VMware – Le type de connexion réseau
Nous allons décrire dans cet article les différents types de connexions réseau que nous pouvons paramétrer sous vSphere 5.x
Equilibrage de charge réseau & Failover
1 – Route Base on Physical NIC load
➢ DvSwitch obligatoire
➢ Basé sur la charge des cartes réseaux physiques
➢ Une inspection de la charge toutes les 30s (si 30s > 75% bascule)
➢ Réattribution des groups de ports vers une carte moins chargée
➢ Règles d’associations recommandées pour NIOC
(Network I/O Control)
➢ Pas de configuration particulière sur les switchs physiques
2 – Network Failure Detection
Deux modes de détection :
2.1 -Link Status Only
Repose uniquement sur l'état du lien fourni par l'adaptateur réseau. Cette option détecte les pannes, telles que les débranchements et les interruptions d'alimentation du commutateur physique, mais pas les erreurs de configuration, telles qu'un port de commutateur physique bloqué par STP ou configuré sur un VLAN erroné, ou les débranchements intervenant de l'autre côté d'un commutateur physique.
2.2 -Beacon probing
Envoie et détecte des sondes d'incident sur tous les adaptateurs réseau et utilise cette information pour déterminer les défaillances de liens. Cette option détecte de nombreuses pannes, qui ne sont pas détectées à l'aide du seul état de lien.
Filtrage du trafic indésirable et des attaques
.
Le filtrage recherche dans les entêtes des paquets Filtrage du trafic en fonction de l’entête du paquet
Classification des paquets :
➢ Mac Source adresse, destination adresse
➢ System trafic Qualifier: vMotion, mgmt, FT
➢ IP qualifiers: protocole, IP Source, IP destination et numéro de port
Une fois les paquets qualifiés, il est possible d’appliquer le filtrage sur :
➢ Le trafic entrant
➢ Le trafic Sortant
➢ Le trafic dans les deux sens
QoS
La QoS (Quality of services) est appliquée en cas de congestion du réseau pour gérer la priorité des flux et éviter les drops de paquet.
Link Aggregation LACP
Création d’un lien logique reposant sur plusieurs liens physiques
Meilleur répartition et redondance de la bande passante
Négociation automatique entre vDS et switch physique grâce aux échanges de trames LACPDU (Link Aggregation Control Protocol Data Unit)
Détecte les pannes de lien et les erreurs de câblage Non compatible avec le multiphating iSCSI Software
Impossible de l’appliquer via un profil d’hôte
Amélioration du LACP en version 5.5 :
– 22 algorithmes de hachage pour le Load Balancing
– 64 LAG par hôte et par instance de vDS
– Configurable en mode Web
Permet l’isolation de machine virtuelle sur le même vLAN et Subnet, mais nécessite un switch physique compatible pvLAN.
Cela consiste à diviser un vLAN Primaire en plusieurs segment (pvLAN secondaire)
Type de pvLAN :
➢ Promiscuous : Peut communiquer avec tous les vLANs secondaires et le vLAN primaire
➢ Isolated : Ne communique qu’avec les VMs sur le vLAN promiscuous
➢ Community : Communique avec les VMs sur le vLAN secondaire community et les VMs du vLAN promiscuous
Permet de transporter des trames de niveau 2 sur un réseau de niveau 3 pour interconnecter deux sites distants de manière transparente.
Prérequis
➢ vDS
➢ VMware vCloud Networking and Security Edge 5.5.x
➢ vxLAN port (UDP 8472) ouvert sur le firewall
➢ MTU à 1600
➢ Vmkernel module vTEP sur chaque hôte
➢ VMKnic et portgroup vxLAN
Non compatible pour le flux vMotion ou SRM :
DvSwitch – Network I/O Control (NIOC)
➢ Permet la convergence de plusieurs flux sur une même interface réseau
➢ Permet de garantir des performances réseaux prévisible lorsque plusieurs type de trafic utilise le même canal
➢ Le Network I/O Control se base sur des règles de limite et de partage
Activation du NIOC sur le dvSwitch
Network ressource pool attribué sur le Portgroup
Classification du trafic selon des ressources pools réseaux
Cas de figure :
➢ 4 Portgroups
➢ vmnic0 : 10Gbits
➢ Saturation de la vmnic0 de ESX02
Il existe des valeurs de partages prédéfinis :
➢ Low : 25
➢ Normal : 50
➢ High: 100
vShield
➢ Une appliance vshield manager par instance de vCenter
➢ Une appliance vShield Endpoint / App par ESXi
➢ Plusieurs vShield Edge par Datacenter
➢ 1er niveau de sécurité:
Couche physique
Plateforme de virtualisation ESXi Les machines virtuelles
➢ 2nd niveau de sécurité:
Protège le système d’exploitation Optimise l’antivirus et gère les traitements des solutions antivirus partenaire
➢ 3eme niveau de sécurité:
Protège les applications contre les menaces internes via le réseau Protection Firewall, IPS, contrôle de connexion par IP src-dst
➢ 4eme niveau de sécurité: Isolation des groups ports
[…] de ces fonctionnalités on été traitées dans d’autres articles comme celui traitant sur le type de connexions réseau par exemple. Commençons tout d’abord par […]