslog Server).

4 Spécifiez l'adresse IP ou le nom d'hôte, le port et le protocole du serveur Syslog.

Par exemple :

5 Cliquez sur OK.


VMware, Inc. 573

Résultats

La journalisation à distance de NSX Manager est activée et les fichiers journaux sont stockés dans votre serveur Syslog. Si vous avez configuré plusieurs serveurs Syslog, les journaux sont stockés dans tous les serveurs Syslog configurés.

Étape suivante

Pour plus d'informations sur l'API, consultez Guide de NSX API.

Modifier le mode FIPS et les paramètres TLS sur NSX Manager

Lorsque vous activez le mode FIPS, toute communication sécurisée vers et en provenance du dispositif NSX Manager utilise des protocoles et des algorithmes cryptographiques autorisés par FIPS (United States Federal Information Processing Standards).

n Dans un environnement Cross-vCenter NSX, vous devez activer le mode FIPS sur chaque instance de NSX Manager séparément.

n Si l'une des instances de NSX Managern'est pas configurée pour FIPS, vous devez toujours vous assurer qu'elle utilise une méthode de communication sécurisée qui est conforme aux normes FIPS.

n Les instances principale et secondaires de NSX Manager doivent disposer de la même version TLS pour que la synchronisation universelle fonctionne correctement.

Important La modification du mode FIPS redémarre le dispositif virtuel NSX Manager.


n Vérifiez que des solutions de partenaire sont certifiées pour le mode FIPS. Reportez-vous au Guide de compatibilité de VMware à l'adresse http://www.vmware.com/resources/compatibility/search.php?deviceCategory=security.

n Si vous avez procédé à une mise à niveau d'une version antérieure de NSX, n'activez pas le mode FIPS avant la fin de la mise à niveau vers NSX 6.3.0. Consultez la rubrique relative au mode FIPS et à la mise à niveau de NSX dans le guide Guide de mise à niveau de NSX.

n La version de NSX Manager doit être NSX 6.3.0 ou une version ultérieure.

n La version du cluster NSX Controller doit être NSX 6.3.0 ou une version ultérieure.

n Tous les clusters d'hôtes qui utilisent des charges de travail NSX doivent être préparés pour NSX 6.3.0 ou une version ultérieure.

n Tous les dispositifs NSX Edge doivent avoir la version 6.3.0 ou ultérieure, et le mode FIPS doit être activé sur les dispositifs NSX Edge requis. Reportez-vous à la section Modifier le mode FIPS sur NSX Edge.

Procédure



VMware, Inc. 574




3 Dans le panneau Paramètres, cliquez sur Général (General).

4 Cliquez sur Modifier (Edit) en regard de Mode FIPS et paramètres TLS (FIPS Mode and TLS settings).

5 Pour activer le mode FIPS, cochez la case Activer le mode FIPS (Enable FIPS Mode).

6 Pour le serveur et le client, cochez les cases correspondant à la version de protocole TLS requise.

Note n Lorsque le mode FIPS est activé, NSX Manager désactive les protocoles TLS qui ne sont

pas conformes aux normes FIPS.

n Dans NSX 6.4.0 ou version ultérieure, TLS 1.0 est désactivé par défaut.

Si vous effectuez une mise à niveau vers NSX 6.4.0 ou version ultérieure, les paramètres de TLS avant la mise à niveau restent inchangés.

7 Cliquez sur OK.

Le dispositif NSX Manager redémarre et FIPS est activé.

Modifier les serveurs DNS

Vous pouvez changer les serveurs DNS spécifiés au cours de l'installation de NSX Manager.

Procédure



3 Dans le panneau Paramètres, cliquez sur Réseau (Network).

4 Cliquez sur Modifier (Edit) en regard de Serveurs DNS (DNS Servers).


VMware, Inc. 575


6 Cliquez sur OK.

Modification des détails de Lookup Service

Vous pouvez modifier les détails de Lookup Service spécifiés lors de la première connexion.

Procédure



3 Dans le panneau Paramètres, cliquez sur Service de gestion NSX (NSX Management Service).

4 Cliquez sur Modifier (Edit) en regard de Lookup Service.


6 Cliquez sur OK.

Modifier vCenter Server

Vous pouvez modifier le système vCenter Server dans lequel vous avez enregistré NSX Manager pendant l'installation. Vous ne devez effectuer cette opération que si vous modifiez l'adresse IP de votre vCenter Server actuel.

Procédure

1 Si vous êtes connecté à vSphere Web Client, déconnectez-vous.



4 Dans le panneau Paramètres, cliquez sur Service de gestion NSX (NSX Management Service).

5 Cliquez sur Modifier (Edit) en regard de vCenter Server.


7 Cliquez sur OK.

Télécharger les journaux de support technique pour NSX

Vous pouvez télécharger sur votre bureau les journaux système de NSX Manager et les journaux de Web Manager. Vous pouvez également collecter les données de bundle de support pour NSX Manager à l'aide de l'outil de collecte Bundle de support (Support Bundle). Pour plus de détails, consultez le Guide d'administration de NSX.


VMware, Inc. 576

Procédure


2 Sous Gestion des dispositifs, cliquez sur Gérer les paramètres des dispositifs (Manage Appliance Settings).

3 Cliquez sur , puis sur Télécharger les journaux de support technique (Download Tech Support Log).

4 Cliquez sur Télécharger (Download).

5 Lorsque le journal est prêt, cliquez sur Enregistrer (Save) pour télécharger le journal sur votre bureau.

Le journal est compressé et il porte l'extension de fichier .gz.

Étape suivante

Vous pouvez ouvrir le journal à l'aide d'un utilitaire de décompression en recherchant Tous les fichiers (All Files) dans le répertoire où vous avez enregistré le fichier.

Certification SSL de NSX Manager

Un certificat signé est requis pour authentifier l'identité du service Web de NSX Manager et chiffrer les informations envoyées au serveur Web de NSX Manager. Le processus implique la génération d'une demande de signature de certificat (CSR), la signature du certificat par une autorité de certification et l'importation du certificat SSL signé dans NSX Manager. Une bonne pratique de sécurité consiste à utiliser l'option de génération de certificat qui génère une clé privée et une clé publique et enregistre la clé privée dans le dispositif NSX Manager.

Pour obtenir le certificat de NSX Manager, vous pouvez utiliser le générateur de CSR intégré de NSX Manager ou un autre outil, tel qu'OpenSSL.

Une CSR générée à l'aide du générateur de CSR intégré de NSX Manager ne peut pas contenir d'attributs étendus, tels qu'un nom de sujet alternatif (SAN). Si vous souhaitez inclure des attributs étendus, vous devez utiliser un autre outil de génération de CSR. Si vous utilisez un autre outil (OpenSSL, par exemple), vous devez 1) générer la CSR, 2) la faire signer et 3) passer à la section Convertir le fichier de certificat de NSX Manager au format PKCS 12.

Utiliser le générateur de CSR intégré

Vous pouvez utiliser le générateur de CSR intégré pour obtenir un certificat SSL pour NSX Manager.

Cette méthode est limitée, car la CSR ne peut pas contenir d'attributs étendus tels qu'un nom de sujet alternatif (SAN, subject alternate name). Si vous souhaitez inclure des attributs étendus, vous devez utiliser un autre outil de génération de CSR. Dans ce cas, ignorez cette procédure.

Procédure



VMware, Inc. 577

2 Cliquez sur Gérer les paramètres des dispositifs (Manage Appliance Settings).

3 Dans le panneau Paramètres, cliquez sur Certificat SSL (SSL Certificates).

4 Cliquez sur Générer une CSR (Generate CSR).

5 Renseignez les champs suivants du formulaire :

Option Action

Taille de la clé (Key Size) Sélectionnez la longueur de clé utilisée dans l'algorithme sélectionné.

Nom commun (Common Name) Tapez l'adresse IP ou le nom de domaine complet (FQDN) du dispositif NSX Manager. VMware vous recommande d'entrer le FQDN.

Unité d'organisation (Organization Unit)

Entrez le service de la société qui commande le certificat.

Nom de l'organisation (Organization Name)

Entrez le nom juridique complet de votre société.

Nom de la ville (City Name) Entrez le nom complet de la ville où se trouve votre société.

Nom de l'état (State Name) Entrez le nom complet de l'État où se trouve votre société.

Code pays (Country Code) Entrez le code à deux chiffres représentant votre pays. Par exemple, les États-Unis sont US et la France FR.

6 Cliquez sur OK.

7 Envoyez la CSR à votre autorité de certification pour signature.

a Cliquez sur Télécharger la CSR (Download CSR) pour télécharger la demande générée.

Cette méthode permet de conserver la clé privée dans l'instance de NSX Manager.

b Soumettez la demande à votre autorité de certification.

c Obtenez le certificat signé, l'autorité de certification racine et les éventuels certificats CA intermédiaires au format PEM.

d Pour convertir des certificats CER/DER au format PEM, utilisez la commande OpenSSL suivante :

openssl x509 -inform der -in Cert.cer -out 4-nsx_signed.pem

e Concaténez tous les certificats (serveur, intermédiaires et racines) dans un fichier texte.


VMware, Inc. 578

f Dans l'interface utilisateur de NSX Manager, cliquez sur Importer (Import) et accédez au fichier texte contenant tous les certificats.

g Une fois l'importation effectuée, le certificat du serveur et tous les certificats CA s'affichent sur la page des certificats SSL.

Étape suivante

Importez le certificat SSL signé dans NSX Manager.

Convertir le fichier de certificat de NSX Manager au format PKCS 12Si vous avez utilisé un autre outil, tel qu'OpenSSL, pour créer le certificat de NSX Manager, assurez-vous que le certificat et la clé privée sont bien au format PKCS 12. Si le certificat NSX Manager et la clé privée ne sont pas au format PKCS 12, vous devez les convertir au format PKCS 12, puis importer le fichier de certificat PKCS 12 dans NSX Manager.


n Vérifiez qu'OpenSSL est installé sur le système. Vous pouvez télécharger OpenSSL sur le site http://www.openssl.org.

n Générer une paire de clés publique et privée. Par exemple, exécutez la commande OpenSSL suivante :

openssl req -x509 -days [number of days] -newkey rsa:2048 -keyout my-key.pem -out my-cert.pem

Procédure

u Une fois que vous avez reçu le certificat signé de la part d'un signataire autorisé, utilisez une commande OpenSSL pour générer un fichier keystore au format PKCS 12 (.pfx ou .p12) à partir du fichier de certificat et de la clé privée.

Par exemple :

openssl pkcs12 -export -in my-cert.pem -inkey my-key.pem -out nsx-manager.p12

Où :

n my-cert.pem est le certificat signé.

n my-key.pem est la clé privée.

n nsx-manager.p12 est le nom du fichier de sortie généré après la conversion au format

PKCS 12.

Étape suivante

Importez le fichier de certificat PKCS 12 dans NSX Manager.


VMware, Inc. 579

http://www.openssl.org

Importer un certificat SSL

Vous pouvez importer un certificat SSL préexistant ou signé par une autorité de certification pour l'utiliser dans l'instance de NSX Manager.


Lorsque vous installez un certificat sur NSX Manager, seul le format de fichier PKCS#12 (keystore) est pris en charge. Le certificat doit contenir une clé privée unique, ainsi que son certificat ou sa chaîne de certificat signés correspondants.

Procédure


2 Cliquez sur Gérer les paramètres des dispositifs (Manage Appliance Settings).

3 Dans le panneau Paramètres, cliquez sur Certificat SSL (SSL Certificates).

4 Cliquez sur Télécharger un fichier keystore PKCS#12 (Upload PKCS#12 Keystore).

5 Cliquez sur Choisir un fichier (Choose File) pour sélectionner le fichier.


7 Redémarrez le dispositif NSX Manager pour que le certificat prenne effet.

Résultats

Le certificat est stocké dans NSX Manager.

Sauvegarde et restauration de NSX

Une sauvegarde appropriée de l'ensemble de tous les composants NSX Data Center for vSphere est indispensable pour pouvoir restaurer votre système en cas d'échec.

La sauvegarde NSX Manager contient toute la configuration de NSX Data Center for vSphere, notamment les contrôleurs, les entités de commutation et de routage logiques, la sécurité, les règles de pare-feu et tout ce que vous configurez dans l'interface utilisateur ou l'API de NSX Manager. La base de données vCenter et les éléments liés, comme les commutateurs virtuels, doivent être sauvegardés séparément.


VMware, Inc. 580

Nous vous recommandons d'effectuer au minimum des sauvegardes régulières de NSX Manager et de vCenter. La planification et la fréquence de vos sauvegardes peuvent varier en fonction des besoins de votre entreprise et de vos procédures opérationnelles. Nous vous recommandons d'effectuer régulièrement des sauvegardes de NSX lors des périodes pendant lesquelles vous modifiez fréquemment votre configuration.

Vous pouvez effectuer des sauvegardes de NSX Manager à la demande ou sur une base horaire, quotidienne ou hebdomadaire. Le fichier de total de contrôle de sauvegarde est produit avec l'algorithme SHA256.

Nous vous recommandons d'effectuer des sauvegardes dans les cas suivants :

n Avant une mise à niveau de NSX Data Center for vSphere ou de vCenter.

n Après une mise à niveau de NSX Data Center for vSphere ou de vCenter.

n Après le déploiement et la configuration initiale de composants NSX Data Center for vSphere au jour 0, par exemple après la création du cluster NSX Controller, de commutateurs logiques, de routeurs logiques, de passerelles Edge Services Gateway, et de règles de sécurité et de pare-feu.

n Après des changements de topologie ou d'infrastructure.

n Après un changement majeur au jour 2.

Pour pouvoir restaurer l'intégralité du système à une date spécifiée, nous vous recommandons de synchroniser les sauvegardes des composants NSX Data Center for vSphere (par exemple, NSX Manager) avec la sauvegarde planifiée d'autres composants d'interaction, tels que vCenter, les systèmes de gestion du Cloud, les outils opérationnels, etc.

Sauvegarder et restaurer NSX Manager

Vous pouvez configurer les sauvegardes et les restaurations de NSX Manager à partir de l'interface Web du dispositif virtuel de NSX Manager ou via l'API de NSX Manager. Vous pouvez planifier des sauvegardes sur une base horaire, quotidienne ou hebdomadaire.

Le fichier de sauvegarde est enregistré à un emplacement FTP ou SFTP distant auquel NSX Manager a accès. Les données de NSX Manager comprennent des configurations, des événements et des tables de journaux d'audit. Les tables de configuration sont incluses dans chaque sauvegarde.

Vous ne pouvez effectuer des restaurations que sur une version de NSX Manager identique à celle de la sauvegarde. Il est donc important de créer un fichier de sauvegarde avant et après une mise à niveau de NSX : une sauvegarde pour l'ancienne version et une autre pour la nouvelle version.

Sauvegarder les données de NSX Manager

Vous pouvez sauvegarder les données de NSX Manager en effectuant une sauvegarde à la demande ou planifiée.


VMware, Inc. 581

Procédure


2 Cliquez sur Sauvegarde et configuration (Backup & Restore).

3 Pour spécifier l'emplacement de sauvegarde, cliquez sur Modifier (Change) en regard de Paramètres de serveur FTP.

a Entrez l'adresse IP ou le nom d'hôte du système de sauvegarde.

b Dans le menu déroulant Protocole de transfert (Transfer Protocol), sélectionnez SFTP ou FTP, selon ce que la destination prend en charge.

c Modifiez le port par défaut, si nécessaire.

d Entrez le nom d'utilisateur et le mot de passe nécessaire pour se connecter au système de sauvegarde.

e Dans la zone de texte Répertoire de sauvegarde (Backup Directory), entrez le chemin absolu de stockage des sauvegardes.

Note Si vous n'indiquez pas de répertoire de sauvegarde, la sauvegarde est stockée dans le répertoire par défaut (répertoire de base) du serveur FTP.

Pour connaître le chemin absolu, connectez-vous au serveur FTP, accédez au répertoire désiré, puis exécutez la commande de répertoire de travail actuel (pwd). Par exemple :

PS C:\Users\Administrator> ftp 192.168.110.60Connected to 192.168.110.60.220 server-nfs FTP server ready.User (192.168.110.60:(none)): admin331 Password required for admin.Password:230 User admin logged in.ftp> ls200 PORT command successful.150 Opening BINARY mode data connection for 'file list'.datastore-01226 Transfer complete.ftp: 22 bytes received in 0.00Seconds 22000.00Kbytes/sec.ftp> cd datastore-01250 CWD command successful.ftp> pwd257 "/datastore-01" is current directory.

f Entrez une chaîne de texte dans Préfixe du nom de fichier (Filename Prefix).

Ce texte est préfixé à chaque nom de fichier de sauvegarde pour vous aider à reconnaître facilement le fichier sur le système de sauvegarde. Par exemple, si vous entrez ppdb, la

sauvegarde résultante sera nommée ppdbHH_MM_SS_YYYY_Mon_Day.

Note Le répertoire de sauvegarde doit contenir 100 fichiers au maximum. Si le nombre de fichiers dans le répertoire dépasse cette limite, un message d'avertissement s'affiche.


VMware, Inc. 582

g Entrez une phrase secrète pour sécuriser la sauvegarde.

Cette dernière est nécessaire pour restaurer la sauvegarde.

h Cliquez sur OK.

Par exemple :

Option Exemple

Adresse IP/nom d'hôte 192.168.110.60

Protocole de transfert FTP

Port 21

Nom d'utilisateur admin

Mot de passe *****

Répertoire de sauvegarde /datastore-01

Préfixe du nom de fichier nsxmgr-backup

Phrase secrète *****

4 Pour effectuer une sauvegarde à la demande, cliquez sur Sauvegarde (Backup).

Un nouveau fichier est ajouté sous Historique de sauvegarde (Backup History).

5 (Requis) Pour planifier des sauvegardes, cliquez sur Modifier (Change) en regard de Planification.

a Dans le menu déroulant Fréquence de sauvegarde (Backup Frequency), sélectionnez Toutes les heures (Hourly), Quotidien (Daily) ou Hebdomadaire (Weekly). Les menus déroulants Jour de semaine, Heure de la journée et Minute sont désactivés en fonction de la fréquence sélectionnée. Par exemple, si vous sélectionnez Quotidien, le menu déroulant Jour de la semaine est désactivé, car il ne s'applique pas à une fréquence quotidienne.

b Pour une sauvegarde hebdomadaire, sélectionnez le jour de la semaine où les données doivent être sauvegardées.

c Pour une sauvegarde hebdomadaire ou quotidienne, sélectionnez l'heure à laquelle la sauvegarde doit commencer.

d Sélectionnez la minute à laquelle commencer, puis cliquez sur Planifier (Schedule).

Option Exemple

Fréquence de sauvegarde Hebdomadaire

Jour de semaine Vendredi

Heure de la journée 15

Minute 45


VMware, Inc. 583

6 Pour exclure de la sauvegarde les journaux et les données de flux, cliquez sur Modifier (Change) en regard de l'option Exclure.

a Sélectionnez les éléments que vous souhaitez exclure de la sauvegarde.

b Cliquez sur OK.

7 Enregistrez l'adresse IP et le nom d'hôte de votre serveur FTP, vos informations d'identification, les détails du répertoire et votre phrase secrète. Ces informations sont nécessaires pour restaurer la sauvegarde.

Restaurer une sauvegarde de NSX Manager

La restauration de NSX Manager entraîne le chargement d'un fichier de sauvegarde sur un dispositif NSX Manager. Ce fichier de sauvegarde doit être enregistré à un emplacement FTP ou SFTP distant auquel NSX Manager a accès. Les données de NSX Manager comprennent des configurations, des événements et des tables de journaux d'audit.

Important Sauvegardez vos données en cours avant de restaurer un fichier de sauvegarde.


Avant de restaurer des données NSX Manager, nous vous recommandons de réinstaller le dispositif NSX Manager. La restauration sur un dispositif NSX Manager existant peut également fonctionner, mais elle n'est pas prise en charge. Il est considéré que le dispositif NSX Manager est défaillant et qu'un nouveau dispositif doit donc être déployé.

Il est recommandé de noter les paramètres actuels de l'ancien dispositif NSX Manager afin de les utiliser par la suite pour spécifier les informations sur l'adresse IP et sur l'emplacement de sauvegarde du nouveau dispositif NSX Manager déployé.

Procédure

1 Notez tous les paramètres du dispositif NSX Manager existant. Notez également les paramètres du serveur FTP.

2 Déployez un nouveau dispositif NSX Manager.

La version doit être identique à celle du dispositif NSX Manager sauvegardé.

3 Connectez-vous au nouveau dispositif NSX Manager.

4 Sous Gestion des dispositifs, cliquez sur Sauvegardes et restaurations (Backups & Restore).

5 Dans les paramètres du serveur FTP, cliquez sur Modifier (Change) et ajoutez les paramètres du serveur FTP.

Les champs Adresse IP de l'hôte (Host IP Address), Nom d'utilisateur (User Name), Mot de passe (Password), Répertoire de sauvegarde (Backup Directory), Préfixe du nom de fichier (Filename Prefix) et Phrase secrète (Pass Phrase) de l'écran Emplacement Sauvegarde doivent identifier l'emplacement de la sauvegarde à restaurer.


VMware, Inc. 584

La section Historique de sauvegarde (Backup History) affiche le dossier de sauvegarde.

Note Si ce dernier n'apparaît pas dans la section Historique de sauvegarde (Backup History), vérifiez les paramètres du serveur FTP. Vérifiez si vous pouvez vous connecter au serveur FTP et afficher le dossier de sauvegarde.

6 Dans la section Historique de sauvegarde (Backup History), sélectionnez le dossier de sauvegarde nécessaire pour la restauration, puis cliquez sur Restaurer (Restore).

La restauration des données de NSX Manager commence.

Résultats

La configuration de NSX est restaurée vers NSX Manager.

Attention Après la restauration d'une sauvegarde de NSX Manager, vous devrez peut-être prendre des mesures supplémentaires pour garantir le bon fonctionnement des dispositifs NSX Edge et des commutateurs logiques. Reportez-vous aux sections Restaurer des dispositifs NSX Edge et Résoudre les erreurs de désynchronisation sur des commutateurs logiques.

Restaurer des dispositifs NSX Edge

Lors d'une sauvegarde de données de NSX Manager, toutes les configurations de NSX Edge (routeurs logiques et passerelles Edge Services Gateway) sont sauvegardées.

Les sauvegardes individuelles de NSX Edge ne sont pas prises en charge.


VMware, Inc. 585

Si vous possédez une configuration de NSX Manager intacte, vous pouvez recréer une machine virtuelle de dispositif Edge inaccessible ou défaillante en redéployant le dispositif NSX Edge. Pour redéployer un dispositif NSX Edge, sélectionnez le dispositif NSX Edge, puis cliquez sur Actions > Redéployer (Redeploy). Reportez-vous à la section « Redéployer le dispositif NSX Edge » dans le Guide d'administration de NSX.


VMware, Inc. 586

Attention Après la restauration d'une sauvegarde de NSX Manager, vous devrez peut-être prendre des mesures supplémentaires pour garantir le bon fonctionnement des dispositifs NSX Edge.

n Les dispositifs Edge créés après la dernière sauvegarde ne sont pas supprimés lors de la restauration. Vous devez supprimer la VM manuellement.

n Les dispositifs Edge supprimés après la dernière sauvegarde ne sont pas restaurés sauf s'ils sont redéployés.

n Si les emplacements configurés et actuels d'un dispositif NSX Edge enregistré dans la sauvegarde n'existent plus lorsque la sauvegarde est restaurée, les opérations telles que le redéploiement, la migration, l'activation ou la désactivation de HA, échouent. Vous devez modifier la configuration du dispositif et fournir des informations d'emplacement valides. Utilisez PUT /api/4.0/edges/{edgeId}/appliances pour modifier la configuration de

l'emplacement du dispositif (resourcePoolId, datastoreId, hostId et vmFolderId si nécessaire). Reportez-vous à la section « Utilisation de la configuration du dispositif NSX Edge » dans le Guide de NSX API.

Si les modifications suivantes se sont produites depuis la dernière sauvegarde de NSX Manager, la configuration restaurée de NSX Manager et la configuration présente sur le dispositif NSX Edge seront différentes. Vous devez Forcer la synchronisation (Force Sync) du dispositif NSX Edge pour rétablir ces modifications sur le dispositif et garantir le bon fonctionnement du dispositif NSX Edge. Reportez-vous à la section « Forcer la synchronisation de NSX Edge avec NSX Manager » dans le Guide d'administration de NSX.

n Modifications effectuées via Pare-feu distribué pour preRules pour le pare-feu NSX Edge.

n Modifications dans l'appartenance des objets de regroupement.

Si les modifications suivantes se sont produites depuis la dernière sauvegarde de NSX Manager, la configuration restaurée de NSX Manager et la configuration présente sur le dispositif NSX Edge seront différentes. Vous devez Redéployer (Redeploy) le dispositif NSX Edge pour rétablir ces modifications sur le dispositif et garantir le bon fonctionnement du dispositif NSX Edge. Reportez-vous à la section « Redéployer le dispositif NSX Edge » dans le Guide d'administration de NSX.

n Modifications des paramètres du dispositif Edge :

n HA a été activé ou désactivé

n le dispositif est passé de l'état déployé à l'état non déployé

n le dispositif est passé de l'état non déployé à l'état déployé

n les paramètres de réservation de ressource ont été modifiés

n Modifications des paramètres de carte réseau virtuelle du dispositif Edge :

n ajouter, supprimer ou déconnecter la carte réseau virtuelle

n groupes de ports

n ports de jonction

n paramètres de clôture

n stratégie de formation

Attention Après la mise à niveau vers NSX 6.4.4 ou 6.4.5, la valeur MTU par défaut des interfaces de jonction récemment ajoutées sur le dispositif Edge est définie de manière incorrecte sur 1 500. Ce problème se produit également après une nouvelle installation de 6.4.4 ou 6.4.5. Ce problème est résolu dans 6.4.6. Cependant, pour résoudre ce problème dans 6.4.4 ou 6.4.5, vous devez modifier manuellement la valeur MTU par défaut dans toutes les interfaces de jonction du dispositif Edge à 1 600. Pour plus d'informations, reportez-vous à l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/s/article/74878.


VMware, Inc. 587



Résoudre les erreurs de désynchronisation sur des commutateurs logiques

Si des commutateurs logiques ont été modifiés entre la sauvegarde de NSX Manager et la restauration de la sauvegarde, les commutateurs logiques peuvent signaler leur désynchronisation.

Procédure


2 Accédez à Mise en réseau et sécurité (Networking & Security) > Commutateurs logiques (Logical Switches).

3 S'il est présent, cliquez sur le lien Désynchronisé (Out of sync) dans la colonne État pour afficher les détails de l'erreur.

4 Cliquez sur Résoudre (Resolve) pour recréer les groupes de ports de sauvegarde manquants pour le commutateur logique.

Sauvegarder des vSphere Distributed Switches

Vous pouvez exporter les configurations de groupes de ports distribués et de vSphere Distributed Switch dans un fichier.

Exportez la configuration de vSphere Distributed Switch pour créer une sauvegarde avant de préparer le cluster pour VXLAN. Pour obtenir des instructions détaillées sur l’exportation d’une configuration de vSphere Distributed Switch, consultez http://kb.vmware.com/kb/2034602.

Sauvegarder vCenter

Afin de sécuriser votre déploiement NSX, il est important de sauvegarder votre base de données vCenter et de prendre des snapshots des machines virtuelles.

Reportez-vous à la documentation de vCenter correspondant à votre version pour obtenir des instructions et des conseils concernant les restaurations et les sauvegardes.

Pour les sauvegardes de vCenter, consultez les documents suivants :

n La documentation Installation et configuration de vSphere correspondant à votre version de vSphere

n http://kb.vmware.com/kb/2110294

Pour en savoir plus sur les snapshots de machines virtuelles, consultez le site http://kb.vmware.com/kb/1015180.

Outils de surveillance et de diagnostic NSX

NSX propose différents outils qui peuvent vous aider à surveiller et collecter des données afin de diagnostiquer des problèmes avec votre système.


VMware, Inc. 588





Flow Monitoring

Flow Monitoring est un outil d'analyse de trafic qui fournit une vue détaillée du trafic vers des machines virtuelles protégées et en provenance de celles-ci.

Lorsque Flow Monitoring est activé, sa sortie détermine quelles machines échangent des données et sur quelle application. Ces données incluent notamment le nombre de sessions et les paquets transmis par session. Les détails de session incluent les sources, les destinations, les applications et les ports en cours d'utilisation. Les détails de session peuvent permettre de créer des règles d'autorisation ou de blocage de pare-feu. Vous pouvez consulter les données de flux de plusieurs types de protocole (TCP, UDP, ARP, ICMP, etc.). Des flux peuvent être exclus en spécifiant des filtres. Vous pouvez surveiller en temps réel les connexions TCP et UDP entrantes et sortantes d'une carte réseau virtuelle (vNIC) sélectionnée. La surveillance de flux en direct permet de visualiser les flux, car ils traversent une carte réseau virtuelle spécifique, ce qui permet un dépannage rapide. Le contexte d'application est également capturé dans la surveillance de flux en direct pour les flux qui correspondent à une règle de pare-feu de couche 7.

Afficher les données de Flow Monitoring

Vous pouvez afficher les sessions de trafic sur des machines virtuelles pendant la période spécifiée. Les dernières 24 heures de données sont affichées par défaut. La période minimale est d'une heure et la période maximale de deux semaines.

Attention n Lorsque la surveillance des flux est activée, le tableau de bord affiche une petite icône

d'avertissement jaune pour indiquer que la fonctionnalité est activée. La surveillance des flux affecte les performances et vous devez, de préférence, la désactiver une fois les données de flux surveillées.

n Une alarme critique s'affiche lorsque le nombre de surveillance de flux dépasse un nombre maximal prédéfini (valeur de seuil). Cette alarme critique n'affecte pas votre environnement et vous pouvez ignorer l'alarme en toute sécurité. Dans NSX 6.4.4 et versions antérieures, le nombre de surveillance de flux maximal est défini sur 2 millions. À partir de NSX 6.4.5, le nombre de surveillance de flux maximal est passé sur 5 millions.


Les données Flow Monitoring sont uniquement disponibles pour les machines virtuelles se trouvant dans des clusters sur lesquels les composants de la virtualisation de réseau sont installés et un pare-feu est activé. Consultez le Guide d'installation de NSX Data Center for vSphere.

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Outils (Tools) > Flow Monitoring.

2 Assurez-vous que vous êtes dans l'onglet Tableau de bord (Dashboard).


VMware, Inc. 589

3 Cliquez sur Flow Monitoring.

Le chargement de la page peut prendre quelques secondes. Le haut de la page affiche le pourcentage de trafic autorisé, le trafic bloqué par des règles de pare-feu et le trafic bloqué par SpoofGuard. Le graphique multilinéaire affiche le flux des données de chaque service de votre environnement. Lorsque vous pointez vers un service dans la zone de légende, le tracé de ce service s'affiche en surbrillance.

Les statistiques de trafic sont affichées dans trois onglets :

n Flux principaux (Top Flows) affiche le trafic entrant et sortant global par service pendant la période spécifiée en fonction du nombre total d'octets (et non en fonction du nombre de sessions/paquets). Les cinq premiers services sont affichés. Les flux bloqués ne sont pas pris en compte dans le calcul des flux principaux.

n Destinations principales (Top Destinations) affiche le trafic entrant par destination sur la période spécifiée. Les cinq premières destinations sont affichées.

n Sources principales (Top Sources) affiche le trafic sortant par source sur la période spécifiée. Les cinq premières sources sont affichées.

4 Cliquez sur l'onglet Détails par service (Details by Service).

Les détails sur tout le trafic du service sélectionné s'affichent. L'onglet Flux autorisés (Allowed Flows) affiche les sessions de trafic autorisé et l'onglet Flux bloqués (Blocked Flows) affiche le trafic bloqué.


VMware, Inc. 590

Vous pouvez effectuer une recherche sur les noms de services.

5 Cliquez sur un élément du tableau pour afficher les règles qui autorisaient ou bloquaient ce flux de trafic.

6 Cliquez sur l'ID de la règle (Rule Id) pour afficher les détails de cette règle.

Modifier la plage de dates des graphiques de Flow Monitoring

Vous pouvez changer la plage de dates des données de Flow Monitoring dans les onglets Tableau de bord et Détails.

Procédure


2 Cliquez sur en regard de Intervalle de temps (Time interval).

3 Sélectionnez une période ou tapez les nouvelles dates de début et de fin.

Les données relatives au flux de trafic sont consultables pour les deux semaines précédentes, au maximum.

4 Cliquez sur OK.


VMware, Inc. 591

Ajouter ou modifier une règle de pare-feu dans le rapport de Flow Monitoring

En détaillant les données de trafic, vous pouvez évaluer l'utilisation de vos ressources et envoyer les informations de session au pare-feu distribué pour créer une nouvelle règle d'autorisation ou d'interdiction à tous les niveaux.

Procédure


2 Cliquez sur l'onglet Détails par service (Details by Service).

3 Cliquez sur un service pour afficher son flux de trafic.

Selon l'onglet sélectionné, les règles qui ont autorisé ou refusé le trafic pour ce service s'affichent.

4 Cliquez sur un ID de règle pour afficher les détails de la règle.


n Pour modifier une règle :

1 Cliquez sur Modifier une règle (Edit Rule) dans la colonne Actions.

2 Modifiez le nom, l'action ou les commentaires pour la règle.

3 Cliquez sur OK.

n Pour ajouter une règle :

1 Cliquez sur Ajouter une règle (Add Rule) dans la colonne Actions.

2 Complétez le formulaire pour ajouter une règle. Pour plus d'informations sur la manière de remplir le formulaire de règle de pare-feu, reportez-vous à la section Ajouter une règle de pare-feu.

3 Cliquez sur OK.

La règle est ajoutée en haut de la section des règles du pare-feu.

Afficher les flux en direct

Vous pouvez afficher des connexions UDP et TCP en provenance d'une vNIC ou vers celle-ci. Pour afficher le trafic entre deux machines virtuelles, vous pouvez afficher le trafic en direct d'une machine virtuelle sur un ordinateur et celui de l'autre machine virtuelle sur un deuxième ordinateur. Vous pouvez afficher le trafic pour deux vNIC par hôte et de 5 vNIC par infrastructure au maximum.

L'affichage des flux en direct peut altérer les performances de NSX Manager et de la machine virtuelle correspondante.


VMware, Inc. 592

Procédure


2 Cliquez sur l'onglet Flux en direct (Live Flow).

3 Sélectionnez la vNIC requise.

4 Cliquez sur Démarrer (Start) pour commencer à afficher les flux en direct.

La page s'actualise toutes les 5 secondes. Vous pouvez sélectionner une autre fréquence dans la liste déroulante Fréquence d'actualisation (Refresh Rate).

5 Cliquez sur Arrêter (Stop) lorsque votre débogage ou votre dépannage est terminé pour éviter d'altérer les performances de NSX Manager ou de la machine virtuelle sélectionnée.

Configurer la collecte des données de Flow Monitoring

Une fois que vous avez affiché et filtré les données de Flow Monitoring à collecter, vous pouvez configurer la collecte.

Vous pouvez filtrer les données affichées en spécifiant un critère d'exclusion. Par exemple, vous pouvez exclure un serveur proxy pour éviter que des flux soient affichés en double. En revanche, lorsque vous exécutez une analyse Nessus sur les machines virtuelles de votre inventaire, il est possible que vous ne souhaitiez pas exclure la collecte des flux d'analyse. Vous pouvez configurer IPFix de sorte que les informations sur des flux spécifiques soient exportées directement d'un pare-feu vers un collecteur de flux. Les graphiques de Flow Monitoring n'incluent pas les flux IPFix. Ceux-ci sont affichés sur l'interface du collecteur IPFix.

Procédure


2 Sélectionnez l'onglet Configuration.

3 Assurez-vous que État de la collecte de flux globale (Global Flow Collection Status) est Activé (Enabled).

Tous les flux liés au pare-feu sont collectés dans votre inventaire à l'exception des objets spécifiés dans Paramètres d'exclusion (Exclusion Settings).


VMware, Inc. 593

4 Pour spécifier des critères de filtre, cliquez sur Exclusion de flux (Flow Exclusion) et procédez comme suit.

a Cliquez sur l'onglet correspondant aux flux que vous souhaitez exclure.

b Spécifiez les informations requises.

Si vous avez sélectionné Spécifiez les informations suivantes

Collecter les flux bloqués Sélectionnez Non pour exclure les flux bloqués.

Collecter les flux de niveau 2 Sélectionnez Non pour exclure les flux de couche 2.

Source Les flux ne sont pas collectés pour les sources spécifiées.


2 Dans Afficher, sélectionnez le conteneur approprié.

3 Sélectionnez les objets à exclure.

Destination Les flux ne sont pas collectés pour les destinations spécifiées.


2 Dans Afficher, sélectionnez le conteneur approprié.

3 Sélectionnez les objets à exclure.

Ports de destination Exclut les flux destinés aux ports spécifiés.

Tapez les numéros de port à exclure.

Service Exclut les flux pour les services et les groupes de services spécifiés.


2 Sélectionnez les services et/ou les groupes de services appropriés.

c Cliquez sur Enregistrer (Save).

5 Pour configurer la collecte de flux, cliquez sur IPFix et suivez les étapes comme décrit dans la section IPFIX pour pare-feu distribué.


VMware, Inc. 594


Configurer IPFIX

IPFIX (Internet Protocol Flow Information Export) est un protocole IETF qui définit la norme d'exportation des informations de flux depuis un périphérique final vers un système de surveillance. NSX prend en charge IPFIX pour exporter les informations de flux IP vers un collecteur.

Vous pouvez activer IPFIX sur :

n vSphere Distributed Switch (VDS)

n Pare-feu distribué (DFW)

Dans l'environnement vSphere, vSphere Distributed Switch est le programme d'exportation et le collecteur est n'importe quel outil de surveillance disponible auprès de n'importe quel fournisseur de mise en réseau.

La norme IPFIX spécifie la manière dont les informations de flux IP sont présentées et transférées vers un collecteur depuis un programme d'exportation.

Une fois que vous activez IPFIX sur vSphere Distributed Switch, il envoie régulièrement des messages à l'outil collecteur. Le contenu de ces messages est défini en utilisant les modèles. Pour plus d'informations sur les modèles, reportez-vous à la section Modèles IPFIX.

IPFIX pour pare-feu distribué

Vous pouvez activer IPFIX sur un pare-feu distribué. Le pare-feu distribué implémente le suivi avec état de flux et les flux suivis passent par un ensemble de changements d'état. IPFIX peut être utilisé pour exporter des données sur l'état d'un flux. Les événements suivis incluent la création d'un flux, son déni, sa mise à jour et son démontage.


VMware, Inc. 595

Commutateur logique

Virtuel (superposition)

Physique (sous-couche)

Collecteur de flux

RéseauTOR1

IPFIX (DFW)Tunnel de superposition

TOR4TOR2 TOR3

HV1/vSwitch HV2/vSwitch

Vous pouvez activer une exportation de flux pour IPFIX sur un pare-feu distribué comme suit :


2 Cliquez sur l'onglet Configuration.

3 Assurez-vous que État de la collecte de flux globale (Global Flow Collection Status) est Activé (Enabled).

4 Pour configurer la collecte de flux, accédez à IPFIX :

n Dans NSX 6.4.1 et versions ultérieures, accédez à Mise en réseau et sécurité (Networking & Security) > Outils (Tools) > IPFIX.

n Dans NSX 6.4.0, accédez à Mise en réseau et sécurité (Networking & Security) > Outils (Tools) > Flow Monitoring > Configuration > IPFix.

5 Cliquez sur Modifier (Edit) en regard de Configuration d'IPFIX, puis cliquez sur Activer la configuration d'IPFIX (Enable IPFIX Configuration).

6 Dans ID de domaine d'observation (Observation DomainID), entrez un identifiant de 32 bits qui identifie l'exportateur de pare-feu auprès du collecteur de flux. La plage valide est comprise entre 0 et 65535.

7 Dans Délai d'expiration de l'exportation du flux actif (Active Flow Export Timeout), tapez la période (en minutes) après laquelle les flux actifs doivent être exportés vers le collecteur de


VMware, Inc. 596

flux. La valeur par défaut est de cinq. Par exemple, si le flux est actif pendant 30 minutes et si le délai d'expiration de l'exportation est de cinq minutes, le flux est exporté sept fois pendant sa durée de vie. Une fois à chaque création et à chaque suppression et cinq fois pendant la période d'activité.

8 Cliquez sur Enregistrer (Save).

9 Dans Adresses IP du collecteur (Collector IPs), cliquez sur Ajouter (Add) et entrez l'adresse IP et le port UDP du collecteur de flux. Consultez la documentation de votre collecteur NetFlow pour déterminer le numéro de port.

10 Cliquez sur OK.


Modèles IPFIX

Le pare-feu distribué implémente le suivi avec état de flux et les flux suivis passent par un ensemble de changements d'état. Vous pouvez utiliser le protocole IPFIX pour exporter des données sur l'état d'un flux. Les événements suivis incluent la création d'un flux, son refus, sa mise à jour et son démontage.

Comme IPFIX est basé sur un modèle, l'exportateur doit déclarer le format des données avant l'exportation d'un flux, afin que le collecteur sache comment analyser les enregistrements de flux entrants. Le format est déclaré dans les modèles, qui sont des ensembles de <type,length> qui définissent la signification et la longueur de chaque champ dans un enregistrement, l'un après l'autre.

Le tableau suivant décrit les éléments d'information qui sont utilisés dans les modèles IPFIX du pare-feu distribué.

Tableau 23-4. Éléments d'information IPFIX

Nom Type de données Taille (octet) Description

sourceMacAddress macAddress 6 Champ d'adresse MAC source IEEE 802.

destinationMacAddress macAddress 6 Champ d'adresse MAC de destination IEEE 802.

ethernetType unsigned16 2 Champ de type Ethernet d'une trame Ethernet qui identifie le protocole client MAC transporté dans la charge utile.

sourceIPv4Address ipv4Address 4 Adresse source IPv4 dans l'en-tête du paquet IP.

destinationIPv4Address ipv4Address 4 Adresse de destination IPv4 dans l'en-tête du paquet IP.




VMware, Inc. 597

Tableau 23-4. Éléments d'information IPFIX (suite)


sourceTransportPort unsigned16 2 Identifiant du port source dans l'en-tête de transport.

destinationTransportPort unsigned16 2 Identifiant du port de destination dans l'en-tête de transport.

octetDeltaCount unsigned64 8 Nombre d'octets depuis le rapport précédent (le cas échéant) dans les paquets entrants pour le flux au point d'observation. Le nombre d'octets inclut les en-têtes IP et la charge utile IP.

packetDeltaCount unsigned64 8 Nombre de paquets entrants depuis le rapport précédent (le cas échéant) pour le flux au point d'observation.

flowId unsigned64 8 Identifiant de flux unique dans un domaine d'observation. Cet élément d'information permet de faire la distinction entre différents flux lorsque les clés de flux, comme des adresses IP et des numéros de port, ne sont pas signalées ou sont signalées dans des enregistrements distincts.

flowStartSeconds dateTimeSeconds 4 Horodatage absolu du premier paquet du flux.

flowEndSeconds dateTimeSeconds 4 Horodatage absolu du dernier paquet du flux.

protocolIdentifier unsigned8 1 Valeur du numéro de protocole dans l'en-tête du paquet IP.

firewallEvent unsigned8 1 Les valeurs valides sont :

n 1 : Flux créé

n 2 : Flux supprimé

n 3 : Flux refusé

n 4 : Alerte de flux (non utilisé dans cette implémentation)

n 5 : Flux mis à jour

direction unsigned8 1 Les valeurs valides appliquées au filtre au point d'observation sont :

n 0x00 : flux d'entrée à la VM

n 0x01 : flux de sortie de la VM

icmpTypeIPv4 unsigned8 1 Type du message ICMP IPv4.

icmpCodeIPv4 unsigned8 1 Code du message ICMP IPv4.

icmpTypeIPv6 unsigned8 1 Type du message ICMP IPv6.

icmpCodeIPv6 unsigned8 1 Code du message ICMP IPv6.


VMware, Inc. 598



ruleId unsigned32 4 ID de règle de pare-feu - IE spécifique Entreprise.

vmUuid string 16 UUID de VM - IE spécifique Entreprise.

Identifie de façon unique la VM (groupe d'octets de 16).

vnicIndex unsigned32 4 Index de VNIC - IE spécifique Entreprise.

Index de la VNIC pour la VM spécifiée.

sessionFlags unsigned8 1 Indicateurs de session - IE spécifique Entreprise. Les valeurs valides sont :

n 0 : inconnu

n 0x1 : établi

flowDirection unsigned8 1 Flux de direction - IE spécifique Entreprise. Les valeurs valides sont :

n 0 : inconnu

n 1 : transfert

n 2 : inverse

algControlFlowId unsigned64 8 ID du flux de contrôle ALG - IE spécifique Entreprise. Les valeurs valides sont :

n 0

n flowId du flux de contrôle ALG

algType unsigned8 1 ID du flux de contrôle ALG - IE spécifique Entreprise. Les valeurs valides sont :

n 0 : aucun

n 1 : FTP

n 2 : Oracle

n 3 : SUNRPC

n 4 : DCERPC

n 5 : TFTP

algFlowType unsigned8 1 ID du flux de contrôle ALG - IE spécifique Entreprise. Les valeurs valides sont :

n 0 : aucun

n 1 : flux de contrôle

n 2 : flux de données

averageLatency unsigned32 4 Latence TCP moyenne - IE spécifique Entreprise

L'unité est en microsecondes.

vifUuid octetArray 16 UUID VIF - IE spécifique Entreprise.

Identifie de façon unique le VIF (groupe d'octets de 16).

Les modèles d'IPFIX suivants pour le pare-feu distribué sont pris en charge uniquement pour les charges utiles UDP.


VMware, Inc. 599

Modèle UDP IPV4

Les champs envoyés pour ce modèle sont les suivants :

IPFIX_TEMPLATE_FIELD(sourceMacAddress,6)IPFIX_TEMPLATE_FIELD(destinationMacAddress,6)IPFIX_TEMPLATE_FIELD(sourceIPv4Address,4)IPFIX_TEMPLATE_FIELD(destinationIPv4Address,4)IPFIX_TEMPLATE_FIELD(sourceTransportPort,2)IPFIX_TEMPLATE_FIELD(destinationTransportPort,2)IPFIX_TEMPLATE_FIELD(protocolIdentifier,1)IPFIX_TEMPLATE_FIELD(icmpTypeIPv4,1)IPFIX_TEMPLATE_FIELD(icmpCodeIPv4,1)IPFIX_TEMPLATE_FIELD(ethernetType,2)IPFIX_TEMPLATE_FIELD(flowStartSeconds,4)IPFIX_TEMPLATE_FIELD(flowEndSeconds,4)IPFIX_TEMPLATE_FIELD(octetDeltaCount,8)IPFIX_TEMPLATE_FIELD(packetDeltaCount,8)IPFIX_TEMPLATE_FIELD(firewallEvent,1)IPFIX_TEMPLATE_FIELD(direction,1)IPFIX_TEMPLATE_FIELD(ruleId,4)IPFIX_TEMPLATE_FIELD(vmUUId,16)IPFIX_TEMPLATE_FIELD(vnicIndex,4)IPFIX_TEMPLATE_FIELD(sessionFlags,1) /* Introduced in 6.4.2 */IPFIX_TEMPLATE_FIELD(flowDirection,1) /* Introduced in 6.4.2 */IPFIX_TEMPLATE_FIELD(flowId,8) /* Introduced in 6.4.4 */IPFIX_TEMPLATE_FIELD(algControlFlowId,8) /* Introduced in 6.4.4 */IPFIX_TEMPLATE_FIELD(algType,1) /* Introduced in 6.4.4 */IPFIX_TEMPLATE_FIELD(algFlowType,1) /* Introduced in 6.4.4 */IPFIX_TEMPLATE_FIELD(averageLatency,4) /* Introduced in 6.4.4 */

Modèle UDP IPV6

Les champs envoyés pour ce modèle sont les suivants :

IPFIX_TEMPLATE_FIELD(sourceMacAddress,6)IPFIX_TEMPLATE_FIELD(destinationMacAddress,6)IPFIX_TEMPLATE_FIELD(sourceIPv6Address,16)IPFIX_TEMPLATE_FIELD(destinationIPv6Address,16)IPFIX_TEMPLATE_FIELD(sourceTransportPort,2)IPFIX_TEMPLATE_FIELD(destinationTransportPort,2)IPFIX_TEMPLATE_FIELD(protocolIdentifier,1)IPFIX_TEMPLATE_FIELD(icmpTypeIPv6,1)IPFIX_TEMPLATE_FIELD(icmpCodeIPv6,1)IPFIX_TEMPLATE_FIELD(ethernetType,2)IPFIX_TEMPLATE_FIELD(flowStartSeconds,4)IPFIX_TEMPLATE_FIELD(flowEndSeconds,4)IPFIX_TEMPLATE_FIELD(octetDeltaCount,8)IPFIX_TEMPLATE_FIELD(packetDeltaCount,8)IPFIX_TEMPLATE_FIELD(firewallEvent,1)IPFIX_TEMPLATE_FIELD(direction,1)IPFIX_TEMPLATE_FIELD(ruleId,4)IPFIX_TEMPLATE_FIELD(vmUUId,16)IPFIX_TEMPLATE_FIELD(vnicIndex,4)IPFIX_TEMPLATE_FIELD(sessionFlags,1) /* Introduced in 6.4.2 */IPFIX_TEMPLATE_FIELD(flowDirection,1) /* Introduced in 6.4.2 */


VMware, Inc. 600

IPFIX_TEMPLATE_FIELD(flowId,8) /* Introduced in 6.4.4 */IPFIX_TEMPLATE_FIELD(algControlFlowId,8) /* Introduced in 6.4.4 */IPFIX_TEMPLATE_FIELD(algType,1) /* Introduced in 6.4.4 */IPFIX_TEMPLATE_FIELD(algFlowType,1) /* Introduced in 6.4.4 */IPFIX_TEMPLATE_FIELD(averageLatency,4) /* Introduced in 6.4.4 */

IPFIX pour commutateur logique

Vous pouvez activer IPFIX sur vSphere Distributed Switch.

Commutateur logique

Virtuel (superposition)

Physique (sous-couche)

Collecteur de flux

RéseauTOR1

IPFIX (vNic)

Tunnel de superposition

TOR4TOR2 TOR3

HV1/vSwitch HV2/vSwitch

IPFIX (pNic)

Vous pouvez activer IPFIX pour un commutateur logique comme suit :

1 Configurez le collecteur NetFlow sur vSphere Distributed Switch sauvegardant la zone de transport NSX (commutateur logique). Pour plus d'informations sur la configuration du collecteur NetFlow, consultez la rubrique « Configurer les paramètres NetFlow d'un vSphere Distributed Switch » dans le Guide de mise en réseau vSphere.

2 Vous pouvez activer la surveillance NetFlow sur le groupe de ports distribués correspondant au commutateur logique. Si la zone de transport NSX couvre plusieurs vSphere Distributed Switch (VDS), répétez ces étapes pour chaque VDS/groupe de ports distribués. Pour plus d'informations sur l'activation de la surveillance NetFlow, reportez-vous à la section « Activer ou désactiver la surveillance NetFlow sur un port distribué ou un groupe de ports distribués » dans la documentation de vSphere.

Dans un environnement NSX, le trafic de données de machine virtuelle sur un commutateur logique traversant la liaison montante NSX d'ESXi est encapsulé pour VXLAN. Lorsque NetFlow est activé sur la liaison montante d'hôte, les enregistrements de flux IP sont exportés à l'aide d'un modèle d'enregistrement de flux IPFIX personnalisé. Le modèle inclut les informations d'en-tête


VMware, Inc. 601

UDP/IP VXLAN externe et les informations du paquet IP encapsulé interne. Par conséquent, ce type d'enregistrement de flux fournit une visibilité sur le VTEP qui encapsule le paquet (en-tête externe) et les détails de la machine virtuelle qui a généré le trafic inter-hôte (en-tête interne) sur un commutateur logique NSX (VXLAN).

Pour plus d'informations sur les modèles IPFIX pour vSphere Distributed Switch, reportez-vous à la section Modèles IPFIX.

Modèles IPFIX

Les modèles IPFIX fournissent la visibilité sur les flux VXLAN et non-VXLAN. Les modèles disposent de paramètres supplémentaires qui fournissent des informations supplémentaires concernant le trafic encapsulé.

Les modèles sont pris en charge dans vSphere Distributed Switch (programme d'exportation). La prise en charge d'IPFIX sur vSphere Distributed Switch fournit la visibilité requise sur les flux de machine virtuelle et sur les flux VXLAN. Si vous utilisez n'importe quel outil collecteur tiers, vous pouvez utiliser des informations supplémentaires disponibles dans les modèles pour fournir une corrélation entre les flux internes et externes et les connexions de port.

Le tableau suivant décrit les éléments d'information qui sont utilisés dans les modèles IPFIX du commutateur logique.

Tableau 23-5. Éléments d'information IPFIX





destinationIPv6Address ipv^Address 16 Adresse de destination IPv6 dans l'en-tête du paquet IP.

octetDeltaCount unsigned64 8 Nombre d'octets depuis le rapport précédent (le cas échéant) dans les paquets entrants pour le flux au point d'observation. Le nombre d'octets inclut les en-têtes IP et la charge utile IP.

packetDeltaCount unsigned64 8 Nombre de paquets entrants depuis le rapport précédent (le cas échéant) pour le flux au point d'observation.

flowStartSysUpTime unsigned32 8 Horodatage relatif du premier paquet du flux. Il indique le nombre de millisecondes depuis la dernière réinitialisation du terminal IPFIX (sysUpTime).


VMware, Inc. 602



flowEndSysUpTime unsigned32 8 Horodatage relatif du dernier paquet du flux. Il indique le nombre de millisecondes depuis la dernière réinitialisation du terminal IPFIX (sysUpTime).

sourceTransportPort unsigned16 2 Identifiant du port source dans l'en-tête de transport

destinationTransportPort unsigned16 2 Identifiant du port de destination dans l'en-tête de transport

ingressInterface unsigned32 4 Index de l'interface IP où les paquets du flux sont reçus.

egressInterface unsigned32 4 Index de l'interface IP où les paquets du flux sont envoyés.

vxlanId unsigned64 8 Identifiant d'un segment réseau de couche 2 dans un réseau de superposition. L'octet le plus significatif identifie le type d'encapsulation de réseau de superposition de réseau de couche 2 :

n 0x00 réservé

n 0x01 VxLAN

n 0x02 NVGRE

Les trois octets significatifs les plus bas doivent contenir la valeur de l'identifiant de segment réseau de superposition de couche 2.

Par exemple :

n Identifiant réseau VXLAN ID de segment (VNI) de 24 bits

n Identifiant réseau de locataire (TNI) 24 bits pour NVGRE

protocolIdentifier unsigned8 1 Valeur du numéro de protocole dans l'en-tête du paquet IP.

flowEndReason unsigned8 1 Raison de l'arrêt du flux. Les valeurs valides sont :

n 0x01 : délai d'inactivité

n 0x02 : délai d'expiration actif

n 0x03 : fin de flux détectée

n 0x04 : fin forcée

n 0x05 : manque de ressources


VMware, Inc. 603



tcpFlags unsigned8 1 Bits de contrôle TCP observés pour les paquets du flux.

Cette information est codée en tant que champ de bits. Pour chaque bit de contrôle TCP, il existe un bit dans cet ensemble. Le bit est défini sur 1 si aucun paquet observé du flux ne dispose du bit de contrôle TCP correspondant défini sur 1. Le bit est remis sur 0 dans le cas contraire.

IPv4TOS unsigned8 1 Valeur du champ TOS dans l'en-tête du paquet IPv4.

IPv6TOS unsigned8 1 Valeur du champ Classe de trafic dans l'en-tête du paquet IPv6.

maxTTL unsigned8 1 Valeur TTL maximale observée pour n'importe quel paquet dans le flux.

flowDir unsigned8 1 Direction du flux observé au point d'observation. Les valeurs valides sont :

n 0x00 : flux d'entrée

n 0x01 : flux de sortie

ingressInterfaceAttr unsigned16 2 Les attributs d'interface d'entrée peuvent prendre les valeurs suivantes, selon le type de port :

n IPFIX_UPLINK_PORT 0X01

n IPFIX_ACCESS_PORT 0X02

n IPFIX_VXLAN_TUNNEL_PORT 0X03

egressInterfaceAttr unsigned16 2 Les attributs d'interface de sortie peuvent prendre les valeurs suivantes, selon le type de port :

n IPFIX_UPLINK_PORT 0X01

n IPFIX_ACCESS_PORT 0X02

n IPFIX_VXLAN_TUNNEL_PORT 0X03

vxlanExportRole unsigned8 1 Définit si le programme d'exportation est un hôte ESXi ou tout autre périphérique réseau.

IPFIX_END_POINT 0X01 signifie que l'hôte exporte les données.

Si d'autres périphériques exportent les modèles IPFIX, ce champ peut avoir une valeur différente (pas encore définie).

paddingOctets OctetArray 1 Une séquence de valeurs 0x00.

tenantSourceIPv4 ipv4Address 4 Adresse source IPv4 dans l'en-tête IP du paquet locataire, qui est à l'intérieur du paquet IP.


VMware, Inc. 604



tenantDestIPv4 ipv4Address 4 Adresse de destination IPv4 dans l'en-tête IP du paquet locataire, qui est à l'intérieur du paquet IP.

tenantSourceIPv6 ipv6Address 16 Adresse source IPv6 dans l'en-tête IP du paquet locataire, qui est à l'intérieur du paquet IP.

tenantDestIPv6 ipv6Address 16 Adresse de destination IPv6 dans l'en-tête IP du paquet locataire, qui est à l'intérieur du paquet IP.

tenantSourcePort unsigned16 2 Identifiant du port source dans l'en-tête de transport du paquet locataire, qui est à l'intérieur du paquet IP.

tenantDestPort unsigned16 2 Identifiant du port de destination dans l'en-tête de transport du paquet locataire, qui est à l'intérieur du paquet IP.

tenantProtocol unsigned8 1 Valeur du numéro de protocole dans l'en-tête IP du paquet locataire, qui est à l'intérieur du paquet IP.

Modèle IPv4

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4)IPFIX_TEMPLATE_FIELD(sourceIPv4Address, 4)IPFIX_TEMPLATE_FIELD(destinationIPv4Address, 4)IPFIX_TEMPLATE_FIELD(octetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(packetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(flowStartSysUpTime, 8)IPFIX_TEMPLATE_FIELD(flowEndSysUpTime, 8)IPFIX_TEMPLATE_FIELD(sourceTransportPort, 2)IPFIX_TEMPLATE_FIELD(destinationTransportPort, 2)IPFIX_TEMPLATE_FIELD(ingressInterface, 4)IPFIX_TEMPLATE_FIELD(egressInterface, 4)IPFIX_TEMPLATE_FIELD(vxlanId, 8)IPFIX_TEMPLATE_FIELD(protocolIdentifier, 1)IPFIX_TEMPLATE_FIELD(flowEndReason, 1)IPFIX_TEMPLATE_FIELD(tcpFlags, 1)IPFIX_TEMPLATE_FIELD(IPv4TOS, 1)IPFIX_TEMPLATE_FIELD(maxTTL, 1)IPFIX_TEMPLATE_FIELD(flowDir, 1)// Specify the Interface port- Uplink Port, Access port,N.AIPFIX_VMW_TEMPLATE_FIELD(ingressInterfaceAttr, 2)IPFIX_VMW_TEMPLATE_FIELD(egressInterfaceAttr, 2)IPFIX_VMW_TEMPLATE_FIELD(vxlanExportRole, 1)IPFIX_TEMPLATE_PADDING(paddingOctets, 1)IPFIX_TEMPLATE_END()


VMware, Inc. 605

Modèle IPv4 VXLAN

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4_VXLAN)IPFIX_TEMPLATE_FIELD(sourceIPv4Address, 4)IPFIX_TEMPLATE_FIELD(destinationIPv4Address, 4)IPFIX_TEMPLATE_FIELD(octetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(packetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(flowStartSysUpTime, 8)IPFIX_TEMPLATE_FIELD(flowEndSysUpTime, 8)IPFIX_TEMPLATE_FIELD(sourceTransportPort, 2)IPFIX_TEMPLATE_FIELD(destinationTransportPort, 2)IPFIX_TEMPLATE_FIELD(ingressInterface, 4)IPFIX_TEMPLATE_FIELD(egressInterface, 4)IPFIX_TEMPLATE_FIELD(protocolIdentifier, 1)IPFIX_TEMPLATE_FIELD(flowEndReason, 1)IPFIX_TEMPLATE_FIELD(tcpFlags, 1)IPFIX_TEMPLATE_FIELD(IPv4TOS, 1)IPFIX_TEMPLATE_FIELD(maxTTL, 1)IPFIX_TEMPLATE_FIELD(flowDir, 1)IPFIX_TEMPLATE_FIELD(vxlanId, 8)IPFIX_VMW_TEMPLATE_FIELD(tenantSourceIPv4, 4)IPFIX_VMW_TEMPLATE_FIELD(tenantDestIPv4, 4)IPFIX_VMW_TEMPLATE_FIELD(tenantSourcePort, 2)IPFIX_VMW_TEMPLATE_FIELD(tenantDestPort, 2)IPFIX_VMW_TEMPLATE_FIELD(tenantProtocol, 1)// Specify the Interface port- Uplink Port, Access port,N.AIPFIX_VMW_TEMPLATE_FIELD(ingressInterfaceAttr, 2)IPFIX_VMW_TEMPLATE_FIELD(egressInterfaceAttr, 2)// TUNNEL-GW or no.IPFIX_VMW_TEMPLATE_FIELD(vxlanExportRole, 1)IPFIX_TEMPLATE_END()

Modèle IPv4 ICMP VXLAN

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4_ICMP_VXLAN)IPFIX_TEMPLATE_FIELD(sourceIPv4Address, 4)IPFIX_TEMPLATE_FIELD(destinationIPv4Address, 4)IPFIX_TEMPLATE_FIELD(octetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(packetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(flowStartSysUpTime, 8)IPFIX_TEMPLATE_FIELD(flowEndSysUpTime, 8)IPFIX_TEMPLATE_FIELD(sourceTransportPort, 2)IPFIX_TEMPLATE_FIELD(destinationTransportPort, 2)IPFIX_TEMPLATE_FIELD(ingressInterface, 4)IPFIX_TEMPLATE_FIELD(egressInterface, 4)IPFIX_TEMPLATE_FIELD(protocolIdentifier, 1)IPFIX_TEMPLATE_FIELD(flowEndReason, 1)IPFIX_TEMPLATE_FIELD(IPv4TOS, 1)IPFIX_TEMPLATE_FIELD(maxTTL, 1)IPFIX_TEMPLATE_FIELD(flowDir, 1)IPFIX_TEMPLATE_FIELD(vxlanId, 8)IPFIX_VMW_TEMPLATE_FIELD(tenantSourceIPv4, 4)IPFIX_VMW_TEMPLATE_FIELD(tenantDestIPv4, 4)


VMware, Inc. 606

IPFIX_VMW_TEMPLATE_FIELD(tenantProtocol, 1)// Specify the Interface port- Uplink Port, Access port,N.AIPFIX_VMW_TEMPLATE_FIELD(ingressInterfaceAttr, 2)IPFIX_VMW_TEMPLATE_FIELD(egressInterfaceAttr, 2)// TUNNEL-GW or no.IPFIX_VMW_TEMPLATE_FIELD(vxlanExportRole, 1)IPFIX_TEMPLATE_PADDING(paddingOctets, 1)IPFIX_TEMPLATE_END()

Modèle IPv4 ICMP

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv4_ICMP)IPFIX_TEMPLATE_FIELD(sourceIPv4Address, 4)IPFIX_TEMPLATE_FIELD(destinationIPv4Address, 4)IPFIX_TEMPLATE_FIELD(octetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(packetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(flowStartSysUpTime, 8)IPFIX_TEMPLATE_FIELD(flowEndSysUpTime, 8)IPFIX_TEMPLATE_FIELD(ingressInterface, 4)IPFIX_TEMPLATE_FIELD(egressInterface, 4)IPFIX_TEMPLATE_FIELD(protocolIdentifier, 1)IPFIX_TEMPLATE_FIELD(flowEndReason, 1)IPFIX_TEMPLATE_FIELD(IPv4TOS, 1)IPFIX_TEMPLATE_FIELD(maxTTL, 1)IPFIX_TEMPLATE_FIELD(flowDir, 1)IPFIX_TEMPLATE_FIELD(vxlanId, 8)// Specify the Interface port- Uplink Port, Access Port,or NA.IPFIX_VMW_TEMPLATE_FIELD(ingressInterfaceAttr, 2)IPFIX_VMW_TEMPLATE_FIELD(egressInterfaceAttr, 2)IPFIX_VMW_TEMPLATE_FIELD(vxlanExportRole, 1)IPFIX_TEMPLATE_PADDING(paddingOctets, 2)IPFIX_TEMPLATE_END()

Modèle IPv6 ICMP VXLAN

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv6_ICMP_VXLAN)IPFIX_TEMPLATE_FIELD(sourceIPv4Address, 4)IPFIX_TEMPLATE_FIELD(destinationIPv4Address, 4)IPFIX_TEMPLATE_FIELD(octetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(packetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(flowStartSysUpTime, 8)IPFIX_TEMPLATE_FIELD(flowEndSysUpTime, 8)IPFIX_VMW_TEMPLATE_FIELD(sourceTransportPort, 2)IPFIX_VMW_TEMPLATE_FIELD(destinationTransportPort, 2)IPFIX_TEMPLATE_FIELD(ingressInterface, 4)IPFIX_TEMPLATE_FIELD(egressInterface, 4)IPFIX_TEMPLATE_FIELD(protocolIdentifier, 1)IPFIX_TEMPLATE_FIELD(IPv6TOS, 1)IPFIX_TEMPLATE_FIELD(maxTTL, 1)IPFIX_TEMPLATE_FIELD(flowDir, 1)IPFIX_TEMPLATE_FIELD(flowEndReason, 1)//VXLAN SpecificIPFIX_TEMPLATE_FIELD(vxlanId, 8)IPFIX_VMW_TEMPLATE_FIELD(tenantSourceIPv6, 16)


VMware, Inc. 607

IPFIX_VMW_TEMPLATE_FIELD(tenantDestIPv6, 16)IPFIX_VMW_TEMPLATE_FIELD(tenantProtocol, 1)// Specify the Interface port- Uplink Port, Access Port, or NA.IPFIX_VMW_TEMPLATE_FIELD(ingressInterfaceAttr, 2)IPFIX_VMW_TEMPLATE_FIELD(egressInterfaceAttr, 2)// TUNNEL-GW or no.IPFIX_VMW_TEMPLATE_FIELD(vxlanExportRole, 1)IPFIX_TEMPLATE_PADDING(paddingOctets, 1)IPFIX_TEMPLATE_END()

Modèle IPv6 ICMP

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv6_ICMP)IPFIX_TEMPLATE_FIELD(sourceIPv6Address, 16)IPFIX_TEMPLATE_FIELD(destinationIPv6Address, 16)IPFIX_TEMPLATE_FIELD(octetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(packetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(flowStartSysUpTime, 8)IPFIX_TEMPLATE_FIELD(flowEndSysUpTime, 8)IPFIX_TEMPLATE_FIELD(ingressInterface, 4)IPFIX_TEMPLATE_FIELD(egressInterface, 4)IPFIX_TEMPLATE_FIELD(protocolIdentifier, 1)IPFIX_TEMPLATE_FIELD(flowEndReason, 1)IPFIX_TEMPLATE_FIELD(IPv6TOS, 1)IPFIX_TEMPLATE_FIELD(maxTTL, 1)IPFIX_TEMPLATE_FIELD(flowDir, 1)IPFIX_TEMPLATE_FIELD(vxlanId, 8)// Specify the Interface port- Uplink Port, Access Port,or NA.IPFIX_VMW_TEMPLATE_FIELD(ingressInterfaceAttr, 2)IPFIX_VMW_TEMPLATE_FIELD(egressInterfaceAttr, 2)IPFIX_VMW_TEMPLATE_FIELD(vxlanExportRole, 1)IPFIX_TEMPLATE_PADDING(paddingOctets, 2)IPFIX_TEMPLATE_END()

Modèle IPv6

IPFIX_TEMPLATE_START(IPFIX_FLOW_TYPE_IPv6)IPFIX_TEMPLATE_FIELD(sourceIPv6Address, 16)IPFIX_TEMPLATE_FIELD(destinationIPv6Address, 16)IPFIX_TEMPLATE_FIELD(octetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(packetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(flowStartSysUpTime, 8)IPFIX_TEMPLATE_FIELD(flowEndSysUpTime, 8)IPFIX_TEMPLATE_FIELD(sourceTransportPort, 2)IPFIX_TEMPLATE_FIELD(destinationTransportPort, 2)IPFIX_TEMPLATE_FIELD(ingressInterface, 4)IPFIX_TEMPLATE_FIELD(egressInterface, 4)IPFIX_TEMPLATE_FIELD(vxlanId, 8)IPFIX_TEMPLATE_FIELD(protocolIdentifier, 1)IPFIX_TEMPLATE_FIELD(flowEndReason, 1)IPFIX_TEMPLATE_FIELD(tcpFlags, 1)IPFIX_TEMPLATE_FIELD(IPv6TOS,1)IPFIX_TEMPLATE_FIELD(maxTTL, 1)


VMware, Inc. 608

IPFIX_TEMPLATE_FIELD(flowDir, 1)// Specify the Interface port- Uplink Port, Access Port, or NA.IPFIX_VMW_TEMPLATE_FIELD(ingressInterfaceAttr, 2)IPFIX_VMW_TEMPLATE_FIELD(egressInterfaceAttr, 2)IPFIX_VMW_TEMPLATE_FIELD(vxlanExportRole, 1)IPFIX_TEMPLATE_PADDING(paddingOctets, 1)IPFIX_TEMPLATE_END()

Modèle IPv6 VXLAN

IPFIX_TEMPLATE_FIELD(sourceIPv4Address, 4)IPFIX_TEMPLATE_FIELD(destinationIPv4Address, 4)IPFIX_TEMPLATE_FIELD(octetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(packetDeltaCount, 8)IPFIX_TEMPLATE_FIELD(flowStartSysUpTime, 8)IPFIX_TEMPLATE_FIELD(flowEndSysUpTime, 8)IPFIX_TEMPLATE_FIELD(sourceTransportPort, 2)IPFIX_TEMPLATE_FIELD(destinationTransportPort, 2)IPFIX_TEMPLATE_FIELD(ingressInterface, 4)IPFIX_TEMPLATE_FIELD(egressInterface, 4)IPFIX_TEMPLATE_FIELD(protocolIdentifier, 1)IPFIX_TEMPLATE_FIELD(flowEndReason, 1)IPFIX_TEMPLATE_FIELD(tcpFlags, 1)IPFIX_TEMPLATE_FIELD(IPv6TOS, 1)IPFIX_TEMPLATE_FIELD(maxTTL, 1)IPFIX_TEMPLATE_FIELD(flowDir, 1)//VXLAN specificIPFIX_TEMPLATE_FIELD(vxlanId, 8)IPFIX_VMW_TEMPLATE_FIELD(tenantSourceIPv6, 16)IPFIX_VMW_TEMPLATE_FIELD(tenantDestIPv6, 16)IPFIX_VMW_TEMPLATE_FIELD(tenantSourcePort, 2)IPFIX_VMW_TEMPLATE_FIELD(tenantDestPort, 2)IPFIX_VMW_TEMPLATE_FIELD(tenantProtocol, 1)// Specify the Interface port- Uplink Port, Access Port,or NA.IPFIX_VMW_TEMPLATE_FIELD(ingressInterfaceAttr, 2)IPFIX_VMW_TEMPLATE_FIELD(egressInterfaceAttr, 2)// TUNNEL-GW or no.IPFIX_VMW_TEMPLATE_FIELD(vxlanExportRole, 1)IPFIX_TEMPLATE_END()

Flux surveillés par IPFIX pour vSphere Distributed Switch

Les schémas précédents montrent la communication entre les deux machines virtuelles en cours d'exécution sur deux hôtes différents et les flux surveillés par la fonctionnalité IPFIX pour vSphere Distributed Switch.


VMware, Inc. 609

Figure 23-2. Flux sur l'hôte 1

vSphere

tenantProtocol : TCP

tenantSourceIPv4 :IP1

tenantDestIPv4 :IP2

tenantSourcePort :10000

tenantDestPort :80

IngressInterfaceAttr :0x03 - port de gestion

EgressIngerfaceAttr :0x01 - dvuplink

vxlanExportRole :01

VTEP1 VTEP2

Flux 1 : Modèle IPv4

Éléments standard…

IngressInterfaceAttr :0x02 - port1

EgressIngerfaceAttr :0x03 - port de gestion

vxlanExportRole :01

Flux 2 : Modèle IPv4 VXLAN


vxlanID :5003

Commutateur physique

VDS

1312

2

IP2

VDS

1110

1

IP1

Hôte 2Hôte 1

vSphere

Le Figure 23-2. Flux sur l'hôte 1 montre que les flux sont collectés à partir de l'hôte 1. Le modèle IPv4 comporte des informations supplémentaires sur le port d'entrée et de sortie et sur les éléments standard.

La zone de texte ingressInterfaceAttr0x02 indique qu'il correspond à un port d'accès sur lequel la machine virtuelle est connectée. Le numéro de port d'accès est attribué au paramètre ingressInterface dans le modèle.

Le paramètre egressInterfaceAttr avec la valeur 0x03 indique qu'il s'agit d'un port de tunnel VXLAN et le numéro de port associé est un port VMKNic de gestion. Ce numéro de port est attribué au paramètre egressInterface dans le modèle.


VMware, Inc. 610

Le modèle IPv4 VXLAN, quant à lui, contient des informations supplémentaires sur l'ID VXLAN, la source interne, l'adresse IP/port de destination et le protocole. Les interfaces d'entrée et de sortie sont le port de tunnel VXLAN et le port dvuplink respectivement.

Figure 23-3. Flux sur l'hôte 2

tenantProtocol : TCP

tenantSourceIPv4 :IP1

tenantDestIPv4 :IP2

tenantSourcePort :10000

tenantDestPort :80

IngressInterfaceAttr :0x01 - dvuplink

EgressIngerfaceAttr :0x03 - port de gestion

vxlanExportRole :01

VTEP1 VTEP2

Commutateur physique

Flux 4 : Modèle IPv4


IngressInterfaceAttr :0x03 - port de gestion

EgressIngerfaceAttr :0x02 - port3

vxlanExportRole :01

Flux 3 : Modèle IPv4 VXLAN


vxlanID :5003

Hôte 2

VDS

1312

3

IP2

vSphere

Hôte 1

VDS

1110

1

IP1

vSphere

Le Figure 23-2. Flux sur l'hôte 1 montre les flux sur l'hôte 2.

Les modèles dans le Figure 23-2. Flux sur l'hôte 1 diffèrent de ceux du Figure 23-2. Flux sur l'hôte 1 uniquement dans les attributs d'entrée et de sortie et les numéros de port.

Les informations supplémentaires fournies via ce modèle permettent aux fournisseurs d'outil collecteur de mettre en corrélation les flux VXLAN externes et les flux internes de machine virtuelle.


VMware, Inc. 611

Informations relatives au fournisseur d'outil collecteur

La prise en charge d'IPFIX sur vSphere Distributed Switch fournit la visibilité requise sur les flux de machine virtuelle et sur les flux VXLAN. Si vous utilisez n'importe quel fournisseur d'outil collecteur, vous pouvez utiliser des informations supplémentaires disponibles dans les modèles pour fournir une corrélation entre les flux internes et externes et les connexions de port.

La section suivante fournit des détails concernant la façon de décoder les nouveaux paramètres qui sont ajoutés dans les modèles de VXLAN. IANA définit les éléments d'information IPFIX et leur ID d'élément. Vous trouverez la liste des identifiants d'élément standard à l'adresse http://www.iana.org/assignments/ipfix/ipfix.xml.

Tous les nouveaux éléments définis dans le cadre du modèle de VXLAN disposent de leurs nouveaux ID d'élément.

Ces paramètres ou éléments personnalisés fournissent des informations supplémentaires sur les flux de VXLAN et internes. Voici les nouveaux éléments et leurs ID :

Tableau 23-6. Paramètres personnalisés

ID d'élément Nom du paramètre Type de données Unité

880 tenantProtocol unsigned8 1 octet

881 tenantSourceIPv4 ipv4Address 4 octets

882 tenantDestIPv4 ipv4Address 4 octets

883 tenantSourceIPv6 ipv6Address 16 octets

884 tenantDestIPv6 ipv6Address 16 octets

886 tenantSourcePort unsigned16 2 octets

887 tenantDestPort unsigned16 2 octets

888 egressInterfaceAttr unsigned16 2 octets

889 vxlanExportRole unsigned8 1 octet

890 ingressInterfaceAttr unsigned16 2 octets

Note L'ID d'entreprise est ajouté à tous les éléments personnalisés définis ci-dessus. L'ID d'entreprise de VMware est 6876.

Le tableau suivant montre un exemple de liste complète des ID d'élément. Vous trouverez le type de données et l'unité des ID d'élément standard à l'adresse http://www.iana.org/assignments/ipfix/ipfix.xml.

ID d'élément Nom du paramètre

1 octetDeltaCount

2 packetDeltaCount


VMware, Inc. 612

http://www.iana.org/assignments/ipfix/ipfix.xml





4 protocolIdentifier

5 IPv4TOS

5 IPv6TOS

6 tcpFlags

7 sourceTransportPort

8 sourceIPv4Address

10 ingressInterface

11 destinationTransportPort

12 destinationIPv4Address

14 egressInterface

15 nextHopIPv4

27 sourceIPv6Address

28 destinationIPv6Address

53 maxTTL

61 flowDir

136 flowEndReason

152 flowStartSysUpTime

153 flowEndSysUpTime

210 paddingOctets

351 vxlanId

880 tenantProtocol

881 tenantSourceIPv4

882 tenantDestIPv4

883 tenantSourceIPv6

884 tenantDestIPv6

886 tenantSourcePort

887 tenantDestPort

888 egressInterfaceAttr


VMware, Inc. 613


889 vxlanExportRole

890 ingressInterfaceAttr

Gestionnaire de règles d'application

L'outil Gestionnaire de règles d'application (ARM) simplifie le processus de microsegmentation d'une application en créant des groupes de sécurité et des règles de pare-feu pour les applications existantes.

La surveillance de flux sert à la collecte de données à long terme dans le système, tandis que le gestionnaire de règles d'application sert à la modélisation ciblée d'une application. Lors d'une phase de surveillance de flux, ARM prend connaissance des flux entrant et sortant de l'application qui est profilée, ainsi que des flux entre des niveaux d'application. Il prend également connaissance de l'identité d'application de couche 7 pour les flux découverts.

Le workflow du gestionnaire de règles d'application comprend trois étapes :

1 Sélectionnez des machines virtuelles (VM) qui forment l'application et qui doivent être surveillées. Une fois configurés, tous les flux entrants et sortants pour un ensemble défini de VNIC (Virtualized Network Interface Cards) sur les VM sont surveillés. Jusqu'à cinq sessions peuvent collecter des flux simultanément.

2 Arrêtez la surveillance pour générer les tableaux de flux. Les flux sont analysés pour révéler l'interaction entre les VM. Les flux peuvent être filtrés pour regrouper les enregistrements de flux dans un ensemble de travail limité. Après l'analyse des flux, ARM recommande automatiquement :

n Recommandations de groupes de sécurité et d'ensembles d'adresses IP des charges de travail en fonction du modèle de flux et des services utilisés

n Stratégie de pare-feu basée sur le flux analysé pour une session ARM donnée

n Identité d'application de couche 7 du flux

3 Une fois un flux analysé avec des recommandations de groupe de sécurité et de stratégie, la stratégie pour l'application donnée peut être publiée en tant que section dans le tableau de règles de pare-feu. La règle de pare-feu recommandée limite également la portée de la mise en application (appliqué à) aux machines virtuelles associées à l'application. Les utilisateurs peuvent également modifier les règles, en particulier les noms des groupes et de la règle pour les rendre plus intuitifs et lisibles.

Créer une session de surveillance

Une session de surveillance collecte tous les flux entrants et sortants pour un maximum de 30 vNIC au cours d'une session donnée.


VMware, Inc. 614


Avant de démarrer une session de surveillance, vous devez définir les VM et les vNIC qui doivent être surveillées.

VMware Tools doit être actualisé et en cours d'exécution sur vos machines virtuelles de poste de travail Windows.

Les VM sélectionnées doivent être dans un cluster pour lequel un pare-feu est activé (elles ne peuvent pas figurer sur la liste d'exclusion).

Une règle de pare-feu par défaut de « toutes les VM autorisées » applicable aux vNIC sélectionnées doit être créée pour la durée de la session de surveillance pour que les flux en provenance et à destination des vNIC ne soient pas supprimées par une autre règle de pare-feu.

Procédure

1 Connectez-vous à vSphere Web Client et accédez au gestionnaire de règles d'application.

n Dans NSX 6.4.1 et versions ultérieures, accédez à Mise en réseau et sécurité (Networking & Security) > Sécurité (Security) > Gestionnaire de règles d'application (Application Rule Manager).

n Dans NSX 6.4.0, accédez à Mise en réseau et sécurité (Networking & Security) > Outils (Tools) > Flow Monitoring > Gestionnaire de règles d'application (Application Rule Manager).

2 Cliquez sur Démarrer une nouvelle session (Start New Session).

3 Dans la boîte de dialogue Démarrer une nouvelle session (Start New Session), entrez le nom de la session.

4 Sélectionnez le type d'objet vNIC ou VM.

La colonne Objets disponibles (Available Objects) est renseignée avec les objets disponibles.

5 Sélectionnez les vNIC ou les VM à surveiller. Les vNIC ou les VM sélectionnées sont déplacées dans la colonne Objets sélectionnés (Selected Objects).

6 Cliquez sur OK pour commencer à collecter les flux.

Le statut devient Collecte des données (Collecting Data). Le dernier ensemble de flux collectés s'affiche dans le tableau des flux.

7 Cliquez sur Arrêter (Stop) pour mettre fin à la collecte des flux.

Résultats

Une session de surveillance de flux a été créée pour les vNIC et VM sélectionnées.

Étape suivante

À l'issue de la collecte des flux, analysez ces derniers.


VMware, Inc. 615

Analyser des flux et recommander automatiquement

Une fois qu'une session de surveillance de flux a été collectée, les résultats sont analysés et peuvent être filtrés afin d'être utilisés dans le regroupement d'objets et de règles de pare-feu. ARM recommande automatiquement des règles de pare-feu et des groupes de sécurité en fonction des flux analysés.

Vous pouvez filtrer les flux analysés afin de limiter le nombre de flux dans un ensemble de travail. L'icône de l'option de filtre est affichée sur la droite, à côté du menu déroulant Vue traitée.


Avant l'analyse, une session de surveillance de flux doit avoir été collectée à partir des vNIC ou VM sélectionnées.

Procédure

1 Une fois que les flux ont été collectés, cliquez sur Analyser (Analyze).

Les services définis sont résolus, la traduction de l'adresse IP en VM commence et les doublons sont supprimés.

2 Une fois analysées, les données suivantes sont fournies pour les flux :

Champ Options

Direction ENTRANT : le flux arrive dans l'une des VM et VNIC sélectionnées dans le cadre de la valeur initiale d'entrée.

SORTANT : le flux est généré par l'une des VM et VNIC sélectionnées dans le cadre de la valeur initiale d'entrée.

INTRA : le flux circule entre la VM et la VNIC sélectionnées dans le cadre de la valeur initiale d'entrée.

Source Nom de VM, si l'adresse IP source de l'enregistrement de flux est résolue en une VM dans l'inventaire NSX. Notez que l'adresse IP peut être résolue en VM, uniquement si VM Tools est activé sur ces VM.

Adresse IP brute si aucune VM n'a été trouvée pour cette adresse IP source dans l'inventaire NSX. Notez que les adresses IP multidiffusion et diffusion ne seront pas résolues en VM.

Nombre de VM (ex. : 2 machines virtuelles) si l'adresse IP en chevauche une autre et est mappée sur plusieurs VM dans différents réseaux, l'utilisateur doit résoudre les machines virtuelles en la bonne machine virtuelle en fonction de cet enregistrement de flux.

Destination Même valeurs que le champ Source.

Service Service NSX défini pour le protocole/port.

Protocole/Port brut, si aucun service n'a été défini dans NSX Manager.

Nombre de services : Si plusieurs services sont mappés sur le même protocole/port et que l'utilisateur a besoin de les résoudre en un service applicable à l'enregistrement de flux.


VMware, Inc. 616

3 Sélectionnez l'onglet Règles de pare-feu (Firewall Rules) pour afficher les workflows groupés par ARM automatiquement recommandés et la création de stratégies, puis les règles de pare-feu créées en fonction des flux sélectionnés. Les utilisateurs peuvent modifier les règles recommandées, en particulier les noms des groupes et des règles pour les rendre plus intuitifs.

Après l'analyse des flux, ARM recommande automatiquement :

n Recommandations de regroupement et d'ensembles d'adresses IP des flux de travail en fonction du modèle de flux et des services. Par exemple, avec une application de niveau 3, le résultat serait quatre groupes de sécurité recommandés : un pour chaque niveau d'application et un groupe pour toutes les VM dans cette application. ARM recommande également des ensembles d'adresses IP de destination en fonction des services utilisés par les VM d'application, tels que des serveurs DNS/NTP si les adresses IP de destination se situent en dehors du domaine vCenter.

n Recommandation de groupe de sécurité en fonction des données de flux analysées. Le résultat d'une application de niveau 3 pourrait être quatre règles avec LB vers WEB sur https, WEB vers APP sur http, APP vers DB sur MYSQL et une règle commune pour les services infra, tels que DNS.

n Identifiez le contexte d'application (couche 7) pour le flux entre les niveaux d'application. Par exemple, une application de couche 7 exécutée quels que soient les ports TCP/UDP utilisés et quelle que soit la version TLS utilisée pour https.

4 Cliquez sur Publier (Publish) pour publier la stratégie pour l'application donnée en tant que section dans le tableau des règles de pare-feu. Ou bien modifiez les règles en fonction des besoins. Notez que la règle de pare-feu recommandée limite la portée de la mise en application (appliquée à) aux machines virtuelles associées à l'application. Entrez le nom de la section de règles de pare-feu, puis cliquez sur la case pour activer les paramètres facultatifs suivants :

Option Description



Consolidation et personnalisation de flux

Une fois l'analyse du système terminée, le tableau de flux analysé est disponible dans Vue traitée (Processed View). Les utilisateurs peuvent consolider davantage les flux en modifiant les champs de source, de destination et de service. Reportez-vous aux sections Personnalisation de services dans les enregistrements de flux et Personnalisation de la source et de la destination dans les enregistrements de flux .

Vue traitée


VMware, Inc. 617

Les flux collectés sont affichés dans un tableau composé des colonnes suivantes :

Champ Options

Direction ENTRANT : le flux arrive dans l'une des VM ou vNIC sélectionnées dans le cadre de la valeur initiale d'entrée.

SORTANT : le flux est généré par l'une des VM ou vNIC sélectionnées dans le cadre de la valeur initiale d'entrée.

INTRA : le flux circule entre la VM ou vNIC sélectionnée dans le cadre de la valeur initiale d'entrée.

Source Nom de VM, si l'adresse IP source de l'enregistrement de flux est résolue en une VM dans l'inventaire NSX.

Adresse IP brute si aucune VM n'a été trouvée pour cette adresse IP source dans l'inventaire NSX. Notez que les adresses IP multidiffusion et diffusion ne seront pas résolues en VM.

Nombre de VM si l'adresse IP en chevauche une autre et est mappée sur plusieurs VM dans différents réseaux. L'utilisateur a besoin de résoudre plusieurs VM en une VM qui est liée à cet enregistrement de flux.

Destination Même valeurs que le champ Source.

Service Service NSX défini pour le protocole/port.

Protocole/Port brut, si aucun service n'a été défini dans NSX Manager.

Nombre de services : Si plusieurs services sont mappés sur le même protocole/port et que l'utilisateur a besoin de les résoudre en un service applicable à l'enregistrement de flux.

Les tableaux de flux peuvent être modifiés et les flux consolidés afin de faciliter la création de règles. Par exemple, le champ source peut être remplacé par N'IMPORTE LEQUEL. Plusieurs VM recevant des flux avec HTTP et HTTPs peuvent être remplacées par le groupe de services « Service WEB », qui comprend un service HTTP et un service HTTPs. Ce faisant, plusieurs flux peuvent se ressembler et les modèles de flux qui en ressortent peuvent facilement être traduits en une règle de pare-feu.

Notez que chaque cellule du tableau de flux peut être modifiée, mais les cellules ne sont pas remplies automatiquement. Par exemple, si l'adresse IP 196.1.1.1 est ajoutée à l'IPSet DHCP-Server, les occurrences suivantes de cette adresse IP ne sont pas remplies automatiquement pour renseigner le groupe DHCP-Server. Un message vous invite à remplacer toutes les occurrences de l'adresse IP par l'IPSet. Cela permet d'intégrer cette partie d'adresse IP à plusieurs groupes d'IPSet.

Vue consolidée

La vue consolidée est accessible à partir de la liste déroulante dans l'angle droit. La vue consolidée élimine les flux en double et affiche le nombre minimal de flux. Cette vue permet de créer des règles de pare-feu.

Cliquer sur la flèche dans l'angle gauche de la colonne Direction affiche les informations de flux brutes associées :

n pour les flux intra, les flux ENTRANT et SORTANT correspondants sont affichés avec les données brutes

n l'IP de la source d'origine, l'IP de la destination, le port et les informations de protocole de tous les flux bruts qui ont été consolidés dans l'enregistrement


VMware, Inc. 618

n pour les flux ALG, le flux de données correspondant du flux de contrôle est affiché

Personnalisation de services dans les enregistrements de flux

Les cellules de flux de services sont individuellement personnalisables par l'utilisateur.

Après l'analyse de flux, les utilisateurs peuvent associer toute combinaison de protocole/port non définie et créer un service. Les groupes de services peuvent être créés pour tout service répertorié dans les flux collectés. Pour plus d'informations sur la modification des enregistrements de flux, reportez-vous à Consolidation et personnalisation de flux.


Les données de flux doivent avoir été collectées à partir d'un ensemble de vNIC et de VM. Reportez-vous à la section Créer une session de surveillance.

Procédure

u Une fois que l'état de flux correspond à Analyse terminée (Analysis Completed), le tableau de flux est renseigné avec les données, dans la Vue traitée (Processed View). Pour personnaliser les données de cellule, passez votre curseur sur une cellule. Une icône d'engrenage apparaît dans l'angle droit de la cellule. Cliquez sur l'icône d'engrenage dans la colonne Service , puis sélectionnez l'une des options suivantes :

Option Description

Résoudre les services Si le port et le protocole ont été traduits en plusieurs services, utilisez cette option pour sélectionner le service correct.

Créer les services et remplacer Pour ajouter un service :

a Entrez le nom (name) du service.

b Dans la liste déroulante, sélectionnez le protocole.

c Entrez les ports de destination du service.

d Cliquez sur Options avancées (Advanced options) pour entrer les ports source du service. Le port source est utilisé pour effectuer le suivi des nouvelles connexions entrantes et des flux de données.

e Facultatif - Cochez la case Activer l'héritage pour autoriser la visibilité des étendues sous-jacentes (Enable inheritance to allow visibility at underlying scopes) pour créer un groupe ou un critère commun réutilisable au niveau des instances Edge individuelles.

f Cliquez sur OK pour créer et ajouter un autre service dans la colonne Service. Notez que, s'il existe d'autres enregistrements de flux avec la même combinaison de port et de protocole non définie, vous serez invité à confirmer le remplacement de tous ces services par celui récemment créé. Cela ne concerne que les flux avec services non définis qui figurent dans la phase d'analyse.


VMware, Inc. 619

Option Description

Créer un groupe de services et remplacer

Vous pouvez créer un nouveau groupe de services qui inclut le service du flux. Le nouveau groupe de services remplace alors le service. Pour ajouter un groupe de services :

a Entrez le nom (name) du groupe de services.

b Facultatif - entrez la description du groupe de services.

c Sélectionnez le type d'objet (Object type).

d Sélectionnez les objets disponibles à ajouter au groupe de services et cliquez sur la flèche afin de déplacer l'objet dans la colonne Objets sélectionnés.

e Un autre groupe de services est créé et ajouté dans la colonne Service.

Remplacer le service par n'importe quel

Remplacez le service spécifique par n'importe quel service.

Remplacer le service par groupe de services

Si le service sélectionné appartient à plusieurs groupes de services, vous sélectionnez le groupe de services spécifique à appliquer.

a Cliquez sur le groupe de services souhaité dans la liste des objets disponibles.

b Cliquez sur OK.

Rétablir le protocole et le port Rétablit les données d'origine en annulant toutes les modifications de cellules.

Résultats

L'enregistrement de flux modifié est marqué d'une barre rose sur le côté. Lorsque vous passez le curseur sur une cellule modifiée, une coche verte s'affiche. Lorsque vous cliquez sur la coche, une fenêtre contextuelle s'affiche, avec les valeurs, anciennes et nouvelles, de la cellule. L'enregistrement de flux modifié est plus facile à traduire en règles de pare-feu.

Étape suivante

L'enregistrement de flux peut ensuite servir à créer des règles de pare-feu.

Une fois que les flux ont été modifiés, ils peuvent être regroupés afin d'obtenir le plus petit ensemble de travail distinct. L'onglet Vue traitée (Processed View) est utilisé pour créer des groupes de services et des IPSets et modifier les flux. L'onglet Vue consolidée (Consolidated view) compresse ces vues modifiées afin de faciliter la création de règles de pare-feu.

Personnalisation de la source et de la destination dans les enregistrements de flux

Les cellules de flux de la source et de la destination sont individuellement personnalisables par l'utilisateur.

Une fois l'analyse du flux terminée, l'utilisateur peut personnaliser les cellules du flux.


Les données de flux doivent avoir été collectées à partir d'un ensemble de vNIC et de VM. Reportez-vous à la rubrique Créer une session de surveillance


VMware, Inc. 620

Procédure

u Une fois que l'état de flux affiche Analyse terminée (Analysis Completed), le tableau de flux est renseigné avec les données. Pour personnaliser les données de cellule, passez votre curseur sur une cellule. Une icône d'engrenage apparaît dans l'angle droit de la cellule. Cliquez sur l'icône d'engrenage dans la colonneSource ou Destination, puis sélectionnez l'une des options suivantes :

Option Description

Résoudre les VM Cette option est disponible si plusieurs VM disposent de la même adresse IP. Cette option permet de choisir le nom de VM applicable pour l'enregistrement de flux.

Remplacer par n'importe quel Si la source doit être accessible à tout le monde, toute adresse IP source constitue la bonne option. Dans tous les cas, vous devez spécifier l'adresse source. La configuration d'une valeur de destination pour toute adresse IP de destination est déconseillée.

Remplacer par Adhésion Si la VM fait partie des groupes de sécurité, ces derniers doivent être affichés ici et peuvent remplacer le nom de la VM.

Créer un groupe de sécurité a Entrez le nom et la description (facultative) du groupe de sécurité.

b Cliquez sur Suivant (Next).

c Définissez les critères auxquels un objet doit répondre pour être ajouté au groupe de sécurité que vous créez. Cela vous permet d'inclure des machines virtuelles en définissant un critère de filtre avec un certain nombre de paramètres pris en charge afin de correspondre aux critères de recherche.

d Sélectionnez une ou plusieurs ressources à ajouter au groupe de sécurité. Notez que lors de l'ajout d'une ressource à un groupe de sécurité, toutes les ressources associées sont ajoutées automatiquement. Par exemple, lorsque vous sélectionnez une machine virtuelle, la vNIC associée est ajoutée automatiquement au groupe de sécurité. Vous pouvez inclure les objets suivants dans un groupe de sécurité .

Cluster

Commutateur logique

Groupe de ports hérité

vApp

Centre de données


f Sélectionnez les objets à exclure du groupe de sécurité. Les objets sélectionnés ici sont toujours exclus du groupe de sécurité indépendamment de leur correspondance aux critères dynamiques.

g Cliquez sur Suivant (Next).

h Examinez les détails du groupe de sécurité dans la fenêtre Prêt à terminer (Ready to complete). Cliquez sur Terminer (Finish).


VMware, Inc. 621

Option Description

Ajouter à un groupe de sécurité existant et remplacer

Pour les VM, si la VM sélectionnée appartient à plusieurs groupes de sécurité, sélectionnez le groupe de sécurité spécifique à appliquer. Cette option n'est pas disponible si l'adresse IP est présente dans le champ source ou destination. Pour les adresses IP brutes, utilisez l'option Ajouter à un IPSet existant et remplacer.

a Cliquez sur le groupe de services souhaité dans la liste des objets disponibles.

b Cliquez sur OK.

Créer IPSet et remplacer Un IPSet vous permet d'appliquer simultanément une règle de pare-feu à tout un ensemble d'adresses IP.

a Entrez le nom de l'IPSet.

b Facultatif : entrez une description.

c Entrez les adresses IP ou la plage d'adresses dans le nouvel ensemble d'IP.

d Cliquez sur OK.

Ajouter à un IPSet existant et remplacer

Une adresse IP peut faire partie de plusieurs IPSet. Utilisez cette option pour remplacer l'adresse IP affichée par une autre.

a Sélectionnez l'IPSet souhaité dans les objets disponibles.

b Cliquez sur OK.

Restaurer les données initiales Rétablit les données d'origine en annulant toutes les modifications de cellules.

Étape suivante

Créez une règle de pare-feu en fonction de la surveillance de flux.

Création des règles de pare-feu à partir du gestionnaire de règles d'application

Les règles de pare-feu peuvent être modifiées, supprimées, déplacées vers le haut et vers le bas dans le cadre du gestionnaire de règles d'application.


Une fois l'enregistrement de flux analysé, ARM recommande automatiquement des règles de pare-feu. Vous pouvez modifier les règles recommandées ou créer des règles de pare-feu.

Procédure

1 Ouvrez une session de flux. Si vous êtes en mode Vue traitée (Processed View). Cliquez avec le bouton droit de la souris sur une seule cellule de flux ou sur Maj + première cellule > dernière cellule pour sélectionner plusieurs cellules, puis effectuez un clic droit. Si vous êtes en mode Vue consolidée (Consolidated View), sélectionnez une cellule de flux et cliquez sur l'icône Action. Sélectionnez Créer la règle de pare-feu (Create Firewall rule).

La fenêtre contextuelle Nouvelle règle de pare-feu (New Firewall Rule)s'affiche. Toutes ses cellules sont renseignées en fonction des données des cellules sélectionnées. Si plusieurs cellules ont été sélectionnées, tous les objets Service, Source, Destination sont ajoutés aux champs correspondants de la règle.


VMware, Inc. 622

2 Entrez le nom de la nouvelle règle.

3 (Facultatif) Pour sélectionner une source ou une destination, cliquez sur Sélectionner (Select) en regard de la zone Source ou Destination. Spécifiez une nouvelle source ou destination à partir des objets disponibles, puis cliquez sur OK.

4 (Facultatif) Pour sélectionner un service différent, cliquez sur la zone Sélectionner (Select) le service. Le pare-feu distribué prend en charge le processus ALG (passerelle au niveau des applications) pour les protocoles suivants : FTP, CIFS, ORACLE TNS, MS-RPC et SUN-RPC. Edge prend en charge l'ALG pour FTP uniquement. Spécifiez un nouveau service à partir des objets disponibles, puis cliquez sur OK.

5 (Facultatif) Pour appliquer la règle à une autre étendue, cliquez sur Sélectionner (Select) en regard de la zone Appliqué à. Effectuez les sélections correspondant à celles décrites dans le tableau ci-dessous et cliquez sur OK. Par défaut, la règle est appliquée aux VNIC sur lesquelles vous avez d'abord cliqué.

Pour appliquer une règle à Faites cela

Tous les clusters préparés de votre environnement Sélectionnez Appliquez cette règle à tous les clusters sur lesquels le pare-feu distribué est installé (Apply this rule on all clusters on which Distributed Firewall is enabled). Après avoir cliqué sur OK, la colonne Appliqué à de cette règle affiche Pare-feu distribué (Distributed Firewall).

Un(e) ou plusieurs clusters, centres de données, groupes de ports virtuels distribués, passerelles NSX Edge, réseaux, machines virtuelles, vNIC ou commutateurs logiques

1 Dans Type de conteneur (Container type), sélectionnez l'objet correspondant.

2 Dans la liste Disponible (Available), sélectionnez un

ou plusieurs objets et cliquez sur .

Si la règle contient des machines virtuelles et des vNIC dans les champs source et destination, vous devez ajouter les machines virtuelles et les vNIC de la source et de la destination à Appliqué à (Applied To) pour que la règle fonctionne correctement.

6 Sélectionnez l'Action décrite dans le tableau ci-dessous.


Autoriser Autorise le trafic de ou vers une ou des sources, destinations et services spécifiés.

Bloquer Bloque le trafic de ou vers une ou des sources, destinations et services spécifiés.


Les paquets RST sont envoyés aux connexions TCP.

Les messages ICMP avec du code interdit par l'administrateur sont envoyés pour les connexions UDP, ICMP et autres connexions IP.

7 Spécifiez la règle Direction de la règle en cliquant sur la flèche déroulante.

8 Cliquez sur OK


VMware, Inc. 623

Étape suivante

Publiez les règles de pare-feu. Reportez-vous à la section Publication et gestion des règles de pare-feu à partir du gestionnaire de règles d'application.

Publication et gestion des règles de pare-feu à partir du gestionnaire de règles d'application

Les règles de pare-feu peuvent être modifiées et éditées à partir du gestionnaire de règles d'application.

Une fois que les règles de pare-feu ont été créées, elles peuvent être gérées dans l'onglet Règles de pare-feu (Firewall Rules) du gestionnaire de règles d'application.


Analysez une session de flux pour créer des règles de pare-feu automatiquement recommandées ou créez vos propres règles de pare-feu à partir d'une session de surveillance de flux.

Procédure

u Les règles de pare-feu s'affichent dans l'onglet Règles de pare-feu (Firewall Rules). Sélectionnez l'une des options suivantes :

Option Description

Publier a Cliquez sur Publier (Publish) pour publier les règles de pare-feu qui ont été créées. Les règles sont publiées comme s'il s'agissait d'une nouvelle section.

b Entrez le Nom de section (Section Name) de la règle de pare-feu, puis cliquez sur la case pour activer les paramètres facultatifs suivants :

Option Description



c Sélectionnez l'endroit où sera insérée la nouvelle section de pare-feu dans la configuration du pare-feu existante.

d Cliquez sur OK.

Modifier Sélectionnez l'icône de crayon pour modifier les règles de pare-feu.

Supprimer Sélectionnez l'icône X rouge pour supprimer la règle de pare-feu.


VMware, Inc. 624

Option Description

Flèche vers le bas Sélectionnez l'icône de flèche vers le bas pour déplacer la règle vers le bas.

Flèche vers le haut Sélectionnez l'icône de flèche vers le haut pour déplacer la règle vers le haut.

Note Lorsque les règles de pare-feu sont publiées à partir du gestionnaire de règles d'application (Application Rule Manager), le nom de section est ajouté au bouton Publier (Publish). Toute publication ultérieure à partir du gestionnaire de règles d'application (Application Rule Manager) remplace la section existante dans la configuration de pare-feu par les règles qui sont actuellement disponibles dans le gestionnaire de règles d'application (Application Rule Manager).

Contrôle de l'état de santé de l'hôte

Dans NSX Data Center, vous pouvez diagnostiquer l'état de santé global de l'hôte. L'état de santé global de l'hôte inclut l'état de la pNIC de l'hôte, l'état du tunnel, l'état de la connectivité entre l'hôte et le plan de contrôle ainsi que l'état de la connectivité entre l'hôte et le plan de gestion.

Vous pouvez surveiller l'état de santé de l'hôte uniquement à l'aide des API NSX. Cette fonctionnalité de diagnostic n'est pas disponible dans l'interface utilisateur de vCenter.

L'état de santé de l'hôte inclut les sous-statuts suivants :

n État de la pNIC

n État du tunnel

n État du plan de contrôle

n État du plan de gestion

Le tableau suivant décrit chacun de ces sous-statuts.


VMware, Inc. 625

Sous-statut Description

État de la pNIC Cet état est dérivé de la couche physique. Lorsque la PNIC appartient à un groupe d'agrégation de liens (LAG), l'état est actif, inactif ou dégradé.

n Lorsque toutes les PNIC du LAG sont actives, l'état du LAG est actif.

n Lorsque toutes les PNIC du LAG sont inactives, l'état du LAG est inactif.

n Si l'une des PNIC du LAG est inactive, l'état du LAG est dégradé.

Lorsque la pNIC n'appartient pas à un LAG, l'état est actif ou inactif.

État du tunnel Il s'agit de l'état de connectivité du tunnel VTEP à VTEP entre les hôtes. L'état du tunnel est actif, inactif ou dégradé.

n Lorsque tous les tunnels des hôtes sont actifs, l'état du tunnel est actif.

n Lorsque tous les tunnels des hôtes sont inactifs, l'état du tunnel est inactif.

n Lorsque l'un des tunnels des hôtes est inactif, l'état du tunnel est dégradé.

État du plan de contrôle Il s'agit de l'état de la connexion entre l'hôte et les contrôleurs NSX.

État du plan de gestion Il s'agit de l'état de la connexion entre l'hôte et le plan de gestion de NSX.

Le plan de gestion détermine l'état général de l'hôte de la manière suivante :

n Lorsque tous les sous-états sont actifs, l'état global de l'hôte est actif.

n Lorsqu'un sous-état est inactif, l'état global de l'hôte est inactif.

n Lorsqu'au moins l'un des sous-états est dégradé et que les autres sous-états sont actifs ou inactifs, l'état global de l'hôte est dégradé.

Activer la surveillance de l'état de santé de l'hôte

Pour activer la surveillance de l'état de santé de l'hôte, vous devez activer le contrôle d'état de la pNIC globale sur les hôtes et la détection de transfert bidirectionnel globale (BFD). Exécutez les API PUT suivantes :

Activer la vérification globale de l'état de la pNIC sur les hôtes

PUT <NSX_Manager_IP>/api/2.0/vdn/pnic-check/configuration/global

Activer BFD global

PUT <NSX_Manager_IP>/api/2.0/vdn/bfd/configuration/global

Dans NSX 6.4.6 ou version antérieure, lorsque vous activez BFD global, la surveillance de la latence et de la santé du tunnel est activée simultanément. Vous ne pouvez pas activer ou désactiver séparément la surveillance de la latence et de la santé du tunnel.


VMware, Inc. 626

À partir de NSX 6.4.7, l'API de configuration globale de BFD inclut deux paramètres supplémentaires pour activer ou désactiver la surveillance de la santé et de la latence de tunnel séparément.

Lorsque BFD est désactivé, la surveillance de la latence et de la santé du tunnel ne peut pas être activée. Lorsque BFD est activé, vous pouvez activer individuellement la surveillance de la santé et de la latence du tunnel. Ce découplage offre une plus grande flexibilité et évite les problèmes de performances lorsque le nombre d'hôtes évolue sur le réseau.

Pour obtenir des informations détaillées sur la configuration des paramètres BFD globaux, reportez-vous au Guide de NSX API.

Afficher l'état de santé de l'hôte

Pour diagnostiquer l'état de santé de l'hôte et les détails du tunnel, vous pouvez exécuter les API suivantes :

n GET <NSX_Manager_IP>/api/2.0/vdn/pnic-check/configuration/global

n GET <NSX_Manager_IP>/api/2.0/vdn/host/status

n GET <NSX_Manager_IP>/api/2.0/vdn/host/{hostId}/status

n GET <NSX_Manager_IP>/api/2.0/vdn/host/{hostId}/tunnel

n GET <NSX_Manager_IP>/api/2.0/vdn/host/{hostId}/remote-host-status

Pour obtenir des informations détaillées sur chacune de ces API, notamment la description du paramètre et l'exemple de réponse de l'API, reportez-vous au Guide de NSX API.

Surveillance de la latence réseau

Les administrateurs réseau doivent pouvoir surveiller la latence d'un réseau virtualisé pour diagnostiquer et résoudre les goulots d'étranglement de performance dans le réseau.

Par exemple, lorsque NSX est installé et que des réseaux VXLAN sont déployés sur le réseau, les types de latence suivants existent :

n vNIC à pNIC (sur l'hyperviseur source)

n pNIC à vNIC (sur l'hyperviseur de destination)

n vNIC à vNIC

n Latence du tunnel (VTEP à VTEP)

n Latence de bout en bout du chemin de données


VMware, Inc. 627

L'agent des opérations réseau (netopa) sur l'hôte ESXi collecte les informations sur la latence du réseau auprès de diverses sources, telles que vSphere, NSX, etc. Les administrateurs peuvent configurer des outils collecteurs externes, tels que vRealize Network Insight (vRNI) pour exporter les informations de latence vers ces collecteurs. Enfin, ils peuvent exécuter des analyses sur les informations de latence afin de résoudre des problèmes spécifiques au réseau.

Note L'agent netopa peut exporter les informations sur la latence réseau uniquement vers vRNI. Les autres outils collecteurs ne sont actuellement pas pris en charge.

Vous devez utiliser des REST API NSX pour configurer NSX afin de calculer les mesures de latence. Pour que NSX calcule correctement les mesures de latence, assurez-vous que les horloges des différents hôtes sont synchronisées à l'aide du protocole NTP (Network Time Protocol).

Latence du tunnel

Pour calculer la latence du tunnel ou la latence VTEP à VTEP entre les hôtes ESXi, NSX transmet régulièrement des paquets de détection de flux bidirectionnel (BFD) dans chaque tunnel. Vous devez configurer les paramètres de configuration globale de BFD en exécutant l'API PUT /api/2.0/vdn/bfd/configuration/global.

Pour plus d'informations sur la configuration des paramètres de configuration globale de BFD, consultez le Guide de NSX API.

Latence de bout en bout

À partir de NSX 6.4.5, NSX peut calculer la latence de bout en bout d'un chemin de données lorsque le trafic se déplace entre des machines virtuelles se trouvant sur le même hôte ESXi ou sur différents hôtes ESXi. Cependant, les deux machines virtuelles doivent être attachées au même commutateur logique (sous-réseau).

Note NSX ne peut pas calculer les informations de latence de bout en bout lorsque le trafic de données est acheminé entre les VM via un routeur logique distribué. C'est-à-dire, lorsque des machines virtuelles sont attachées à des commutateurs logiques ou des sous-réseaux différents.

Pour calculer la latence de bout en bout du chemin de données, NSX utilise l'attribut d'horodatage d'un paquet de chemin de données dans l'hyperviseur. La latence des chemins de données de bout en bout est calculée en termes de latence des segments multiples dans le chemin de données : vNIC à pNIC et pNIC à vNIC.

Par exemple, lorsque le trafic est acheminé entre les machines virtuelles sur le même hôte, la latence vNIC à vNIC est calculée. Lorsque le trafic est acheminé entre des machines virtuelles sur différents hôtes ESXi, la latence vNIC à pNIC est calculée sur l'hyperviseur source et la latence pNIC à vNIC est calculée sur l'hyperviseur de destination. Pour le trafic entre les hôtes ESXi, NSX calcule uniquement la latence du tunnel, si les paramètres de configuration globale de BFD sont configurés.


VMware, Inc. 628

Pour plus d'informations sur la configuration des paramètres de latence sur un vSphere Distributed Switch spécifique et sur un hôte spécifique, reportez-vous aux sections suivantes du Guide de NSX API :

n Utilisation de la configuration de latence d'un vSphere Distributed Switch spécifique

n Utilisation de la configuration de latence d'un hôte spécifique

Collecte des données de surveillance des points de terminaison

La surveillance des points de terminaison permet aux utilisateurs de mapper des processus spécifiques à l'intérieur du système d'exploitation invité aux connexions réseau que les processus utilisent.

Lorsque les données sont collectées, elles sont purgées quotidiennement à 2 heures du matin. Lors de cette purge, le nombre d'enregistrements de flux est vérifié dans toutes les sessions combinées, et tous les enregistrements de plus de 20 millions (ou d'environ 4 Go) sont supprimés. La suppression commence par la session la plus ancienne et se poursuit jusqu'à ce que le nombre d'enregistrements de flux dans la base de données soit inférieur à 15 millions d'enregistrements. Si une session est active pendant la purge des données, certains enregistrements risquent d'être perdus.

Avertissement Lorsque la surveillance des points de terminaison est activée, le tableau de bord affiche une petite icône d'avertissement jaune pour indiquer que la fonctionnalité est activée. La surveillance des points de terminaison affecte les performances et vous devez, de préférence, la désactiver une fois les données collectées.


n La surveillance des point de terminaison est prise en charge sur les systèmes d'exploitation Windows suivants :

Windows Vista, Windows 7, Windows 8, Windows 8.1, Windows 2008, Windows 2008 R2, Windows 2012, Windows 10 et Windows 2016. Elle n'est pas prise en charge sous Linux.

n Guest Introspection doit être installé sur les machines virtuelles (VM).

n VMware Tools doit être actualisé et en cours d'exécution sur vos machines virtuelles de poste de travail Windows.

n Les groupes de sécurité de 20 VM ou moins sont nécessaires pour la collecte de données avant le début de la surveillance des points de terminaison. Pour plus d'informations, reportez-vous à Créer un groupe de sécurité.

n La collecte des données doit être activée pour une ou plusieurs machines virtuelles sur un vCenter Server avant l'exécution d'un rapport de surveillance des points de terminaison. Avant d'exécuter un rapport, vérifiez que les machines virtuelles sont actives et génèrent du trafic réseau.


VMware, Inc. 629

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Outils (Tools) > Surveillance des points de terminaison (Endpoint Monitoring).

2 Dans l'onglet Résumé, cliquez sur Commencer la collecte des données (Start Collecting Data).

3 Dans la fenêtre contextuelle Commencer la collecte des données pour les groupes de sécurité, sélectionnez les groupes de sécurité pour lesquels vous souhaitez collecter des données. Cliquez sur OK.

Les VM sont répertoriées dans la zone de champ.

4 La collecte des données doit être ACTIVÉE (ON).

5 Cliquez sur OK.

L'écran principal Surveillance des points de terminaison apparaît. Dans l'angle gauche, l'état est Collecte des données.

6 Cliquez sur Arrêter la collecte des données (Stop Collecting Data) pour terminer cette opération.

L'écran Surveillance des points de terminaison apparaît. Son onglet Résumé est renseigné avec les données.

Surveillance des points de terminaison

La surveillance des points de terminaison permet d'avoir une bonne vision des processus d'application et de leurs connexions réseau.

Onglet Résumé

Une fois la collecte de données terminée, l'écran de résumé affiche les détails de NSX Manager, du groupe de sécurité et du créneau des données collectées. Le nombre de machines virtuelles (VMs) en cours d'exécution et le nombre total de processus générant le trafic sont affichés dans la première zone. En cliquant sur le nombre de machines virtuelles en cours d'exécution, vous accédez à l'onglet Flux VM, décrit ci-dessous. En cliquant sur le nombre de processus qui génèrent du trafic, vous accédez à l'onglet Flux de processus, décrit ci-dessous.

La deuxième zone affiche un donut avec le nombre total de flux. Un flux est caractérisé par un flux unique de trafic réseau comme identifié par le type de paquet, l'IP de la source et de la destination et le port. Passez le curseur sur chaque section afin d'afficher le nombre de flux à l'intérieur ou à l'extérieur du groupe de sécurité.

Onglet Flux VM

Cet écran affiche les détails des flux à l'intérieur des VM, notamment :

n Nom de VM : nom de la VM en cours de surveillance

n Flux à l'intérieur du groupe de sécurité : le trafic circulant entre les VM où se situe la source ou la destination se trouve à l'intérieur du groupe de sécurité surveillé


VMware, Inc. 630

n Flux à l'extérieur du groupe de sécurité : le trafic circulant entre les VM où se situe la source ou la destination se trouve à l'extérieur du groupe de sécurité surveillé

n Flux de services partagés à l'extérieur du groupe de sécurité : flux de services partagés tels que DHCP, LDAP, DNS ou NTP, à l'extérieur du groupe de sécurité surveillé

n Flux de services partagés à l'intérieur du groupe de sécurité : flux de services partagés tels que DHCP, LDAP, DNS ou NTP, à l'intérieur du groupe de sécurité surveillé

Lorsque vous cliquez sur un nom de VM spécifique dans le tableau, un graphique à bulles affiche les informations suivantes :

n les flux entre les VM dans le même groupe de sécurité ;

n les flux contenant des services partagés ;

n les flux entre les différents groupes de sécurité.

Cliquez sur une bulle pour afficher les détails de la VM. La vue du flux détaillé comprend le nom du processus, la version et le nombre de flux générés par chaque processus. Si elle contient des services partagés, une icône spéciale l'indiquera. En cliquant sur une ligne entre deux bulles de VM, vous affichez les détails du flux de processus entre ces deux VM, notamment :

n Processus source : nom de l'application/exe générant le trafic et à l'origine du flux

n Version source : version de fichier de la source

n Protocole : TCP

n Processus de destination : nom de l'application/exe du serveur du processus qui est la destination du flux

n Port de destination : numéro de port de la destination

Onglet Flux de processus

Cet écran affiche une liste de toutes les applications qui génèrent des flux. Le tableau affiche les informations suivantes :

n Nom du processus : nom de l'application générant le trafic

n Nom de la VM

n Flux à l'intérieur du groupe de sécurité : le trafic circulant entre les VM où se situe la source ou la destination se trouve à l'intérieur du groupe de sécurité surveillé

n Flux à l'extérieur du groupe de sécurité : le trafic circulant entre les VM où se situe la source ou la destination se trouve à l'extérieur du groupe de sécurité surveillé

n Flux partagés à l'intérieur du groupe de sécurité : flux partagés, à l'intérieur du groupe de sécurité surveillé

n Flux partagés à l'extérieur du groupe de sécurité : flux partagés, à l'extérieur du groupe de sécurité surveillé


VMware, Inc. 631

Le graphique à bulles illustre les flux qui se produisent avec le processus ou l'application sur la VM sélectionnée comme l'ancre. Cliquez sur une bulle pour connaître le nom et la version du processus. Cliquez sur une ligne pour afficher les informations suivantes :

n VM source : nom de la VM cliente qui héberge le processus client

n IP source : adresse IP du flux

n Protocole : TCP

n VM de destination : nom de la VM serveur qui héberge le processus serveur

n IP de destination : adresse IP de la destination

n Port de destination : numéro de port de la destination

Onglet Flux utilisateur AD

Cet écran affiche les flux par tous les utilisateurs AD sur les VM jointes d'AD qui font partie d’un groupe de sécurité. Trois tables sont disponibles :

n Table des utilisateurs AD : répertorie tous les utilisateurs qui ont lancé des flux réseau depuis ou vers des VM qui faisaient partie du groupe de sécurité sélectionné.

n Table des sessions utilisateur : répertorie toutes les sessions qui ont été crées par un utilisateur sélectionné depuis la table des utilisateurs AD. Il existe autant de sessions que le nombre de paires uniques d'utilisateurs. IP de VM sources.

n Table des flux utilisateur AD : lorsqu'un utilisateur clique sur une session, cette page s'affiche et contient des détails de flux supplémentaires.

Traceflow

Traceflow est un outil de résolution des problèmes qui permet d'injecter un paquet et d'observer la position de ce paquet lorsqu'il transite dans le réseau physique et logique. Ces observations vous permettent de déterminer des informations sur le réseau telles que l'identification d'un nœud arrêté ou d'une règle de pare-feu empêchant la réception d'un paquet par son destinataire.

À propos de Traceflow

Traceflow injecte des paquets dans un port de vSphere Distributed Switch (VDS) et fournit différents points d'observation le long du chemin du paquet à mesure qu'il traverse des entités physiques et logiques (telles que des hôtes ESXi, des commutateurs logiques et des routeurs logiques) dans des réseaux superposés et sous-jacents. Cela vous permet d'identifier le(s) chemin(s) emprunté(s) par un paquet pour atteindre sa destination ou, à l'inverse, à quel endroit est déposé un paquet sur le chemin. Chaque entité signale le traitement du paquet en entrée et en sortie, ce qui vous permet de déterminer si des erreurs se produisent à sa réception ou à son transfert.


VMware, Inc. 632

Gardez à l'esprit que Traceflow est différent d'une demande/réponse ping qui passe d'une pile de VM invitées à une autre. Traceflow observe un paquet marqué lorsqu'il traverse le réseau superposé. Chaque paquet est surveillé lorsqu'il traverse le réseau superposé jusqu'à ce qu'il atteigne la VM invitée de destination et qu'il puisse lui être remis. Toutefois, le paquet Traceflow injecté n'est jamais réellement remis à la VM invitée de destination. Cela signifie que Traceflow peut réussir même si la VM invitée est mise hors tension.

Traceflow prend en charge les types de trafic suivants :

n Monodiffusion de couche 2

n Monodiffusion de couche 3

n Diffusion de couche 2

n Multidiffusion de couche 2

Vous pouvez créer des paquets avec des champs d'en-tête et des tailles de paquet personnalisés. La source de Traceflow est toujours une carte réseau virtuelle (vNIC) de machine virtuelle. Le point de terminaison de destination peut être n'importe quel périphérique du réseau NSX superposé ou sous-jacent. Toutefois, vous ne pouvez pas sélectionner une destination à l'extérieur d'une passerelle Edge Services Gateway (ESG) NSX. La destination doit se trouver sur le même sous-réseau ou être accessible via des routeurs logiques distribués NSX.

L'opération Traceflow est considérée de couche 2 si les vNIC source et de destination se trouvent dans le même domaine de couche 2. Dans NSX, cela signifie qu'elles se trouvent sur le même identifiant réseau VXLAN (VNI ou ID de segment). C'est le cas, par exemple, lorsque deux machines virtuelles sont associées à un commutateur logique identique.

Si le pontage NSX est configuré, des paquets de couche 2 inconnus sont toujours envoyés au pont. Généralement, le pont transmet ces paquets à un VLAN et signale que le paquet Traceflow est livré. Un paquet signalé comme livré ne signifie pas nécessairement que le paquet de suivi a été remis à la destination spécifiée.

Pour le trafic en monodiffusion de l'instance de Traceflow de couche 3, les deux points de terminaison se situent sur deux commutateurs distincts et ont différents VNI et sont connectés à un routeur logique distribué (DLR).

Pour le trafic en multidiffusion, la source est une vNIC de machine virtuelle et la destination, une adresse de groupe de multidiffusion.

Les observations de Traceflow peuvent inclure des observations de paquets de Traceflow diffusés. L'hôte ESXi diffuse un paquet Traceflow s'il ne connaît pas l'adresse MAC de l'hôte de destination. Pour le trafic de diffusion, la source est une vNIC de machine virtuelle. L'adresse MAC de destination de couche 2 du trafic de diffusion est FF:FF:FF:FF:FF:FF. Pour créer un paquet valide pour l'inspection de pare-feu, l'opération Traceflow de diffusion nécessite une longueur de préfixe de sous-réseau. Le masque de sous-réseau permet à NSX de calculer une adresse réseau IP pour le paquet.

Attention En fonction du nombre de ports logiques de votre déploiement, il se peut que des opérations Traceflow en multidiffusion ou de diffusion génèrent un volume de trafic élevé.


VMware, Inc. 633

Vous pouvez utiliser Traceflow de deux manières : par l'intermédiaire de l'API et celle de l'interface utilisateur graphique. L'API est la même que celle que l'interface utilisateur graphique utilise, à la différence qu'elle vous permet de spécifier des paramètres précis dans le paquet, tandis que l'interface utilisateur graphique dispose de paramètres plus limités.

L'interface utilisateur graphique vous permet de définir les valeurs suivantes :

n Le protocole : TCP, UDP, ICMP.

n Durée de vie (TTL). La valeur par défaut est de 64 sauts.

n Les numéros de ports source et destination TCP et UDP. Les valeurs par défaut sont de 0.

n Les indicateurs TCP.

n L'ID d'ICMP et le numéro de séquence. Les valeurs par défaut respectives sont de 0.

n Un délai d'expiration, en millisecondes (ms), pour l'opération Traceflow. La valeur par défaut est de 10 000 ms.

n La taille de trame de l'Ethernet. La valeur par défaut est 128 octets par trame. La taille de trame maximale est de 1 000 octets par trame.

n Le codage de la charge utile. La valeur par défaut est Base64.

n La valeur de la charge utile.

Utiliser Traceflow pour le dépannage

Traceflow s'avère utile dans différents cas.

Traceflow est utile pour les scénarios suivants :

n Le dépannage des dysfonctionnements du réseau pour connaître le trajet réel du trafic

n Le suivi des performances pour observer l'utilisation de la liaison

n La planification du réseau pour observer le comportement d'un réseau lorsqu'il sera en production


n Les opérations Traceflow requièrent une communication entre vCenter, NSX Manager, le cluster NSX Controller et les agents User World Agent netcpa sur les hôtes.

n Pour que Traceflow fonctionne comme attendu, assurez-vous que le cluster de contrôleurs est connecté et en bon état.

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Outils (Tools) > Traceflow.

2 Sélectionnez le type de trafic : Monodiffusion, Multidiffusion ou Diffusion L2.


VMware, Inc. 634

3 Sélectionnez la machine virtuelle et la carte réseau virtuelle sources.

Si la machine virtuelle est gérée dans le même serveur vCenter Server que celui dans lequel vous exécutez Traceflow, vous pouvez sélectionner la machine virtuelle et la carte réseau virtuelle dans une liste.

Note Lorsqu'un commutateur logique est en mode de réplication Multidiffusion, les machines virtuelles qui y sont connectées ne sont pas répertoriées et ne peuvent pas être choisies en tant que source ou destination Traceflow.

4 Pour un Traceflow en monodiffusion, renseignez les informations de la vNIC de destination.

La destination peut être une vNIC de n'importe quel périphérique de la sur-couche ou sous-couche de l'instance NSX, tel qu'un hôte, une machine virtuelle, un routeur logique ou une passerelle de services Edge. Si la destination est une machine virtuelle qui exécute VMware Tools et est gérée au sein du même vCenter Server que celui que vous utilisez pour Traceflow, vous pouvez choisir la machine virtuelle et la carte réseau virtuelle dans une liste.

Sinon, vous devez renseigner l'adresse IP de destination (et l'adresse MAC pour un Traceflow en monodiffusion de la couche 2). Vous pouvez rassembler ces informations directement à partir du périphérique dans une console du périphérique ou une session SSH. Par exemple, s'il s'agit d'une machine virtuelle Linux, vous pouvez obtenir ses adresses IP et MAC en exécutant la commande ifconfig dans un terminal Linux. Pour un routeur logique ou une passerelle

de services Edge, vous pouvez rassembler les informations en utilisant la commande CLI show interface.

5 Pour un Traceflow en multidiffusion, entrez l'adresse du groupe de multidiffusion.

Le paquet est commuté uniquement à partir de l'adresse MAC.

Les adresses IP de la source et de la destination sont nécessaires pour que le paquet IP soit valide. Dans le cas d'une multidiffusion, l'adresse MAC est déduite de l'adresse IP.

6 Pour utiliser Traceflow en monodiffusion de la couche 2, entrez la longueur du préfixe du sous-réseau.

Le paquet est commuté uniquement à partir de l'adresse MAC. L'adresse MAC de destination est FF:FF:FF:FF:FF:FF.

Les adresses IP de la source et de la destination sont nécessaires pour que le paquet IP soit valide pour l'inspection du pare-feu.

7 Configurer les autres paramètres requis et optionnels.

8 Cliquez sur Trace.

Capture de paquets

Vous pouvez créer une session de capture de paquets pour des hôtes requis sur NSX Manager à l'aide de l'outil Capture de paquets. Une fois les paquets capturés, le fichier peut être téléchargé. Si votre tableau de bord indique qu'un hôte n'est pas en bon état, vous pouvez capturer des paquets pour cet hôte en particulier afin de poursuivre le dépannage.


VMware, Inc. 635

Pour chaque session sur l'hôte, la limite de fichier de capture de paquets est de 20 Mo et la limite de temps de capture est de 10 minutes. Une session restera active pendant 10 minutes ou jusqu'à ce que le fichier de capture atteigne 20 Mo ou 20 000 paquets, selon la limite atteinte en premier. Lorsque l'une des limites est atteinte, la session est arrêtée. Dans l'interface utilisateur, vous pouvez créer un maximum de 16 sessions de capture de paquets. Le plan de gestion NSX limite la taille totale de fichier capturé à travers toutes les sessions à 400 Mo. Une fois la taille du fichier de paquet combiné de 400 Mo atteinte, une nouvelle session de capture ne peut pas être créée. Cependant, vous pouvez télécharger les fichiers des sessions de capture de paquets précédentes. Si vous souhaitez démarrer une nouvelle session après que la limite de taille de fichier de 400 Mo est atteinte, vous devez effacer les anciennes sessions. Une session existante est supprimée une heure après la création de la session. Si vous redémarrez NSX, toutes les sessions existantes sont effacées.

Vous ne pouvez pas capturer les interfaces de VM NSX.

Vous pouvez effectuer les tâches suivantes :

Options Description

NSX Manager Sélectionnez l'instance de NSX Manager pour laquelle vous voulez créer une session de capture de paquets.

CRÉER UNE SESSION Pour démarrer une nouvelle session de capture de paquets, cliquez sur CRÉER UNE SESSION (CREATE SESSION). Pour plus de détails, reportez-vous à la section Créer une session de capture de paquets.

ARRÊTER Sélectionnez la session déjà démarrée, puis cliquez sur ARRÊTER (STOP). Une boîte de dialogue de confirmation s'affiche. Cliquez sur OUI (YES) pour arrêter la même session en cours.

REDÉMARRER Sélectionnez la session requise et cliquez sur REDÉMARRER (RESTART). Une boîte de dialogue de confirmation s'affiche. Cliquez sur OUI (YES) pour redémarrer à nouveau la même session.

Le redémarrage supprime la session actuelle, efface les fichiers capturés et démarre une nouvelle session avec les mêmes paramètres de configuration.

EFFACER Sélectionnez la session requise et cliquez sur EFFACER (CLEAR). Une boîte de dialogue de confirmation s'affiche. Cliquez sur OUI (YES) pour effacer la session.

TOUT EFFACER Si vous voulez effacer toutes les sessions, cliquez sur TOUT EFFACER (CLEAR ALL). Une boîte de dialogue de confirmation s'affiche. Cliquez sur OUI (YES) pour effacer toutes les sessions répertoriées.

TÉLÉCHARGER Sélectionnez la session requise et cliquez sur TÉLÉCHARGEMENT (DOWNLOAD). Vous pouvez également cliquer sur l'icône de téléchargement. Une boîte de dialogue de confirmation s'affiche. Cliquez sur OUI (YES) pour télécharger la session capturée.


VMware, Inc. 636

Vous pouvez afficher le nombre de sessions actives et la taille totale des fichiers. L'état de session peut être comme suit :

n Démarré : attendez que la session se termine.

n Erreur : pour afficher les détails de l'erreur, cliquez sur le lien.

n Terminé : lorsque la session est terminée, vous pouvez télécharger la session. Vous pouvez également redémarrer et effacer la session.

n Arrêté : la session qui a été forcée s'est arrêtée. Vous pouvez redémarrer ou effacer la session.

Créer une session de capture de paquets

Si votre tableau de bord indique qu'un hôte n'est pas en bon état, vous pouvez capturer des paquets pour cet hôte en particulier afin de poursuivre le dépannage.

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Outils (Tools) > Capture de paquets (Packet Capture).

2 Pour créer une session de capture de paquets, cliquez sur Créer une session (CREATE SESSION).

La fenêtre Créer une session (Create Session) s'affiche. Entrez les détails requis comme expliqué.

Paramètre Description

Onglet Général (General) L'onglet Général (General) est l'onglet par défaut. Entrez les détails requis comme expliqué.

Nom de la session Tapez le nom de la session.

Hôte Sélectionnez l'hôte requis dans la liste.

Adaptateur Vous pouvez sélectionner Adaptateur (Adapter) ou Filtre (Filter).

Si vous sélectionnez le type Adaptateur, en fonction du type d'adaptateur sélectionné, sélectionnez le nom de l'adaptateur. Si vous sélectionnez un type d'adaptateur, vous ne devez pas sélectionner Type de filtre (Filter Type) ou Mode de filtre (Filter Mode).

dvPort est spécifique à VdrPort sur l'hôte sélectionné. Les autres ports ne sont pas pris en charge.

Type de filtre Sélectionnez le type de filtre dans la liste qui est basée sur l'hôte sélectionné. La liste dépend des règles de pare-feu configurées.

Mode de filtre Sélectionnez l'un des modes de filtre suivants :

n Pré (Pre) : si vous voulez capturer des paquets avant l'application du filtre.

n Post : si vous voulez capturer des paquets après l'application du filtre.


VMware, Inc. 637

Paramètre Description

Type de trafic Sélectionnez le type de trafic Entrant (Incoming) ou Sortant (Outgoing).

Les paquets sont capturés selon la direction du flux applicable au commutateur virtuel.

Onglet Avancé (Advanced) Pour fournir des options supplémentaires afin de filtrer le paquet de capture, cliquez sur l'onglet Avancé (Advanced) et tapez les détails requis.

3 Pour créer une session, cliquez sur Enregistrer (SAVE).

La session de capture de paquets démarre.

Résultats

Vous pouvez afficher l'état de la session.

Étape suivante

n Vous pouvez télécharger la session capturée lorsqu'elle est terminée et vous pouvez afficher le fichier à l'aide d'outils tels que Wireshark.

n Vous pouvez désactiver la session après avoir téléchargé le fichier.

n Vous pouvez arrêter la session qui est en cours, si nécessaire.

Outil de collecte de bundle de support

Vous pouvez collecter les données de bundle de support pour les composants NSX comme NSX Manager, des hôtes, des dispositifs Edge et des contrôleurs. Ces bundles de support sont requis pour résoudre les problèmes liés à NSX. Vous pouvez télécharger ce bundle de support agrégé ou le charger directement sur un serveur distant. Vous pouvez afficher l'état global de collecte de données et l'état de chaque composant.

Vous pouvez également utiliser des API pour générer, télécharger, supprimer ou annuler la collecte de bundle.

Si la limite de taille dans NSX est atteinte avant que tous les journaux demandés soient générés, l'opération ignore la génération des journaux restants. Le bundle est généré avec des journaux partiels et est rendu disponible pour le téléchargement local ou un téléchargement FTP. L'état des journaux qui sont ignorés s'affiche.

Lorsque vous demandez une nouvelle demande de collecte de journaux, l'ancien bundle est supprimé. Le bundle est également supprimé après son téléchargement sur un serveur distant ou l'opération de génération des journaux est annulée.

Note Dans un bundle de support agrégé, le nombre maximal de nœuds (y compris NSX Manager, NSX Edge, l'hôte et NSX Controller) ne doit pas dépasser 200.


VMware, Inc. 638

Composant et types de journaux

Composant Type de journal Journal

NSX Manager S/O Journaux de NSX Manager

Hôte S/O n Journaux de VMkernel

n Journaux de vsfwd

n Journaux de netcpa

n syslog

n Informations système générales

Hôte Guest Introspection n Module hôte Guest Introspection (MUX)

n SVM Guest Introspection

Hôte Pare-feu n Journaux de vsfwd

n Journaux de netcpa

NSX Edge S/O Journaux de Edge pour les dispositifs Edge sélectionnés

NSX Controller S/O Journaux de contrôleur pour les contrôleurs sélectionnés

Les journaux suivants ne sont pas collectés :

n Journaux de vSphere ESX Agent Manager (EAM)

n Journaux des VM invitées

Note Le bundle de support ne contient pas tous les fichiers journaux de l'hôte pour lesquels vous devrez peut-être résoudre des problèmes d'hôte. Pour collecter les journaux complets de l'hôte, utilisez vCenter Server. Pour plus d'informations sur la collecte des fichiers journaux de vSphere, consultez la documentation Surveillance et performances de vSphere.

Rôle d'utilisateur et autorisations

Rôle d'utilisateur Opération autorisée

Administrateur NSX Tout

Administrateur de la sécurité Tout

Administrateur d'entreprise Tout

Auditeur Afficher l'état et télécharger un bundle

Créer un bundle de support

Vous pouvez collecter des données pour des composants NSX sous forme de bundle. Vous pouvez fournir le bundle au support technique VMware pour résoudre les problèmes avec NSX. Vous pouvez afficher l'état de collecte des données et télécharger le bundle ou le collecter à partir du serveur distant configuré.


VMware, Inc. 639


Vous devez utiliser NSX 6.4.0 ou version ultérieure pour utiliser cette fonctionnalité.

Procédure

1 Dans vSphere Web Client, accédez à Mise en réseau et sécurité (Networking & Security) > Outils (Tools) > Bundle de support (Support Bundle).

2 Sélectionnez l'instance de NSX Manager requise dans la liste.

3 Sélectionnez les composants à inclure dans le journal de support comme suit :

a Pour inclure des journaux NSX Manager, cochez la case Inclure les journaux NSX Manager (Include NSX Manager logs).

b Sélectionnez le type d'objet requis dans la liste. Vous pouvez sélectionner Hôtes (Hosts), Dispositifs Edge (Edges) et Contrôleurs (Controllers).

c En fonction du type d'objet sélectionné, les composants disponibles sont répertoriés dans la colonne Objets disponibles (Available Objects).

n Cochez la case en regard du composant que vous voulez inclure dans les journaux,

puis cliquez sur la touche fléchée ( ) pour déplacer le composant dans la liste Objets sélectionnés (Selected Objects).

n Pour supprimer des objets sélectionnés, cochez la case en regard du composant

que vous voulez supprimer, puis cliquez sur la touche fléchée ( ) pour déplacer le composant dans la liste Objets disponibles (Available Objects).

d Pour Hôtes (Hosts), vous pouvez sélectionner des options de journalisation supplémentaires comme Guest Introspection et Pare-feu (Firewall).

4 Définissez le délai d'expiration par défaut (en minutes) pour le processus de collecte de bundle par objet sélectionné dans la liste.

5 Cliquez sur RÉINITIALISER (RESET) pour effacer toutes les sélections et recommencer à nouveau.

Note Vous pouvez télécharger le bundle de support ou le charger sur un serveur distant. Si vous ne souhaitez pas charger le bundle sur un serveur distant, il sera disponible au téléchargement après sa génération.


VMware, Inc. 640

6 Pour charger le bundle sur un serveur distant, procédez comme suit :

a Cochez la case Télécharger le bundle de support sur le serveur de fichier distant (Upload support bundle to remote file server).

b Sélectionnez le protocole de transfert en tant que serveur SFTP ou FTP.

c Entrez les détails du serveur comme suit :

n Nom d'hôte/Adresse IP (Hostname/IP) : entrez un nom d'hôte ou l'adresse IP du serveur distant.

n Nom d'utilisateur (Username) et Mot de passe (Password) : entrez le nom d'utilisateur et le mot de passe du serveur distant.

n Port : le numéro de port est ajouté par défaut. Vous pouvez modifier le numéro de port, si nécessaire. Pour augmenter ou diminuer le nombre, cliquez sur la touche fléchée.

n Répertoire de sauvegarde (Backup Directory) : entrez le nom de votre répertoire de sauvegarde.

7 Cliquez sur Démarrer la collecte de bundles (Start Bundle Collection).

Résultats

Pour afficher les détails du bundle, cliquez sur le lien Afficher les détails du bundle (View Bundle Details).

Vous pouvez afficher l'état d'achèvement global (en pourcentage) et l'état de chaque composant. Vous pouvez afficher l'état d'achèvement du bundle (en pourcentage) en cours de chargement sur un serveur distant. L'état peut être comme suit :

n En attente (Pending) : attendez que le processus démarre.

n En cours (In Progress) : attendez la fin du processus.

n Ignoré (Skipped) : cet état peut apparaître en raison de l'espace disque limité. Le bundle est généré avec des journaux partiels et est rendu disponible pour un téléchargement local, ou bien il est chargé sur un serveur distant. L'état des journaux qui sont ignorés s'affiche.

n Échec (Failed) : la collecte de journaux a échoué pour différentes raisons, telles que des problèmes de connectivité ou une erreur de délai d'expiration. Cliquez sur DÉMARRER NOUVEAU (START NEW) pour redémarrer la collecte de données.

n Terminé (Completed) : vous pouvez maintenant télécharger le bundle ou l'afficher sur le serveur distant.

n Abandonné (Aborted) : le processus de génération du bundle est annulé.

n Partiellement terminé (Partially Completed) : les journaux sont collectés partiellement.

Le bundle est supprimé après l'une des tâches suivantes :

n Le bundle est chargé sur un serveur distant.


VMware, Inc. 641

n Vous démarrez une nouvelle demande de collecte de journaux.

Étape suivante

n Vous pouvez Télécharger un bundle de support après sa génération ou vous pouvez afficher le nom de fichier qui est chargé sur le serveur distant configuré.

n Cliquez sur DÉMARRER NOUVEAU (START NEW) pour redémarrer la collecte de données. Une boîte de dialogue de confirmation s'affiche. Cliquez sur Oui (Yes) pour démarrer une nouvelle demande de génération de données.

Télécharger un bundle de support

Vous pouvez télécharger un bundle de support une fois que le processus de collecte de données est terminé.


Le processus de collecte de données est terminé à 100 %.

Procédure

1 Accédez à la page Bundle de support (Support Bundle).

2 Cliquez sur TÉLÉCHARGER (DOWNLOAD).

3 Le nom de fichier du bundle de support se terminant par tar.gz est téléchargé dans votre dossier Téléchargements par défaut. Certains navigateurs peuvent modifier l'extension de fichier.

Par exemple, le nom du fichier de bundle de support a un format similaire à VMware-NSX-TechSupport-Bundle-YYYY-MM-DD_HH-MM-SS.tar.gz.

4 Cliquez sur le lien Supprimer le bundle de support (DELETE SUPPORT BUNDLE).


5 Cliquez sur Oui (Yes). Les fichiers journaux générés dans cette demande particulière sont supprimés.

Étape suivante

Vous pouvez fournir le bundle de support téléchargé au support technique VMware.

Annuler le processus de génération de bundle de support

Vous pouvez annuler le processus de collecte de données de bundle de support avec l'état en cours ou en attente. Vous devez supprimer le bundle de support après l'annulation du processus.


La génération de bundles de support est en cours.


VMware, Inc. 642

Procédure

1 Accédez à la page Bundle de support (Support Bundle).

2 Si la génération de journaux est en cours, vous pouvez annuler le processus. Cliquez sur ABANDONNER LA GÉNÉRATION (ABORT GENERATION).


3 Cliquez sur OK pour annuler le processus.

La page Bundle de support (Support Bundle) affiche la collecte de données avec l'état Abandonné (Aborted).

4 Cliquez sur le lien Supprimer le bundle de support (DELETE SUPPORT BUNDLE).


5 Cliquez sur Oui (Yes). Les fichiers journaux générés dans cette demande particulière sont supprimés.

Résultats

Le processus de collecte des données du bundle de support est annulé.

Étape suivante

Cliquez sur DÉMARRER NOUVEAU (START NEW) pour redémarrer la collecte de données. Une boîte de dialogue de confirmation s'affiche. Cliquez sur Oui (Yes) pour démarrer une nouvelle demande de génération de données.


VMware, Inc. 643

Scénarios de récupération d'urgence avec cross-vCenter NSX

24Company ACME Enterprise a deux sites de centre de données privés aux États-Unis : un à Palo Alto et l'autre à Austin. Lors d'une maintenance planifiée ou d'une panne imprévue sur le site de Palo Alto, la société récupère toutes les applications sur son site d'Austin.

Actuellement, ACME Enterprise réalise cette récupération d'urgence de manière traditionnelle, en effectuant les tâches suivantes manuellement :

n Remappage d'adresse IP

n Synchronisation des stratégies de sécurité

n Mise à jour d'autres services qui utilisent des adresses IP d'application, tels que DNS, stratégies de sécurité et d'autres services.

Cette approche traditionnelle de la récupération d'urgence prend beaucoup de temps pour terminer la récupération à 100 % sur son site d'Austin. Pour réaliser une récupération d'urgence rapide avec une interruption de service minimale, ACME Enterprise décide de déployer NSX Data Center 6.4.5 ou version ultérieure dans un environnement cross-vCenter, comme indiqué dans le diagramme de topologie logique suivant.

VMware, Inc. 644

Figure 24-1. Topologie de Cross-vCenter NSX multisite en mode actif-passif et sortie locale désactivée

Passerelles ESG

(actives)

Cluster de contrôleurs universels

Site 1(principal) Routeur

physique

Site 2(secondaire)

Routeur logique distribué universel (UDLR)

Pare-feu

HomologationBGPHomologation

BGP


BGP

vCenter Server 1

Instance principale de NSX

Manager 1

Réseau étendu

DLRPasserelles ESG (passives)

Cluster de contrôleurs universels


BGP


BGP

vCenter Server 2

Instance secondaire

de NSX Manager 2

Commutateur logique universel de transit

Stockage local Stockage local

Stockage partagé

VMware ESXi VMware ESXi

Hôte ESXi Hôte ESXi


Pare-feu distribué universel (UDFW)

Cluster de gestion

Cluster Edge

Cluster de calcul

VMware ESXiVMware ESXi

Hôte ESXi Hôte ESXi

Cluster de gestion

Cluster Edge

Cluster de calcul

Pare-feu

Commutateur logique universel 2

Commutateur logique universel 1

Routeurphysique


VMware, Inc. 645

Dans cette topologie, le site 1 de Palo Alto est le centre de données (protégé) principal et le site 2 d'Austin est le centre de données secondaire (récupération). Chaque site dispose d'un serveur vCenter Server unique, qui est couplé avec sa propre instance de NSX Manager. L'instance de NSX Manager sur le site 1 (Palo Alto) a le rôle d'une instance principale de NSX Manager et l'instance de NSX Manager sur le site 2 (Austin) a le rôle d'une instance secondaire de NSX Manager.

ACME Enterprise déploie Cross-vCenter NSX sur les deux sites en mode actif-passif. 100 % des applications (charges de travail) s'exécutent sur le site 1 à Palo Alto et 0 % des applications s'exécute sur le site 2 à Austin. Autrement dit, par défaut, le site 2 est en mode passif ou en veille.

Les deux sites disposent de leurs propres clusters Calcul, Edge et Gestion et passerelles ESG qui sont locaux sur ce site. Comme la sortie locale est désactivée sur l'UDLR, une seule VM de contrôle de l'UDLR est déployée sur le site principal. La VM de contrôle de l'UDLR est connectée au commutateur logique de transport universel.

L'administrateur NSX crée des objets universels qui étendent deux domaines vCenter sur le site 1 et le site 2. Les réseaux logiques universels utilisent la mise en réseau universelle et des objets de sécurité, tels que des commutateurs logiques universels (ULS), des routeurs logiques distribués universels (UDLR) et un pare-feu distribué universel (UDFW).

L'administrateur effectue les tâches de configuration suivantes sur le site 1 :

n Il crée un zone de transport universelle à partir du serveur NSX Manager principal.

n Il déploie un cluster de contrôleurs universel avec trois nœuds de contrôleur.

n Il ajoute les clusters Calcul, Edge et Gestion locaux à la zone de transport universelle à partir du serveur NSX Manager principal.

n Il désactive la sortie locale, active ECMP et active le redémarrage normal sur la VM de contrôle de l'UDLR (VM du dispositif Edge).

n Il configure le routage dynamique à l'aide de BPG entre les passerelles ESG (Edge Services Gateway) et les VM de contrôle de l'UDLR.

n Il désactive ECMP et active le redémarrage normal sur les deux passerelles ESG.

n Il désactive le pare-feu sur les deux passerelles ESG, car ECMP est activé sur la VM de contrôle de l'UDLR et pour s'assurer que l'ensemble du trafic est autorisé.

Le diagramme suivant présente un exemple de configuration des interfaces de liaison montante et de liaison descendante sur les passerelles ESG et les UDLR sur le site 1.


VMware, Inc. 646

Figure 24-2. Site 1 : exemple de configuration de l'interface

Passerelles ESG (actives)

Site 1

172.16.2.1/24

172.16.1.1/24

172.16.1.2/24

192.168.1.1/24 192.168.1.2/24

192.168.1.3/24

172.16.1.3/24

Routeur logique distribué universel (UDLR)

Routeur physique

Commutateur logique universel de transit

L'administrateur effectue les tâches de configuration suivantes sur le site 2 :

n Il ajoute les clusters Calcul, Edge et Gestion locaux à la zone de transport universelle à partir du serveur NSX Manager secondaire.

n Il spécifie des interfaces de liaison descendante similaires sur le passerelles ESG, telles que configurées sur les passerelles ESG du site 1.

n Il spécifie une configuration BGP similaire sur les passerelles ESG, telles que configurées sur les passerelles ESG du site 1.

n Il met les passerelles ESG hors tension sur le site secondaire lorsque le site 1 est actif.


VMware, Inc. 647

Maintenant, passons en revue les étapes que l'administrateur NSX peut effectuer pour réaliser une récupération d'urgence dans les scénarios suivants :

n Scénario 1 : panne planifiée du site complet sur le site 1

n Scénario 2 : panne non planifiée du site complet sur le site 1

n Scénario 3 : retour arrière complet sur le site 1


n Scénario 1 : panne planifiée du site complet

n Scénario 2 : panne non planifiée du site complet

n Scénario 3 : retour arrière complet sur le site principal

Scénario 1 : panne planifiée du site complet

Dans ce scénario, l'administrateur NSX effectue une maintenance planifiée de l'infrastructure de réseau sur le site 1. Dans la fenêtre de maintenance planifiée, l'administrateur arrête le site 1 et effectue un basculement homogène vers le site 2 secondaire.

L'administrateur NSX souhaite atteindre les objectifs clé suivants :

n Réaliser un basculement de site complet sur le site 2 avec une interruption de service minimale.

n Conserver les adresses IP d'application du site 1 sur le site 2 après le basculement.


VMware, Inc. 648

n Récupérer automatiquement tous les paramètres de l'interface Edge et les paramètres de configuration de protocole BGP sur le site 2.

Note n L'administrateur peut effectuer les tâches de basculement manuellement en utilisant vSphere

Web Client ou en exécutant les REST API NSX. De plus, l'administrateur peut automatiser certaines tâches de basculement en exécutant un fichier de script qui contient les API à exécuter pendant le basculement. Ce scénario explique les étapes de basculement manuel à l'aide de vSphere Web Client. Toutefois, si une étape nécessite l'utilisation de l'interface de ligne de commande ou des REST API NSX, des instructions adéquates sont fournies.

n Dans ce scénario, le workflow de récupération d'urgence est spécifique à la topologie expliquée précédemment, qui a une instance principale de NSX Manager et une instance secondaire de NSX Manager unique. Le workflow avec plusieurs instances secondaires de NSX Manager n'est pas concerné par ce scénario.

Important Lorsque le basculement vers le site 2 secondaire est en cours ou partiellement terminé, évitez de mettre sous tension NSX Manager sur le site 1 pour le retour arrière vers le site 1 principal. Vérifiez que le processus de basculement est d'abord terminé à l'aide de la procédure dans ce scénario. Seulement après la réalisation d'un basculement propre vers le site 2 secondaire, effectuez la restauration ou le retour arrière de toutes les charges de travail vers le site 1 principal d'origine. Pour obtenir des instructions détaillées sur le processus de retour arrière, reportez-vous à la section Scénario 3 : retour arrière complet sur le site principal.


n NSX Data Center 6.4.5 ou version ultérieure est installé sur les sites 1 et 2.

n Les serveurs vCenter Server sur les sites 1 et 2 sont déployés avec Enhanced Linked Mode.

n Sur les sites 1 et 2, les conditions suivantes sont réunies :

n Aucune stratégie de sécurité spécifique à l'application n'est configurée sur un pare-feu non-NSX, le cas échéant.

n Aucune règle de pare-feu spécifique à l'application n'est configurée sur un pare-feu non-NSX, le cas échéant.

n Le pare-feu est désactivé sur les deux passerelles ESG, car ECMP est activé sur les UDLR et pour vous assurer que tout le trafic est autorisé.

n Sur le site 2, les conditions suivantes sont réunies avant le basculement :

n Des interfaces de liaison descendante similaires sont configurées manuellement sur les passerelles ESG comme elles sont configurées sur le site 1.

n Une configuration BGP est effectuée manuellement sur les passerelles ESG qui est similaire à la configuration sur le site 1.

n Des passerelles ESG sont hors tension lorsque le site 1 principal est actif ou en cours d'exécution.


VMware, Inc. 649

Procédure

1 Arrêtez le site 1 à la date planifiée.

a Mettez hors tension l'instance principale de NSX Manager et les trois nœuds de contrôleur associés à l'instance principale de NSX Manager.

b Sur la page Installation et mise à niveau, accédez à Gestion (Management) > NSX Managers.

n Si vous actualisez la page NSX Managers dans la session de navigateur actuelle, le rôle de l'instance principale de NSX Manager devient Inconnu.

n Si vous vous déconnectez de vSphere Web Client et vous reconnectez ou si vous démarrez une nouvelle session de navigateur vSphere Web Client, l'instance principale de NSX Manager ne s'affiche plus sur la page NSX Managers.

c Accédez à Mise en réseau et sécurité (Networking & Security) > Tableau de bord (Dashboard) > Présentation (Overview).

n Si vous actualisez la page Tableau de bord dans la session de navigateur actuelle, le message d'erreur suivant s'affiche : Impossible d'établir la connexion avec NSX Manager. Contactez l'administrateur.. Cette erreur signifie que l'instance

principale de NSX Manager n'est plus accessible.

n Si vous vous déconnectez de vSphere Web Client et vous reconnectez ou si vous démarrez une nouvelle session de navigateur vSphere Web Client, l'instance principale de NSX Manager n'est plus disponible dans le menu déroulant NSX Manager.

d Accédez à Mise en réseau et sécurité (Networking & Security) > Installation et mise à niveau (Installation and Upgrade) > Gestion (Management) > Nœuds de NSX Controller (NSX Controller Nodes). Sélectionnez l'instance secondaire de NSX Manager et vérifiez que l'état des trois nœuds de contrôleur est Déconnecté.

e Mettez hors tension tous les dispositifs NSX Edge et la VM de contrôle du routeur logique distribué universel (UDLR).

2 Donnez à l'instance secondaire de NSX Manager un rôle principal.

a Sur la page Installation et mise à niveau, accédez à Gestion (Management) > NSX Managers.

b Sélectionnez l'instance secondaire de NSX Manager.


VMware, Inc. 650

c Cliquez sur Actions > Se déconnecter de l'instance principale de NSX Manager (Disconnect from Primary NSX Manager). Lorsque vous êtes invité à passer à l'opération de déconnexion, cliquez sur Oui (Yes).

L'instance secondaire de NSX Manager est déconnectée de l'instance principale de NSX Manager et reçoit le rôle Transit.

d Cliquez sur Actions > Attribuer un rôle principal (Assign Primary Role).

L'instance secondaire de NSX Manager sur le site 2 obtient un rôle principal.

Attention Étant donné que la sortie locale est désactivée sur l'UDLR, la VM de contrôle de l'UDLR (VM du dispositif Edge) est déployée uniquement sur le site principal d'origine (site 1). Avant l'échec du site 1, la VM de contrôle de l'UDLR n'est pas disponible sur le site secondaire (site 2), qui a maintenant un rôle principal. Par conséquent, redéployez la VM de contrôle de l'UDLR sur le site principal promu (site 2) avant de redéployer le cluster NSX Controller.

Si les nœuds de contrôleur sont déployés avant la VM de contrôle de l'UDLR, les tables de transfert sur l'UDLR sont vidées. Cela entraîne une interruption de service juste après le déploiement du premier nœud de contrôleur sur le site 2. Cette situation peut entraîner des interruptions de communication. Pour éviter cette situation, déployez la VM de contrôle de l'UDLR avant les nœuds NSX Controller.

3 Mettez sous tension les instances de NSX Edge qui sont hors tension et déployez la VM de contrôle de l'UDLR (VM du dispositif Edge) sur le site 2 secondaire (promu principal).

Pour obtenir des instructions sur le déploiement de la VM de contrôle d'UDLR, consultez le Guide d'installation de cross-vCenter NSX.

Lors du déploiement de la VM de contrôle d'UDLR, configurez les paramètres de ressources suivants :

n Sélectionnez le centre de données site 2.

n Sélectionnez le cluster/pool de ressources.

n Sélectionnez la banque de données.

Note Après le déploiement de la VM de contrôle de l'UDLR, les paramètres de configuration suivants sont automatiquement récupérés sur le site 2 :

n Configuration du routage du protocole BGP

n Configuration du mot de passe BGP

n Paramètres de la liaison montante et de l'interface interne

4 Déployez les trois nœuds de cluster NSX Controller sur le site 2 (promu principal).

Pour obtenir des instructions détaillées sur le déploiement des instances de NSX Controller, consultez le Guide d'installation de cross-vCenter NSX.


VMware, Inc. 651

5 Mettez à jour l'état du cluster NSX Controller.

a Sur la page Installation et mise à niveau, cliquez sur NSX Managers.

b Sélectionnez l'instance principale de NSX Manager promue.

c Cliquez sur Actions > Mettre à jour l'état du contrôleur (Update Controller State).

6 Forcez le service de routage de synchronisation sur chaque cluster sur le site 2.

a Sur la page Installation et mise à niveau, cliquez sur Préparation de l'hôte (Host Preparation).


c Sélectionnez un cluster à la fois, puis cliquez sur Actions > Forcer les services de synchronisation (Force Sync Services).

d Sélectionnez Routage (Routing) et cliquez sur OK.

7 Migrez les VM de charge de travail du site 1 vers le site 2.

Note Les VM de charge de travail existent toujours sur le site 1. Par conséquent, vous devez migrer manuellement les VM de charge de travail vers le site 2.

Résultats

La récupération manuelle des composants de NSX et le basculement du site principal (site 1) vers le site secondaire (site 2) est terminée.

Étape suivante

Vérifiez que le basculement vers le site 2 est terminé à 100 % en procédant comme suit sur le site 2 (site principal promu) :

1 Vérifiez que l'instance de NSX Manager a le rôle principal.

2 Vérifiez si la VM de contrôle (VM du dispositif Edge) est déployée sur l'UDLR.

3 Vérifiez que l'état de tous les nœuds de cluster de contrôleurs est Connecté.

4 Vérifiez que l'état de préparation de l'hôte est Vert.

5 Connectez-vous à la console CLI de la VM de contrôle de l'UDLR (VM du dispositif Edge) et procédez comme suit :

a Vérifiez que tous les voisins BGP sont établis et que l'état est actif en exécutant la commande show ip bgp neighbors .

b Vérifiez que tous les itinéraires BGP sont en cours d'apprentissage par tous les voisins BGP en exécutant la commande show ip route bgp.

Après un basculement complet vers le site 2, toutes les charges de travail s'exécutent sur le site secondaire (promu principal) et le trafic est acheminé via l'UDLR et les instances de NSX Edge sur le site 2.


VMware, Inc. 652

Lorsque la maintenance planifiée est terminée, l'administrateur met sous tension l'instance de NSX Manager et les nœuds de cluster de contrôleurs sur le site 1 principal, puis il restaure toutes les charges de travail sur le site 1 principal d'origine. Pour des instructions détaillées sur l'exécution d'un retour arrière manuel vers le site principal, reportez-vous à la section Scénario 3 : retour arrière complet sur le site principal.

Scénario 2 : panne non planifiée du site complet

Dans ce scénario, une catastrophe naturelle touche le site 1 principal à Palo Alto et le site 1 s'arrête complètement. L'administrateur NSX effectue un basculement manuel vers le site 2 secondaire à Austin.

Comme le site principal s'est arrêté en raison de circonstances imprévues, l'administrateur ne peut effectuer aucune préparation de basculement avant la panne réelle.


n Réaliser un basculement de site complet sur le site 2 avec une interruption de service minimale.

n Conserver les adresses IP d'application du site 1 sur le site 2 après le basculement.


Note n L'administrateur peut effectuer les tâches de basculement manuellement en utilisant vSphere

Web Client ou en exécutant les REST API NSX. De plus, l'administrateur peut automatiser certaines tâches de basculement en exécutant un fichier de script qui contient les API à exécuter pendant le basculement. Ce scénario explique les étapes de basculement manuel à l'aide de vSphere Web Client. Toutefois, si une étape nécessite l'utilisation de l'interface de ligne de commande ou des REST API NSX, des instructions adéquates sont fournies.


Important Si le site 1 principal est mis sous tension alors que le basculement vers le site 2 secondaire est en cours, commencez par vous assurer que le processus de basculement est effectué à l'aide de la procédure dans ce scénario. Seulement après la réalisation d'un basculement propre vers le site 2 secondaire, effectuez la restauration ou le retour arrière de toutes les charges de travail vers le site 1 principal d'origine. Pour obtenir des instructions détaillées sur le processus de retour arrière, reportez-vous à la section Scénario 3 : retour arrière complet sur le site principal.


VMware, Inc. 653








n Sur le site 2, les conditions suivantes sont réunies avant le basculement :

n Des interfaces de liaison descendante similaires sont configurées manuellement sur les passerelles ESG comme elles sont configurées sur le site 1.

n Une configuration BGP est effectuée manuellement sur les passerelles ESG qui est similaire à la configuration sur le site 1.

n Des passerelles ESG sont hors tension lorsque le site 1 principal est actif ou en cours d'exécution.

Procédure

1 Vérifiez que l'instance principale de NSX Manager sur le site 1 est arrêtée.


n Si vous actualisez la page NSX Managers dans la session de navigateur actuelle, le rôle de l'instance principale de NSX Manager devient Inconnu.

n Si vous vous déconnectez de vSphere Web Client et vous reconnectez ou si vous démarrez une nouvelle session de navigateur vSphere Web Client, l'instance principale de NSX Manager ne s'affiche plus sur la page NSX Managers.

b Accédez à Mise en réseau et sécurité (Networking & Security) > Tableau de bord (Dashboard) > Présentation (Overview).

n Si vous actualisez la page Tableau de bord dans la session de navigateur actuelle, le message d'erreur suivant s'affiche : Impossible d'établir la connexion avec NSX Manager. Contactez l'administrateur.. Cette erreur signifie que l'instance

principale de NSX Manager n'est plus accessible.

n Si vous vous déconnectez de vSphere Web Client et vous reconnectez ou si vous démarrez une nouvelle session de navigateur vSphere Web Client, l'instance principale de NSX Manager n'est plus disponible dans le menu déroulant NSX Manager.


VMware, Inc. 654

2 Donnez à l'instance secondaire de NSX Manager un rôle principal.


b Sélectionnez l'instance secondaire de NSX Manager.

c Cliquez sur Actions > Se déconnecter de l'instance principale de NSX Manager (Disconnect from Primary NSX Manager). Lorsque vous êtes invité à passer à l'opération de déconnexion, cliquez sur Oui (Yes).

L'instance secondaire de NSX Manager est déconnectée de l'instance principale de NSX Manager et reçoit le rôle Transit.

d Cliquez sur Actions > Attribuer un rôle principal (Assign Primary Role).

L'instance secondaire de NSX Manager sur le site 2 obtient un rôle principal.

Attention Étant donné que la sortie locale est désactivée sur l'UDLR, la VM de contrôle de l'UDLR (VM du dispositif Edge) est déployée uniquement sur le site principal d'origine (site 1). Avant l'échec du site 1, la VM de contrôle de l'UDLR n'est pas disponible sur le site secondaire (site 2), qui a maintenant un rôle principal. Par conséquent, redéployez la VM de contrôle de l'UDLR sur le site principal promu (site 2) avant de redéployer le cluster NSX Controller.

Si les nœuds de contrôleur sont déployés avant la VM de contrôle de l'UDLR, les tables de transfert sur l'UDLR sont vidées. Cela entraîne une interruption de service juste après le déploiement du premier nœud de contrôleur sur le site 2. Cette situation peut entraîner des interruptions de communication. Pour éviter cette situation, déployez la VM de contrôle de l'UDLR avant les nœuds NSX Controller.

3 Mettez sous tension les instances de NSX Edge qui sont hors tension et déployez la VM de contrôle de l'UDLR (VM du dispositif Edge) sur le site 2 secondaire (promu principal).

Pour obtenir des instructions sur le déploiement de la VM de contrôle d'UDLR, consultez le Guide d'installation de cross-vCenter NSX.

Lors du déploiement de la VM de contrôle d'UDLR, configurez les paramètres de ressources suivants :

n Sélectionnez le centre de données site 2.

n Sélectionnez le cluster/pool de ressources.

n Sélectionnez la banque de données.

Note Après le déploiement de la VM de contrôle de l'UDLR, les paramètres de configuration suivants sont automatiquement récupérés sur le site 2 :

n Configuration du routage du protocole BGP

n Configuration du mot de passe BGP

n Paramètres de la liaison montante et de l'interface interne


VMware, Inc. 655

4 Déployez les trois nœuds de cluster NSX Controller sur le site 2 (promu principal).

Pour obtenir des instructions détaillées sur le déploiement des instances de NSX Controller, consultez le Guide d'installation de cross-vCenter NSX.

5 Mettez à jour l'état du cluster NSX Controller.




6 Forcez le service de routage de synchronisation sur chaque cluster sur le site 2.

a Sur la page Installation et mise à niveau, cliquez sur Préparation de l'hôte (Host Preparation).


c Sélectionnez un cluster à la fois, puis cliquez sur Actions > Forcer les services de synchronisation (Force Sync Services).

d Sélectionnez Routage (Routing) et cliquez sur OK.



Résultats

La récupération manuelle des composants de NSX et le basculement du site principal (site 1) vers le site secondaire (site 2) est terminée.

Étape suivante

Vérifiez que le basculement vers le site 2 est terminé à 100 % en procédant comme suit sur le site 2 (site principal promu) :




4 Vérifiez que l'état de préparation de l'hôte est Vert.





VMware, Inc. 656

Après un basculement complet vers le site 2, toutes les charges de travail s'exécutent sur le site secondaire (promu principal) et le trafic est acheminé via l'UDLR et les instances de NSX Edge sur le site 2.

Scénario 3 : retour arrière complet sur le site principal

Dans ce scénario, le site 1 principal est arrêté en raison d'une maintenance planifiée ou d'une panne de courant imprévue. Toutes les charges de travail sont exécutées sur le site 2 secondaire (site principal promu) et le trafic est acheminé via l'UDLR et les dispositifs NSX Edge sur le site 2. Désormais, le site 1 principal d'origine est de nouveau actif et l'administrateur de NSX souhaite récupérer les composants de NSX et restaurer toutes les charges de travail sur le site 1 principal d'origine.


n Réaliser un retour arrière complet de toutes les charges de travail du site 2 vers le site 1 principal d'origine avec une interruption de service minimale.

n Conserver les adresses IP d'application après le retour arrière vers le site 1.


Note n L'administrateur peut effectuer les tâches de retour arrière manuellement en utilisant vSphere

Web Client ou en exécutant les REST API NSX. De plus, l'administrateur peut automatiser certaines tâches de retour arrière en exécutant un fichier de script qui contient les API à exécuter pendant le retour arrière. Ce scénario explique les étapes de retour arrière manuel à l'aide de vSphere Web Client. Toutefois, si une étape nécessite l'utilisation de l'interface de ligne de commande ou des REST API NSX, des instructions adéquates sont fournies.









VMware, Inc. 657


n Sur le site 2 (promu principal), aucune modification n'est apportée aux composants logiques universels avant le lancement du processus de retour arrière.

Procédure

1 Lorsque le site 1 principal est de nouveau actif, vérifiez que l'instance de NSX Manager et les nœuds de cluster de contrôleurs sont sous tension et en cours d'exécution.

a Accédez à Mise en réseau et sécurité (Networking & Security) > Tableau de bord (Dashboard) > Présentation (Overview).

b Sélectionnez l'instance principale de NSX Manager dans le menu déroulant.

c Dans le volet Présentation du système, vérifiez l'état de l'instance de NSX Manager et des nœuds de cluster de contrôleurs.

Un point vert plein en regard de l'instance de NSX Manager et des nœuds de contrôleur signifie que les deux composants de NSX sont sous tension et en cours d'exécution.

2 Avant de lancer le processus de retour arrière, vérifiez ce qui suit :

a Sur la page Installation et mise à niveau, accédez à Gestion (Management) > NSX Managers et voyez que les deux instances de NSX Manager sur les deux sites ont un rôle principal.

b Sur la page Nœuds de NSX Controller, vérifiez que les nœuds de cluster de contrôleurs universels (UCC) existent sur les deux sites.

3 Arrêtez les trois nœuds UCC associés au site 2 (promu principal).

4 Sur la page Nœuds de NSX Controller, supprimez les trois nœuds UCC associés au site 2 (promu principal).

Info-bulle Vous pouvez utiliser les REST API de NSX pour supprimer un nœud de contrôleur à la fois en exécutant l'appel API suivant : https://NSX_Manager_IP/api/2.0/vdn/controller/{controllerID}. Toutefois, forcez la suppression du dernier nœud de contrôleur en exécutant

l'appel API suivant : https://NSX_Manager_IP/api/2.0/vdn/controller/{controllerID}?forceRemoval=true.

5 Assurez-vous qu'il n'y a aucune modification dans les composants universels sur le site 2 (promu principal) avant de passer à l'étape suivante.


VMware, Inc. 658

6 Supprimez le rôle principal sur l'instance de NSX Manager sur le site 2 (promu principal).


b Sélectionnez l'instance de NSX Manager sur le site 2, puis cliquez sur Actions > Supprimer un rôle principal (Remove Primary Role).

Un message vous invite à vérifier que les contrôleurs détenus par l'instance de NSX Manager sur le site 2 sont supprimés avant de supprimer le rôle principal.

c Cliquez sur Oui (Yes).

L'instance de NSX Manager sur le site 2 reçoit le rôle Transit.

7 Sur l'instance principale de NSX Manager sur le site 1, supprimez l'instance secondaire de NSX Manager associée.

a Sur la page NSX Managers, sélectionnez l'instance de NSX Manager associée au site 1.

b Cliquez sur Actions > Supprimer un gestionnaire secondaire (Remove Secondary Manager).

c Cochez la case Effectuer l'opération même si NSX Manager est inaccessible (Perform Operation even if NSX Manager is inaccessible).

d Cliquez sur Supprimer (Remove).

8 Enregistrez l'instance de NSX Manager sur le site 2, qui est en Transit, comme l'instance secondaire de l'instance principale de NSX Manager sur le site 1.

Attention Comme la sortie locale est désactivée sur la VM de contrôle de l'UDLR (VM du dispositif Edge), la VM de contrôle est automatiquement supprimée. Par conséquent, avant l'enregistrement de l'instance de NSX Manager sur le site 2 (actuellement avec le rôle Transit) avec un rôle secondaire, vérifiez que les nœuds de cluster de contrôleurs sur le site 2 sont supprimés. Si les nœuds de cluster de contrôleurs ne sont pas supprimés, une interruption de trafic réseau peut se produire.


b Sélectionnez l'instance de NSX Manager associée au site 1.

c Cliquez sur Actions > Ajouter un gestionnaire secondaire (Add Secondary Manager).

d Sélectionnez l'instance de NSX Manager associée au site 2.

e Entrez le nom d'utilisateur et le mot de passe de l'instance de NSX Manager sur le site 2, puis acceptez le certificat de sécurité.

f Cliquez sur Ajouter (Add).


VMware, Inc. 659

Après avoir terminé toutes ces sous-étapes, observez les résultats suivants :

n L'instance de NSX Manager sur le site 1 a un rôle principal et l'instance de NSX Manager sur le site 2 a un rôle secondaire.

n Sur l'instance de NSX Manager sur le site 2, trois nœuds de contrôleur cachés s'affichent avec l'état Déconnecté. Le message suivant s'affiche : Les propriétés du cluster de contrôleurs peuvent être lues ou mises à jour uniquement sur un gestionnaire principal ou autonome.

Ce message signifie que l'instance secondaire de NSX Manager sur le site 2 ne peut pas établir la connectivité avec les nœuds de cluster de contrôleurs universels sur l'instance principale de NSX Manager sur le site 1. Toutefois, après quelques secondes, la connexion est rétablie, et l'état passe sur Connecté.

9 Mettez sous tension la VM de contrôle (VM du dispositif Edge) sur l'UDLR et les dispositifs NSX Edge sur le site 1.

a Accédez à Mise en réseau (Networking) > VM (VMs) > Machines virtuelles (Virtual Machines).

b Cliquez avec le bouton droit sur le nom de VM (ID de la VM) de la VM de contrôle de l'UDLR et cliquez sur Mise sous tension (Power on).

c Répétez l'étape (b) pour les VM du dispositif Edge que vous souhaitez mettre sous tension.

d Attendez que la VM de contrôle de l'UDLR et les VM du dispositif Edge soient opérationnelles avant de passer à l'étape suivante.

10 Vérifiez que la VM de contrôle de l'UDLR (VM du dispositif Edge) associée à l'instance secondaire de NSX Manager sur le site 2 est automatiquement supprimée.

a Accédez à Mise en réseau et sécurité (Networking & Security) > Dispositifs NSX Edge (NSX Edges).

b Sélectionnez l'instance secondaire de NSX Manager et cliquez sur un UDLR.

c Sur la page État, vous voyez qu'aucune VM de dispositif Edge n'est déployée sur l'UDLR.

11 Mettez à jour l'état de NSX Controller sur le site 1 principal afin que les services du contrôleur soient synchronisés avec le site 2 secondaire.


b Sélectionnez l'instance principale de NSX Manager sur le site 1.





VMware, Inc. 660

Résultats

Le retour arrière manuel de tous les composants et charges de travail de NSX du site secondaire (site 2) vers le site principal (site 1) est terminé.

Étape suivante

Vérifiez que le retour arrière vers le site 1 principal est terminé à 100 % en procédant comme suit sur le site 1 :




4 Effectuez un contrôle de santé de communication sur chaque cluster d'hôtes préparé pour NSX.

a Accédez à Installation et mise à niveau (Installation and Upgrade) > Préparation de l'hôte (Host Preparation).

b Sélectionnez l'instance de NSX Manager sur le site 1.

c Sélectionnez un cluster à la fois, puis vérifiez si l'état de santé du canal de communication du cluster est actif.

d Pour chaque hôte du cluster, vérifiez que l'état de santé du canal de communication de l'hôte est actif.

e Vérifiez que l'état de préparation de l'hôte est Vert.




Après un retour arrière complet vers le site 1, toutes les charges de travail s'exécutent sur le site 1 principal et le trafic est acheminé via l'UDLR et les instances de NSX Edge sur le site 1.


VMware, Inc. 661

NSX Guide d'administration de - docs.vmware.com

Documents