VMware – Le type de connexion réseau

VMware – Le type de connexion réseau

21 octobre 2015 1 Par Michael PERES

Nous allons décrire dans cet article les différents types de connexions réseau que nous pouvons paramétrer sous vSphere 5.x

Equilibrage de charge réseau & Failover

Network LB et FO
Network LB et FO - 2
Network LB et FO - 3

1 – Route Base on Physical NIC load

➢ DvSwitch obligatoire
➢ Basé sur la charge des cartes réseaux physiques
➢ Une inspection de la charge toutes les 30s (si 30s > 75% bascule)
➢ Réattribution des groups de ports vers une carte moins chargée
➢ Règles d’associations recommandées pour NIOC
(Network I/O Control)
➢ Pas de configuration particulière sur les switchs physiques

Route Base

 

2 – Network Failure Detection

Failure detect

Deux modes de détection :

2.1 -Link Status Only

Repose uniquement sur l'état du lien fourni par l'adaptateur réseau. Cette option détecte les pannes, telles que les débranchements et les interruptions d'alimentation du commutateur physique, mais pas les erreurs de configuration, telles qu'un port de commutateur physique bloqué par STP ou configuré sur un VLAN erroné, ou les débranchements intervenant de l'autre côté d'un commutateur physique.

Capture d’écran 2015-11-29 à 17.14.07

2.2 -Beacon probing

Envoie et détecte des sondes d'incident sur tous les adaptateurs réseau et utilise cette information pour déterminer les défaillances de liens. Cette option détecte de nombreuses pannes, qui ne sont pas détectées à l'aide du seul état de lien.

Beacon probing
3 – Traffic Filtering

Filtrage du trafic indésirable et des attaques
.
Le filtrage recherche dans les entêtes des paquets Filtrage du trafic en fonction de l’entête du paquet
Classification des paquets :
➢ Mac Source adresse, destination adresse
➢ System trafic Qualifier: vMotion, mgmt, FT
➢ IP qualifiers: protocole, IP Source, IP destination et numéro de port

Traffic filtering 1

Une fois les paquets qualifiés, il est possible d’appliquer le filtrage sur :
➢ Le trafic entrant
➢ Le trafic Sortant
➢ Le trafic dans les deux sens

Traffic filtering 2

 

QoS
La QoS (Quality of services) est appliquée en cas de congestion du réseau pour gérer la priorité des flux et éviter les drops de paquet.
Link Aggregation LACP

Création d’un lien logique reposant sur plusieurs liens physiques
Meilleur répartition et redondance de la bande passante
Négociation automatique entre vDS et switch physique grâce aux échanges de trames LACPDU (Link Aggregation Control Protocol Data Unit)
Détecte les pannes de lien et les erreurs de câblage Non compatible avec le multiphating iSCSI Software
Impossible de l’appliquer via un profil d’hôte
Amélioration du LACP en version 5.5 :
– 22 algorithmes de hachage pour le Load Balancing
– 64 LAG par hôte et par instance de vDS
– Configurable en mode Web

Link aggregation
Private vLAN (pvLAN)

Permet l’isolation de machine virtuelle sur le même vLAN et Subnet, mais nécessite un switch physique compatible pvLAN.
Cela consiste à diviser un vLAN Primaire en plusieurs segment (pvLAN secondaire)

Type de pvLAN :
➢ Promiscuous : Peut communiquer avec tous les vLANs secondaires et le vLAN primaire
➢ Isolated : Ne communique qu’avec les VMs sur le vLAN promiscuous
➢ Community : Communique avec les VMs sur le vLAN secondaire community et les VMs du vLAN promiscuous

pvLAN
vxLAN

Permet de transporter des trames de niveau 2 sur un réseau de niveau 3 pour interconnecter deux sites distants de manière transparente.
Prérequis
➢ vDS
➢ VMware vCloud Networking and Security Edge 5.5.x
➢ vxLAN port (UDP 8472) ouvert sur le firewall
➢ MTU à 1600
➢ Vmkernel module vTEP sur chaque hôte
➢ VMKnic et portgroup vxLAN

vxLAN

Non compatible pour le flux vMotion ou SRM :

vxLAN 2

vxLAN 3
vxLAN 4
DvSwitch – Network I/O Control (NIOC)

➢ Permet la convergence de plusieurs flux sur une même interface réseau
➢ Permet de garantir des performances réseaux prévisible lorsque plusieurs type de trafic utilise le même canal
➢ Le Network I/O Control se base sur des règles de limite et de partage

NIOC

Activation du NIOC sur le dvSwitch

NIOC 1
Network ressource pool attribué sur le Portgroup

NIOC 2

NIOC 3
Classification du trafic selon des ressources pools réseaux

Class

Cas de figure :
➢ 4 Portgroups
➢ vmnic0 : 10Gbits
➢ Saturation de la vmnic0 de ESX02

Class 1

Class 2

Il existe des valeurs de partages prédéfinis :
➢ Low : 25
➢ Normal : 50
➢ High: 100
vShield

➢ Une appliance vshield manager par instance de vCenter
➢ Une appliance vShield Endpoint / App par ESXi
➢ Plusieurs vShield Edge par Datacenter

vShield

➢ 1er niveau de sécurité:
Couche physique
Plateforme de virtualisation ESXi Les machines virtuelles
➢ 2nd niveau de sécurité:
Protège le système d’exploitation Optimise l’antivirus et gère les traitements des solutions antivirus partenaire
➢ 3eme niveau de sécurité:
Protège les applications contre les menaces internes via le réseau Protection Firewall, IPS, contrôle de connexion par IP src-dst
➢ 4eme niveau de sécurité: Isolation des groups ports