VMware ESXi Configuration Guide PG FR PDF

Guide de configuration ESXi
ESXi 4.1
vCenter Serveur 4.1
Ce document prend en charge la version de chacun des produits

rpertoris, ainsi que toutes les versions publies par la suite
jusqu'au remplacement dudit document par une nouvelle
dition. Pour rechercher des ditions plus rcentes de ce
document,
rendez-vous
sur
:
http://www.vmware.com/fr/support/pubs.
FR-000327-00
Vous trouverez la documentation technique la plus rcente sur le site Web de VMware l'adresse :
http://www.vmware.com/fr/support/pubs/
Le site Web de VMware propose galement les dernires mises jour des produits.
Nhsitez pas nous transmettre tous vos commentaires concernant cette documentation ladresse suivante :
docfeedback@vmware.com
Copyright 2009, 2010 VMware, Inc. Tous droits rservs. Ce produit est protg par les lois amricaines et internationales
relatives au copyright et la proprit intellectuelle. Les produits VMware sont protgs par un ou plusieurs brevets rpertoris
l'adresse http://www.vmware.com/go/patents-fr.
VMware est une marque dpose ou une marque de VMware, Inc. aux tats-Unis et/ou dans d'autres juridictions. Toutes les
autres marques et noms mentionns sont des marques dposes par leurs propritaires respectifs.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Dfense
France
www.vmware.com/fr
VMware, Inc.
Table des matires
propos de ce guide 7
1 Prsentation de la configuration ESXi 9
Mise en rseau
2 Introduction la mise en rseau 13
Prsentation des concepts de mise en rseau 13

Services de rseau 14
Afficher les informations de mise en rseau dans vSphere Client 15
Afficher les informations de carte rseau dans vSphere Client 15
3 Gestion de rseau de base avec les commutateurs standard vNetwork 17

Commutateurs standard vNetwork 17
groupes de ports 18
Configuration du groupes de ports pour des machines virtuelles 18
Configuration de rseau VMkernel 19
Proprits de commutateur standard vNetwork 22
4 Mise en rseau basique avec des commutateurs distribus vNetwork 25
Architecture de commutation distribue vNetwork 26

Configurer un commutateur distribu vNetwork 27
groupes dvPort 31
dvPorts 32
VLAN privs 33
Configurer des cartes rseau de commutateur distribu vNetwork 35
Configurer la mise en rseau de machines virtuelles sur un commutateur distribu vNetwork 39
Commande d'E/S rseau 40
5 Mise en rseau avance 43
Protocole Internet Version 6 43

Configuration VLAN 44
Rgles de mise en rseau 44
Changer les configurations de routage et DNS 62
Adresses MAC 62
Dlestage de segmentation TCP et Trames jumbo 64
NetQueue et performances rseau 66
E/S VMDirectPath 67
VMware, Inc.
6 Meilleures pratiques, scnarios et dpannage du rseau 69
Meilleures pratiques de mise en rseau 69

Montage de volumes NFS 70
Configuration du rseau pour l'iSCSI logiciel et l'iSCSI matriel dpendant 71
Dpannage 75
Stockage
7 Introduction au stockage 79
propos du stockage ESXi 79

Types de stockage physique 80
Adaptateurs de stockage pris en charge 81
Reprsentations de priphriques et de cibles
propos des banque de donnes ESXi 84
Comparaison des types de stockage 87
Afficher les adaptateurs de stockage 88
Afficher les priphriques de stockage 89
Affichage de banques de donnes 91
81
8 Configurer le stockage ESXi 93
Stockage SCSI local 93

Stockage Fibre Channel 94
Stockage iSCSI 94
Actualisation de la banque de donnes et oprations de ranalyse du stockage 109
Crer des banques de donnes VMFS 110
Stockage reli au rseau (NAS) 111
Crer une partition de diagnostic 113
9 Gestion du stockage 115
Gestion des banques de donnes 115

Modification des proprits de la banque de donnes VMFS 117
Administration des banques de donnes VMFS dupliques 119
Utilisation des chemins multiples avec ESXi 122
Acclration matrielle du stockage 130
Allocation dynamique 132
Dsactiver les filtres de stockage vCenter Server 134
10 Mappage de priphrique brut 137
propos du mappage de priphrique brut 137

Caractristiques du mappage de priphrique brut 141
Gestion des LUN mapps 143
Scurit
11 Scurit pour systmes ESXi 147
Architecture ESXi et fonctions de scurit 147

Ressources de scurit et informations 154
VMware, Inc.
Table des matires
12 Scurisation d'une configuration ESXi 157
Scurisation du rseau avec des pare-feu 157

Scurisation des machines virtuelles avec des VLAN 164
Scurisation des ports de commutateurs virtuels 168
Scurit du protocole Internet 170
Scurisation du stockage iSCSI 173
13 Authentification et gestion d'utilisateurs 177
Scuriser ESXi via l'authentification et les autorisations 177

propos des utilisateurs, des groupes, des autorisations et des rles 178
Travailler avec des utilisateurs et groupes sur des htes ESXi 182
Chiffrement et certificats de scurit pour ESXi 187
14 Meilleures pratiques en matire de scurit et scnarios de scurit 197

Approches de scurit pour les dploiements ESXi classiques 197
Mode verrouillage ESXi 200
Recommandations destines aux machines virtuelles 204
Profils d'hte
15 Gestion des profils d'hte 213
Modle d'utilisation des profils d'hte 213

Accder la vue des profils d'hte 214
Cration d'un profil d'hte 214
Exporter un profil d'hte 215
Importer un profil d'hte 216
Modifier un profil d'hte 216
Gestion des profils 218
Vrification de la conformit 221
Annexes
Annexe : Commandes de support technique ESXi 227
Index 231
VMware, Inc.
VMware, Inc.
propos de ce guide
Le prsent manuel, intitul Guide de configurationESXi, contient des informations sur la configuration rseau de
VMware ESXi, et y compris les mthodes de cration de commutateurs et de ports virtuels et les mthodes
de configuration rseau des machines virtuelles, VMware vMotion et le stockage IP. Il dcrit galement la
configuration du systme de fichiers et de diffrents types de stockage (iSCSI et Fibre Channel, notamment).
Il prsente les fonctions de scurit que contient ESXi et les mesures que vous pouvez prendre pour protger
ESXi contre les attaques. Il inclut galement la liste des commandes de support technique ESXi, accompagnes
de leurs quivalents VMware vSphere Client et d'une description de l'utilitaire vmkfstools.
Ces informations concernent ESXi 4.1.
Public cible
Ce manuel s'adresse toute personne devant installer, mettre niveau ou utiliser ESXi. Les informations qu'il
contient sont destines aux administrateurs systme Windows ou Linux, familiariss avec la technologie des
machines virtuelles et avec les oprations de centres de donnes.
Glossaire de VMware Technical Publications

VMware Technical Publications fournit un glossaire des termes qui peuvent ventuellement ne pas vous tre
familiers. Pour des dfinitions des termes utiliss dans la documentation technique VMware, rendez-vous sur
http://www.vmware.com/support/pubs.
Commentaires sur les documents

VMware prend en considrations vos suggestions pour amliorer sa documentation. Si vous avez des
commentaires, envoyez-les docfeedback@vmware.com
Documentation de vSphere de VMware

La documentation de vSphere VMware est une combinaison de l'ensemble des documentations de VMware
vCenter et d'ESXi.
Abrviations utilises dans les figures

Les figures dans ce manuel utilisent les abrviations rpertories dans Tableau 1.
Tableau 1. Abrviations
Abrviation
Description
base de donnes
Base de donnes vCenter Server
banque de donnes
Stockage pour l'hte gr
VMware, Inc.
Tableau 1. Abrviations (suite)

Abrviation
Description
dsk#
Disque de stockage pour l'hte gr
hostn
Htes grs par vCenter Server
SAN
Banque de donnes de type SAN (Storage Area Network)

partage par les htes grs
tmplt
Modle
user#
Utilisateur avec autorisations d'accs
VC
vCenter Server
VM#
Machines virtuelles sur un hte gr
Ressources de support technique et de formation

Les ressources de support technique suivantes sont votre disposition. Pour accder la version actuelle de
ce guide et d'autres guides, allez sur http://www.vmware.com/support/pubs.
Support en ligne et
tlphonique
Pour soumettre des demandes d'ordre technique l'assistance en ligne,

consulter les informations concernant vos produits et contrats et inscrire vos
produits, rendez-vous sur http://www.vmware.com/support.
Les clients ayant souscrit des contrats de support appropris peuvent utiliser
le support tlphonique pour obtenir une rponse rapide leurs problmes
prioritaires. Allez sur
http://www.vmware.com/support/phone_support.html.
Offres de support
Pour en savoir plus sur la faon dont les offres d'assistance VMware peuvent
satisfaire les besoins de votre entreprise, rendez-vous sur
http://www.vmware.com/support/services.
VMware Professional
Services
Les cours VMware Education Services proposent de nombreux exercices

pratiques, des exemples d'tude de cas, ainsi que de la documentation destine
servir de rfrence sur site. Les cours sont disponibles sur site, en salle de
cours et en ligne et en direct. Pour les programmes pilotes sur site et les
meilleures pratiques de mise en uvre, VMware Consulting Services propose
des offres destines vous aider valuer, planifier, laborer et grer votre
environnement virtuel. Pour accder aux informations sur les classes de
formation, les programmes de certification et les services-conseil, rendez-vous
sur http://www.vmware.com/services.
VMware, Inc.
Prsentation de la configuration ESXi
Ce manuel dcrit les tches excuter pour configurer le rseau hte, le stockage et la scurit ESXi. Par ailleurs,
il contient des descriptions et des recommandations qui vous aideront bien comprendre ces tches et la
mthode de dploiement d'un hte rpondant vos besoins.
Avant d'utiliser ces informations, lisez la section de prsentation de vSphere pour obtenir la description de
l'architecture systme et des priphriques (physiques et virtuels) qui composent les systmes vSphere.
Cette introduction rsume le contenu du prsent manuel.
Mise en rseau
Les informations rseau permettent de comprendre les concepts lis aux rseaux physiques et virtuels, les
tches de base excuter pour configurer les connexions rseau de votre hte ESXi, ainsi que les concepts et
les tches lis aux rseaux avancs.
Stockage
Les informations sur le stockage permettent de bien comprendre les notions de base lies au stockage et les
tches de base excuter pour configurer et grer le stockage de votre hte ESXi. Elles dcrivent galement la
mthode de mappage de priphrique brut (RDM).
Scurit
Les informations sur la scurit dcrivent les mesures de scurit VMware contenues dans ESXi, ainsi que les
mesures de protection de votre hte contre les menaces de scurit qui psent sur lui. Ces mesures incluent
l'installation d'un pare-feu, l'utilisation des fonctions de scurit des commutateurs virtuels, ou encore la
configuration d'authentifications ou d'autorisations utilisateur.
Profils d'hte
Cette section dcrit la fonction de profils hte et son utilisation pour encapsuler la configuration d'un hte dans
son profil. Cette section dcrit galement la mthode d'application de ce profil hte un autre hte ou cluster,
ainsi que la mthode de modification de profil et de vrification de la conformit d'un hte un profil donn.
VMware, Inc.
10
VMware, Inc.
Mise en rseau
VMware, Inc.
11
12
VMware, Inc.
Introduction la mise en rseau
Les concepts de base de la mise en rseau ESXi et la faon d'installer et de configurer un rseau dans un
environnement vSphere sont ici prsents.
Ce chapitre aborde les rubriques suivantes :
n
Prsentation des concepts de mise en rseau , page 13
Services de rseau , page 14
Afficher les informations de mise en rseau dans vSphere Client , page 15
Afficher les informations de carte rseau dans vSphere Client , page 15
Prsentation des concepts de mise en rseau

Quelques concepts sont essentiels pour bien comprendre la mise en rseau virtuelle. Si vous dbutez avec
ESXi, il peut s'avrer utile de les consulter.
Un rseau physique est un rseau de machines physiques connectes de sorte qu'elles puissent s'envoyer des
donnes et en recevoir entre elles. ESXi de VMware s'excute sur une machine physique.
Un rseau virtuel est un rseau de machines virtuelles fonctionnant sur une machine physique unique, qui
sont connectes logiquement entre elles de sorte qu'elles puissent envoyer des donnes et en recevoir entre
elles. Des machines virtuelles peuvent tre connectes des rseaux virtuels que vous crez lorsque vous
ajoutez un rseau.
Un commutateur Ethernet physique gre le trafic du rseau entre les machines sur le rseau physique. un
commutateur possde plusieurs ports, et chacun peut tre connect une machine unique ou un autre
commutateur sur le rseau. Chaque port peut tre configur pour se comporter de certaines manires, selon
les besoins de la machine laquelle il est connect. Le commutateur connat les htes qui sont connects ces
ports et utilise ces informations pour acheminer le trafic aux machines physiques appropries. Les
commutateurs constituent le coeur d'un rseau physique. Plusieurs commutateurs peuvent tre relis entre
eux pour former des rseaux plus grands.
Un commutateur virtuel, appel vSwitch, fonctionne de faon similaire un commutateur Ethernet physique.
Il dtecte les machines virtuelles qui sont logiquement connectes chacun de ces ports virtuels et utilise ces
informations pour acheminer le trafic aux machines virtuelles appropries. Un vSwitch peut tre connect
des commutateurs physiques l'aide d'adaptateurs Ethernet physiques, aussi appels cartes de liaison
montante, afin de joindre des rseaux virtuels des rseaux physiques. Ce type de connexion est semblable
une connexion de commutateurs physiques entre eux visant crer un rseau plus grand. Mme si un vSwitch
fonctionne de faon similaire un commutateur physique, il ne dispose pas de certaines fonctionnalits
avances du commutateur physique.
VMware, Inc.
13
Un commutateur distribu vNetwork agit en tant que vSwitch unique sur tous les htes associs sur un centre
de donnes. Ceci permet des machines virtuelles de conserver une configuration rseau cohrente pendant
qu'elles migrent sur plusieurs htes.
Un groupes de ports spcifie les options de configuration de ports, telles que les restrictions de bande passante
et les stratgies de balisage VLAN pour chaque port membre. Les services de rseau se connectent aux vSwitch
via des groupes de port. Les groupes de ports dfinissent la manire dont s'tablit une connexion un rseau
via le vSwitch. Gnralement, un vSwitch unique est associ un ou plusieurs groupes de ports.
Un groupes dvPort est un groupes de ports associ un commutateur distribu vNetwork et spcifie les options
de configuration de ports pour chaque port membre. Les groupes dvPort dfinissent la manire dont s'tablit
une connexion un rseau via le commutateur distribu vNetwork.
L'association NIC se produit lorsque plusieurs cartes de liaison montante sont associes un vSwitch unique.
Une association peut partager la charge de trafic entre des rseaux physiques et virtuels parmi certains ou tous
ses membres, ou fournir un basculement passif dans l'ventualit d'une dfaillance matrielle ou d'une
indisponibilit du rseau.
Les VLAN permettent un segment LAN physique unique d'tre davantage segment de sorte que des groupes
de ports soient isols les uns des autres comme s'ils se trouvaient sur des segments physiquement diffrents.
La norme est 802.1Q.
La pile rseau TCP/IP de VMkernel prend en charge iSCSI, NFS et vMotion. Les machines virtuelles excutent
leurs propres piles de systme TCP/IP et se connectent au VMkernel au niveau de l'Ethernet via des
commutateurs virtuels.
Le stockage IP se rfre toute forme de stockage utilisant la communication de rseau TCP/IP comme sa
fondation. iSCSI peut tre utilis comme banque de donnes de machine virtuelle, et NFS peut tre employ
comme banque de donnes de machine virtuelle ainsi que pour le montage direct de fichiers .ISO, prsents
comme CD-ROM aux machines virtuelles.
Le dlestage de segmentation TCP, ou TSO, permet une pile TCP/IP d'mettre de trs grandes trames (jusqu'
64 Ko) mme si l'unit de transmission maximale (MTU) de l'interface est plus petite. La carte rseau spare
alors la grande trame en trames adaptes la taille MTU, et ajoute une copie ajuste des en-ttes initiaux TCP/
IP.
La migration avec vMotion permet une machine virtuelle sous tension d'tre transfre depuis un hte ESXi
vers un autre sans arrter la machine virtuelle. La fonctionnalit facultative vMotion requiert une cl de licence.
Services de rseau
Un vNetwork propose plusieurs services diffrents l'hte et aux machines virtuelles.
Vous pouvez activer trois types de service de rseau dans ESXi :
14
Connecter des machines virtuelles au rseau physique et entre elles.
Connecter des services VMkernel (tels que NFS, iSCSI ou vMotion) au rseau physique.
VMware, Inc.
Chapitre 2 Introduction la mise en rseau
Afficher les informations de mise en rseau dans vSphere Client

vSphere Client affiche les informations de mise en rseau gnrales ainsi que des informations spcifiques aux
cartes rseau.
Procdure
1
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Mise en rseau] .
(Facultatif) Choisissez le type de mise en rseau que vous souhaitez voir.

Option
Description
Commutateur virtuel
Affiche la mise en rseau des commutateurs standard vNetwork sur l'hte.
commutateur distribu vNetwork
Affiche la mise en rseau des commutateur distribu vNetwork sur l'hte.
L'option [Commutateur distribu vNetwork] apparat uniquement sur des htes connects un ou
plusieurs commutateurs distribus vNetwork.
Les informations de mise en rseau sont affiches pour chaque commutateur virtuel sur l'hte.
Afficher les informations de carte rseau dans vSphere Client

Pour chaque carte rseau physique sur l'hte, vous pouvez afficher des informations, telles que la vitesse, le
duplex et les plages IP observes.
Procdure
1
Cliquez sur l'onglet [Configuration] , puis sur [Adaptateurs rseau] .
Le panneau de cartes rseau affiche les informations suivantes.

Tableau 2-1. Paramtres de carte rseau
Option
Description
[Priphrique]
Nom de la carte rseau.
[Vitesse]
Vitesse et duplex rels de la carte rseau.
[Configur]
Vitesse et duplex configurs de la carte rseau.
[Commutateur]
vSwitch ou vDS auquel la carte rseau est associe.
[Plages IP observes]
Adresses IP auxquelles l'adaptateur rseau accde.
[Wake on LAN pris en charge]
Possibilit pour l'adaptateur rseau de prendre en charge la

fonction Wake on the LAN.
VMware, Inc.
15
16
VMware, Inc.
Gestion de rseau de base avec les

commutateurs standard vNetwork
Les commutateurs standard vNetwork (vSwitches) grent le trafic rseau au niveau de l'hte dans un
environnement vSphere.
Utilisez vSphere Client pour ajouter un rseau reposant sur les catgories qui refltent les types de services
rseau :
n
Machines virtuelles
VMkernel

n
Commutateurs standard vNetwork , page 17
groupes de ports , page 18
Configuration du groupes de ports pour des machines virtuelles , page 18
Configuration de rseau VMkernel , page 19
Proprits de commutateur standard vNetwork , page 22
Commutateurs standard vNetwork

Vous pouvez crer des priphriques rseau abstraits appels commutateurs standard vNetwork (vSwitch).
Un vSwitch peut acheminer du trafic de manire interne entre les machines virtuelles et se connecter des
rseaux externes.
Vous pouvez utiliser les vSwitch pour associer la bande passante de plusieurs adaptateurs rseau et quilibrer
le trafic de communications entre eux. Vous pouvez galement configurer un vSwitch pour traiter le
basculement NIC physique.
Un vSwitch modlise un commutateur Ethernet physique. Le nombre par dfaut de ports logiques pour un
vSwitch est 120. Vous pouvez connecter un adaptateur rseau de machine virtuelle chaque port. Chaque
carte de liaison montante associe un vSwitch emploie un port. Chaque port logique sur le vSwitch est un
membre d'un seul groupes de ports. Chaque vSwitch peut galement avoir un ou plusieurs groupes de ports
qui lui sont affects. Pour plus d'informations sur le nombre maximum de ports et de groupes de ports
autoriss, voir Maximums de configuration pour vSphere 4.1.
Si plusieurs machines virtuelles sont connectes au mme vSwitch, le trafic rseau entre elles est achemin
localement. Si un adaptateur de liaison montante est connect au vSwitch, chaque machine virtuelle peut
accder au rseau externe auquel l'adaptateur est connect.
VMware, Inc.
17
groupes de ports
Les groupes de ports regroupesnt plusieurs ports sous une configuration commune et fournissent un point
d'ancrage stable pour les machines virtuelles qui se connectent des rseaux tiquets.
Figure 3-1. Rseau de commutateurs standard vNetwork
VM
VM
VM
VM
VM
Rseau
C
port
groupes
vSwitch
vSwitch
machine
Hte1
Hte2
Hte1
Hte2 physique
adaptateurs rseau physiques
rseau physique
Chaque groupes de ports est identifi par une tiquette de rseau, unique l'hte actuel. Les tiquettes rseau
sont utilises pour rendre compatible la configuration des machines virtuelles sur les htes. Tous les groupes
de ports dans le centre de donnes qui sont physiquement connects au mme rseau (dans le sens que chacun
peut recevoir des diffusions des autres) reoivent le mme nom. Au contraire, si deux groupes de ports ne
peuvent pas recevoir des diffusions l'un de l'autre, ils ont des tiquettes distinctes.
L'ID de VLAN est facultatif. Elle permet de limiter le trafic du groupes de ports un segment Ethernet logique
dans le rseau physique. Afin que chaque groupes de ports atteigne des groupes de ports situs sur d'autres
VLAN, l'ID de VLAN doit tre dfini sur 4 095. Si vous utilisez des ID de VLAN, vous devez modifier les
tiquettes de groupes et les ID de VLAN en mme temps afin que les tiquettes reprsentent correctement la
connectivit.
Configuration du groupes de ports pour des machines virtuelles

Vous pouvez ajouter ou modifier un groupes de ports de machines virtuelles partir de vSphere Client.
L'assistant Ajouter rseau de vSphere Client vous guide travers les tches de cration de rseau virtuel auquel
les machines virtuelles peuvent se connecter, y compris la cration d'un vSwitch et les paramtres de
configuration de l'tiquette rseau.
Lorsque vous dfinissez les rseaux de machines virtuelles, envisagez de prendre les mesures pour migrer les
machines virtuelles dans le rseau entre les htes. Dans ce cas, assurez-vous que les deux htes sont dans le
mme domaine de diffusion, c'est--dire dans le mme sous-rseau de couche 2.
ESXi ne prend pas en charge la migration de machines virtuelles entre des htes dans diffrents domaines de
diffusion, car la machine virtuelle migre ncessite des systmes et des ressources auxquels elle n'aurait plus
accs dans le nouveau rseau. Mme si la configuration de votre rseau est dfinie comme un environnement
haute disponibilit ou comprend des commutateurs intelligents qui peuvent rsoudre les besoins de la machine
virtuelle sur diffrents rseaux, vous pouvez rencontrer des dlais d'attente lors des mises niveau de la table
ARP (Protocole de rsolution d'adresse) et de la reprise du trafic rseau pour les machines virtuelles.
18
VMware, Inc.
Chapitre 3 Gestion de rseau de base avec les commutateurs standard vNetwork
Les machines virtuelles atteignent les rseaux physiques via des adaptateurs de liaison montante. Un vSwitch
peut transfrer des donnes vers des rseaux externes uniquement quand une ou plusieurs cartes rseau lui
sont attaches. Quand deux cartes ou plus sont attaches un seul vSwitch, elles sont associes de manire
transparente.
Ajout d'un groupes de ports de machine virtuelle

Les groupes de ports de machine virtuelle fournissement un rseau pour les machines virtuelles.
Procdure
1
Slectionnez la vue commutateur virtuel.

Les vSwitch apparaissent dans un aperu qui comprend une prsentation dtaille.
Sur le ct droit de la page, cliquez sur [Ajouter gestion rseau] .
Acceptez le type de connexion par dfaut, [Machines virtuelles] , puis cliquez sur [Suivant] .
Slectionnez [Crer un commutateur virtuel] ou l'un des vSwitch existants figurant dans liste et les
adaptateurs physiques associs utiliser pour ce groupes de ports.
Vous pouvez crer un nouveau vSwitch avec ou sans adaptateur Ethernet.
Si vous crez un vSwitch sans adaptateur rseau physique, tout le trafic sur ce vSwitch est confin sur
celui-ci. Aucun autre hte sur le rseau physique ou les machines virtuelles sur les autres vSwitch ne peut
envoyer du trafic sur ce vSwitch. Vous pouvez crer un vSwitch sans adaptateur rseau physique si vous
voulez qu'un groupes de machines virtuelles puisse communiquer entre elles, mais avec aucun autre hte
ou machine virtuelle en dehors du groupes.
Cliquez sur [Suivant] .
Dans le groupes Proprits groupes de ports, entrez une tiquette de rseau qui identifie le groupes de
ports que vous crez.
Utilisez des tiquettes rseau pour identifier les connexions compatibles pour la migration communes
deux htes ou plus.
(Facultatif) Si vous utilisez un VLAN, pour [ID VLAN] , entrez un nombre entre 1 et 4 094. Si vous n'utilisez
pas un VLAN, laissez ce champ vide.
Si vous entrez 0 ou laissez ce champ vide, le groupes de ports peut uniquement voir le trafic non balis
(non VLAN). Si vous entrez 4 095, le groupes de ports peut voir le trafic sur n'importe quel VLAN tout en
laissant les balises VLAN intactes.
10
11
Aprs avoir dtermin que le vSwitch est configur correctement, cliquez sur [Terminer] .
Configuration de rseau VMkernel

Une interface rseau VMkernel est utilise pour vMotion de VMware, le stockage IP et Fault Tolerance.
Dans ESXi, l'interface rseau VMkernel fournit une connectivit rseau pour l'hte ESXi ainsi que le traitement
de vMotion et du stockage IP.
Le dplacement d'une machine virtuelle d'un hte un autre est appel migration. vMotion vous permet de
migrer des machines virtuelles sous tension sans temps d'arrt. Votre pile rseau VMkernel doit tre configure
correctement pour recevoir vMotion.
VMware, Inc.
19
Le stockage IP se rapporte au stockage utilisant la communication rseau TCP/IP comme base, qui comprend
l'iSCSI, le FCoE et le NFS pour ESXi. Comme ces types de stockages reposent sur le rseau, ils peuvent utiliser
la mme interface VMkernel et le mme groupes de ports.
Pile TCP/IP au niveau de VMkernel

La pile rseau TCP/IP VMkernel de VMware fournit la prise en charge rseau de plusieurs manires pour
chaque service qu'elle traite.
La pile TCP/IP VMkernel traite iSCSI, NFS et vMotion des manires suivantes.
n
iSCSI comme banque de donnes de machine virtuelle.
iSCSI pour le montage direct de fichiers .ISO, qui sont prsents comme des CD-ROM virtuels aux
machines virtuelles.
NFS comme banque de donnes de machine virtuelle.
NFS pour le montage direct de fichiers .ISO, qui sont prsents comme des CD-ROM virtuels aux machines
virtuelles.
Migration avec vMotion.
Journalisation de la tolrance aux pannes.
Fournit des informations rseau aux cartes matrielles iSCSI dpendantes.
Si vous avez deux cartes rseau iSCSI physiques ou plus, vous pouvez crer plusieurs chemins pour le logiciel
iSCSI en configurant les chemins multiples iSCSI. Pour plus d'informations sur le chemins multiples, consultez
le Guide de configuration SAN iSCSI.
REMARQUE ESXi prend uniquement en charge NFS version 3 sur TCP/IP.
Configuration du rseau VMkernel

Crez un adapteur rseau VMkernel utilisable en tant qu'interface vMotion ou que groupes de ports de
stockage d'IP.
Procdure
1
Dans la vue commutateur virtuel, cliquez sur [Ajouter gestion rseau] .
Slectionnez [VMkernel] et cliquez sur [Suivant] .
Slectionnez le vSwitch utiliser ou slectionnez [Crer un commutateur virtuel] pour crer un nouveau
vSwitch.
Cochez les cases pour les adaptateurs rseau que vote vSwitch va utiliser.
Slectionnez les adaptateurs pour chaque vSwitch afin que les machines virtuelles ou les autres services
se connectant via l'adaptateur puissent atteindre le segment Ethernet correspondant. Si aucun adaptateur
n'apparat dans Crer un nouveau commutateur virtuel, tous les adaptateurs rseau du systme sont
utiliss par les vSwitch existants. Vous pouvez crer un nouveau vSwitch sans adaptateur rseau ou
slection un adaptateur rseau utilis par un vSwitch existant.
20
VMware, Inc.
Slectionnez ou entrez une tiquette rseau ou un ID de VLAN.

Option
Description
[tiquette de rseau]
Nom indentifiant le groupes de ports que vous crez. Il s'agit de l'tiquette

que vous dfinissez lors de la configuration d'un adaptateur virtuel associer
ce groupes de ports, lors de la configuration des services VMkernel, tels
que vMotion et le stockage IP.
[ID VLAN]
Identifie le VLAN que le trafic rseau du groupes de ports utilisera.
Slectionnez [Utiliser ce groupes port pour vMotion] pour permettre ce groupes de ports de s'annoncer
un autre hte comme connexion rseau o le trafic de vMotion doit tre envoy.
Vous pouvez activer cette proprit pour un seul groupes de ports vMotion et de stockage IP pour chaque
hte. Si cette proprit n'est pas active pour un groupes de ports, la migration avec vMotion vers cet hte
n'est pas possible.
10
Choisissez d'utiliser ce groupe de ports pour l'enregistrement de la tolrance aux pannes.
11
Sur un hte IPv6, indiquez si vous voulez utiliser [IP (par dfaut)] , [IPv6] ou [protocoles rseau IP et
IPv6] .
Cette option n'apparat pas sur les htes sur lesquels IPv6 n'est pas activ. La configuration IPv6 ne peut
pas tre utilise avec les adaptateurs iSCSI matriels dpendants.
12
13
Slectionnez [Obtenir automatiquement les paramtres IP] pour utiliser le DHCP pour obtenir les
paramtres IP ou slectionnez [Utiliser les paramtres IP suivants] pour dfinir les paramtres IP
manuellement.
Si vous choisissez de dfinir les paramtres IP manuellement, fournissez ces informations.
DHCP ne peut pas tre utilise avec les adaptateurs iSCSI matriels dpendants.
a
Entrez l'adresse IP et un masque de sous-rseau pour l'interface VMkernel.
Cliquez sur [Modifier] pour dfinir la passerelle par dfaut de VMkernel pour les services de
VMkernel, tels que vMotion, NAS et iSCSI.
Dans l'onglet [Config. DNS] , le nom de l'hte est entr par dfaut.
Les adresses de serveur DNS spcifies pendant l'installation sont galement prslectionnes, de
mme que le domaine.
Sur l'onglet [Routage] , fournissez les informations de passerelle VMkernel.

Une passerelle est ncessaire pour la connectivit aux machines qui ne sont pas sur le mme sousrseau IP que VMkernel. La valeur par dfaut est le paramtre IP statique.
e
14
15
VMware, Inc.
Cliquez sur [OK] , puis sur [Suivant] .
Si vous utilisez IPv6 pour l'interface VMkernel, slectionnez l'une des options suivantes pour obtenir les
adresses IPv6.
n
[Obtenir adresse IPv6 automatiquement via DHCP]
[Obtenir l'adresse IPv6 automatiquement via publicit routeur]
[Adresses IPv6 statiques]
Si vous choisissez d'utiliser des adresses IPv6 statiques, procdez comme suit.
a
Cliquez sur [Ajouter] pour ajouter une nouvelle adresse IPv6.
Entrez l'adresse IPv6 et la longueur du prfixe de sous-rseau, puis cliquez sur [OK] .
Pour modifier la passerelle par dfaut de VMkernel, cliquez sur [Modifier] .
21
16
17
Vrifiez les informations, cliquez sur [Retour] pour modifier des entres, puis cliquez sur [Terminer] .
Proprits de commutateur standard vNetwork

Les paramtres de commutateur standard vNetwork contrlent les valeurs par dfaut des vSwitch pour les
ports, qui peuvent tre remplaces par les paramtres de groupes de ports pour chaque vSwitch. Vous pouvez
diter les proprits des vSwitch, telles que la configuration de la liaison montante et le nombre de ports
disponibles.
Modification du nombre de ports pour un vSwitch

Un commutateur virtuel sert de conteneur pour les configurations de ports qui utilisent un ensemble commun
d'adaptateurs rseau, y compris les ensembles qui ne contiennent aucun adaptateur rseau. Chaque
commutateur virtuel fournit un nombre dtermin de ports travers lesquels les machines virtuelles et les
services rseau peuvent atteindre un ou plusieurs rseaux.
Procdure
1
Sur le ct droit de la page, cliquez sur [Proprits] pour le vSwitch que vous souhaitez modifier.
Cliquez sur l'onglet [Ports] .
Slectionnez l'lment vSwitch dans la liste Configuration et cliquez sur [Modifier] .
Cliquez sur l'onglet [Gnral] .
Choisissez le nombre de ports que vous souhaitez utiliser dans le menu droulant.
Cliquez sur [OK] .
Suivant
Les modifications entreront en vigueur au redmarrage du systme.
Modification de la vitesse d'un adaptateur de liaison montante

Vous pouvez modifier la vitesse de connexion et le duplex d'un adaptateur de liaison montante.
Procdure
22
Slectionnez un commutateur vSwitch et cliquez sur [Proprits] .
Cliquez sur l'onglet [Adaptateurs rseau] .
Pour modifier la vitesse configure et la valeur de duplex d'un adaptateur rseau, slectionnez l'adaptateur
rseau et cliquez sur [Modifier] .
VMware, Inc.
Pour slection la vitesse de connexion manuellement, slectionnez la vitesse et le duplex dans le menu
droulant.
Choisissez la vitesse de connexion manuellement si la carte rseau et le commutateur physique risquent
d'chouer dans la ngociation de la vitesse de connexion correcte. Les symptmes de non-correspondance
de vitesse et de duplex comprennent une bande passante faible ou aucune connectivit de liaison.
L'adaptateur et le port du commutateur physique auquel il est connect doivent tre dfinis sur la mme
valeur, telle que auto et auto ou ND et ND, o ND correspond une certaine vitesse et un duplex, mais
pas auto et ND.
Cliquez sur [OK] .
Ajout d'adaptateurs de liaison montante

Vous pouvez associer plusieurs adaptateurs un seul vSwitch pour fournir l'association de cartes rseau.
L'association peut partager du trafic et fournir un basculement.
Procdure
1
Cliquez sur l'onglet [Adaptateurs rseau] .
Cliquez sur [Ajouter] pour lancer l'assistant Ajouter adaptateur.
Slectionnez un ou plusieurs adaptateurs dans la liste et cliquez sur [Suivant] .
(Facultatif) Pour rorganiser les cartes rseau dans une catgorie diffrente, slectionnez un adapteur et
cliquez sur [Monter] et [Descendre] .
Option
Description
Adaptateurs actifs
Adaptateurs que le vSwitch utilise.
Adaptateurs de rserve
Adaptateurs qui deviennent actifs si un ou plusieurs adaptateurs actifs sont

dfaillants.
Vrifiez les informations sur la page Rsum d'adaptateur, cliquez sur [Retour] pour modifier des entres,
puis cliquez sur [Terminer] .
La liste des adaptateurs rseau rapparat, affichant les adaptateurs que le vSwitch demande maintenant.
10
Cliquez sur [Fermer] pour quitter la bote de dialogue Proprits vSwitch.

La section Mise en rseau de l'onglet [Configuration] montre les adaptateurs rseau dans l'ordre et les
catgories dsigns.
Protocole dcouverte Cisco

Protocole dcouverte Cisco(CDP) permet aux administrateurs ESXi de dterminer quel port de commutateur
Cisco est connect un vSwitch donn. Lorsque le CDP est activ pour un vSwitch particulier, vous pouvez
afficher les proprits du commutateur Cisco (telles que l'ID de priphrique, la version logicielle et le dlai
d'expiration) partir de vSphere Client.
Dans ESXi, le CDP est dfini pour couter, ce qui signifie que ESXi dtecte et affiche les informations sur le
port de commutateur Cisco associ, mais les informations sur le vSwitch ne sont pas disponibles pour
l'administrateur de commutateur Cisco.
VMware, Inc.
23
Affichage des informations de commutateur Cisco sur vSphere Client

Lorsque CDP est dfini sur [couter] ou [Les deux] , vous pouvez afficher les informations du commutateur
Cisco.
Procdure
24
Cliquez sur l'icne d'informations la droite du vSwitch.
VMware, Inc.
Mise en rseau basique avec des

commutateurs distribus vNetwork
Ces sections vous guident travers les concepts fondamentaux de mise en rseau avec des commutateurs
distribus vNetwork et vous expliquent comment paramtrer et configurer la mise en rseau avec des
commutateurs distribus vNetwork dans un environnement vSphere.
n
Architecture de commutation distribue vNetwork , page 26
Configurer un commutateur distribu vNetwork , page 27
groupes dvPort , page 31
dvPorts , page 32
VLAN privs , page 33
Configurer des cartes rseau de commutateur distribu vNetwork , page 35
Configurer la mise en rseau de machines virtuelles sur un commutateur distribu vNetwork ,

page 39
Commande d'E/S rseau , page 40
VMware, Inc.
25
Architecture de commutation distribue vNetwork

Un commutateur distribu vNetwork (vDS) fonctionne en tant que commutateur virtuel unique sur tous les
htes associs. Cela permet de rgler les configurations rseau qui s'tendent sur tous les htes membres et
permet aux machines virtuelles de conserver une configuration rseau cohrente lorsqu'elles migrent travers
plusieurs htes.
Figure 4-1. Rseau de commutateur distribu vNetwork
VM
VM
VM
VM
VM
Mise en rseau
C
groupes dvPort
A

Hte1
dvUplink
dvUplink
Hte1
Hte2
machine
Hte2 physique
rseau physique
Comme un commutateur vNetwork standard, chaque commutateur distribu vNetwork est un concentrateur
de rseau que les machines virtuelles peuvent utiliser. Un commutateur distribu vNetwork peut acheminer
le trafic en interne entre les machines virtuelles, ou se lier un rseau externe en se connectant des cartes
Ethernet physiques, galement dnommes cartes de liaison montante.
Chaque commutateur distribu vNetwork peut galement avoir un ou plusieurs groupes de dvPort qui lui
sont affects. Les groupes dvPort regroupesnt plusieurs ports sous une configuration commune et fournissent
un point d'ancrage stable aux machines virtuelles qui se connectent aux rseaux tiquets. Chaque groupes
dvPort est identifi par une tiquette rseau, qui est unique au centre de donnes actuel. L'ID de VLAN est
facultative. Elle permet de limiter le trafic du groupes de ports un segment Ethernet logique dans le rseau
physique.
Les pools de ressources rseau permettent de grer le trafic rseau par type de trafic rseau.
En plus des commutateurs distribus vNetwork de VMware, vSphere 4 fournit galement une assistance pour
les commutateurs virtuels tiers. Pour plus d'informations sur la configuration des commutateurs tiers, rendezvous l'adresse http://www.cisco.com/go/1000vdocs.
26
VMware, Inc.
Chapitre 4 Mise en rseau basique avec des commutateurs distribus vNetwork
Configurer un commutateur distribu vNetwork

Vous pouvez crer un commutateur distribu vNetwork sur un centre de donnes vCenter Server. Aprs avoir
cr un commutateur distribu vNetwork, vous pouvez ajouter des htes, crer des groupes dvPort et modifier
les rgles et proprits du commutateur distribu vNetwork.
Crer un commutateur distribu vNetwork

Crez un commutateur distribu vNetwork afin de grer le trafic de mise en rseau pour les htes associs sur
le centre de donnes.
Procdure
1
Ouvrez une session sur le vSphere Client et choisissez la vue d'inventaire Mise en rseau.
Dans le menu Inventaire, slectionnez [Centre de donnes] > [Commutateur distribu vNetwork] .
Choisissez une version de commutateur distribu vNetwork.

Option
Description
Version de commutateur distribu

vNetwork : 4.0
Compatible avec la version ESXi 4.0 et ultrieure. Les fonctions publies avec
les versions ultrieures de vDS ne sont pas prises en charge.
Version de commutateur distribu

vNetwork : 4.1.0
Compatible avec la version ESXi 4.1 ou ultrieure.
Saisissez un nom pour le commutateur distribu vNetwork dans la zone de texte Name Nom.
Utilisez les boutons flchs pour slectionner le [Nombre de ports dvUplink] et cliquez sur [Suivant] .
Les ports dvUplink connectent un commutateur distribu vNetwork aux adaptateurs rseau physiques
sur les htes associs. Le nombre de ports dvUplink est le nombre maximum de connections physiques
autorises vers le commutateur distribu vNetwork par hte.
Choisissez le moment pour ajouter des htes au vDS.

Option
Description
Ajouter maintenant
Slectionnez les htes et les cartes physiques utiliser en cochant la case

correspondant chaque hte ou carte. Vous pouvez uniquement ajouter les
cartes physiques qui ne sont pas dj utilises dans la cration du
commutateur distribu vNetwork.
Ajouter plus tard
Aucun hte ajout au vDS pour l'instant. Vous devez ajouter des htes au
vDS avant d'ajouter des cartes rseau. Vous pouvez ajouter des cartes rseau
depuis la page de configuration d'hte de vSphere Client en utilisant la
fonctionnalit de gestion des htes ou Profils d'hte.
(Facultatif) Choisissez [Crer automatiquement groupe ports par dfaut] .

Cette option cre un groupes de ports liaison statique avec des ports 128. Pour les systmes dont les
conditions requises sur les groupes de ports sont complexes, ignorez le groupes de ports par dfaut et
crez un nouveau groupes dvPort aprs avoir termin d'ajouter le commutateur distribu vNetwork.
10
VMware, Inc.
Passez en revue le diagramme du commutateur distribu vNetwork pour garantir une configuration
adquate, puis cliquez sur [Terminer] .
27
Ajouter des htes un commutateur distribu vNetwork

Vous pouvez ajouter des htes et des cartes physiques un commutateur distribu vNetwork au niveau vDS
aprs la cration du vDS.
Procdure
1
Dans vSphere Client, affichez la vue d'inventaire de rseau et slectionnez le commutateur distribu
vNetwork.
Slectionnez [Inventaire] > [commutateur distribu vNetwork] > [Ajout hte] .
Slectionnez les htes ajouter.
Sous les htes slectionns, slectionnez les cartes physiques ajouter et cliquez sur [Suivant] .
Vous pouvez slection des adaptateurs physiques libres et en cours d'utilisation.
REMARQUE Le dplacement d'un adaptateur physique vers un vDS sans les adaptateurs virtuels associs
peut entraner la perte de connexion rseau ces adaptateurs virtuels.
Pour chaque carte virtuelle, slectionnez [groupes ports destination] dans le menu droulant pour faire
migrer la carte virtuelle vers le vDS ou slectionnez [Ne pas migrer] .
(Facultatif) Faites migrer la gestion de rseau des machines virtuelles vers le vDS.
a
Slectionnez [Migrer mise en rseau VM] .
Pour chaque machine virtuelle, slectionnez le groupes de ports de destination [groupes ports
destination] dans le menu droulant ou slectionnez [Ne pas migrer] .
Passez en revue les paramtres du vDS et cliquez sur [Terminer] .

Si vous devez apporter des modifications, cliquez sur [Retour] pour revenir l'cran appropri.
Grer les htes sur un vDS

Vous pouvez modifier la configuration des htes et des adaptateurs physiques sur un vDS aprs leur ajout au
vDS.
Procdure
28
vNetwork.
Slectionnez [inventaire] > [commutateur distribu vNetwork] > [Grer les htes] .
Slectionnez les htes grer et cliquez sur [Suivant] .
Slectionnez les adaptateurs physiques ajouter, dslectionnez les adaptateurs physiques supprimer,
et cliquez sur [Suivant] .
Pour chaque carte virtuelle, slectionnez [groupes ports destination] dans le menu droulant pour faire
migrer la carte virtuelle vers le vDS ou slectionnez [Ne pas migrer] .
VMware, Inc.
(Facultatif) Faites migrer la gestion de rseau des machines virtuelles vers le vDS.
a
Slectionnez [Migrer mise en rseau VM] .
Pour chaque machine virtuelle, slectionnez le groupes de ports de destination [groupes ports
destination] dans le menu droulant ou slectionnez [Ne pas migrer] .
Passez en revue les paramtres du vDS et cliquez sur [Terminer] .

Si vous devez apporter des modifications, cliquez sur [Retour] pour revenir l'cran appropri.
Modifier les paramtres gnraux de commutateur distribu vNetwork

Vous pouvez modifier les proprits gnrales du commutateur distribu vNetwork, comme par exemple le
nom du commutateur distribu vNetwork et le nombre de ports de liaison montante sur le commutateur
distribu vNetwork.
Procdure
1
Dans vSphere Client, choisissez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
Dans le menu Inventaire, slectionnez [Commutateur distribu vNetwork] > [Modifier les
paramtres] .
Slectionnez [Gnral] pour modifier les paramtres de commutateur distribu vNetwork suivants.
crivez le nom du commutateur distribu vNetwork.
Slectionnez le nombre de ports de liaison montante.
Pour modifier des noms de port de liaison montante, cliquez sur [Modifier les noms des ports pour
liaisons montantes] , entrez les nouveaux noms, puis cliquez sur [OK] .
Entrez des remarques ventuelles sur le commutateur distribu vNetwork.
Cliquez sur [OK] .
Modifier les paramtres avancs de commutateur distribu vNetwork

Utilisez la bote de dialogue de paramtres de commutateur distribu vNetwork pour configurer les
paramtres avancs de commutateur distribu vNetwork tels que le protocole de dcouverte Cisco et la MTU
maximum.
Procdure
1
Dans vSphere Client, affichez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
Dans le menu Inventaire, slectionnez [commutateur distribu vNetwork] > [Modifier les
paramtres] .
Slectionnez [Avanc] pour modifier les proprits suivantes de commutateur distribu vNetwork.
VMware, Inc.
Indiquez la taille de MTU maximum.
Cochez la case [Activer Protocole dcouverte Cisco] pour activer le protocole CDP, et rglez
l'opration sur [couter] , [Annoncer] ou [Les deux] .
Tapez le nom et autres renseignements sur l'administrateur de commutateur distribu vNetwork

dans la section Informations de contact admin.
Cliquez sur [OK] .
29
Afficher les informations de l'adaptateur rseau pour un commutateur vNetwork

distribu
Affichez les adaptateurs rseau physiques et les attributions de liaison montante pour un commutateur
distribu vNetwork depuis la vue d'inventaire de mise en rseau du vSphere Client.
Procdure
1
Dans vSphere Client, choisissez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
Dans le menu Inventaire, slectionnez [commutateur distribu vNetwork] > [Modifier les
paramtres] .
Dans l'onglet [Adaptateurs rseau] , vous pouvez afficher la carte rseau et les attributions de liaison
montante des htes associs.
Cet onglet est en lecture seule. Les cartes rseau du commutateur distribu vNetwork doivent tre
configures au niveau de l'hte.
Cliquez sur [OK] .
Mettre niveau un vDS vers une version plus rcente

Un commutateur distribu vNetwork de version 4.0 peut bnficier d'une mise niveau vers la version 4.1,
lui permettant de tirer profit des fonctions disponibles uniquement dans la version ultrieure.
Procdure
1
vNetwork.
Dans l'onglet [Rsum] , en regard de [Version] , slectionnez [Mise niveau] .

L'assistant de mise niveau rpertorie les fonctions disponibles pour le vDS mis niveau et inaccessibles
la version prcdente.

L'assistant de mise niveau rpertorie les htes associs ce vDS et leur compatibilit avec la version vDS
mise niveau. Vous ne pouvez poursuivre la mise niveau que si tous les htes sont compatibles avec la
nouvelle version vDS.
ct de chaque hte incompatible, l'assistant de mise niveau rpertorie les raisons de l'incompatibilit.
30
Vrifiez l'exactitude des informations de mise niveau rpertories et cliquez sur [Terminer] .
VMware, Inc.
groupes dvPort
Un groupes dvPort spcifie les options de configuration de port pour chaque port membre sur un commutateur
distribu vNetwork. Les groupes dvPort dfinissent la manire dont s'tablit une connexion un rseau.
Ajoutez un groupes dvPort

Utilisez l'assistant Crer un groupe dvPort pour ajouter un groupes dvPort un commutateur distribu
vNetwork.
Procdure
1
distribu vNetwork.
partir du menu [inventaire] , slectionnez [Commutateur virtuel distribu] > [Nouveau groupes de
ports] .
Entrez un nom et le nombre de ports pour le groupes dvPort.
Slectionnez un type de VLAN.

Option
Description
Aucune
N'utilise pas de VLAN.
VLAN
Dans le champ [ID VLAN] , entrez un nombre entre 1 et 4094.
jonction VLAN
Entrez une plage de jonctions VLAN.
VLAN priv
Slectionnez une entre de VLAN priv. Si vous n'avez cr aucun VLAN

priv, ce menu est vide.
Cliquez sur [Terminer] .
Modifier les proprits gnrales de groupes dvPort

Utilisez la bote de dialogue dvPort Group Properties pour configurer les proprits gnrales de groupes
dvPort, telles que le nom de groupes dvPort et le type de groupes de port.
Procdure
1
Dans vSphere Client, affichez la vue d'inventaire Mise en rseau et slectionnez le groupes dvPort.
Dans le menu Inventaire, slectionnez [Rseau] > [Modifier les paramtres] .
Slectionnez [Gnral] pour modifier les proprits de groupes dvPort suivantes.
VMware, Inc.
Option
Action
Nom
Entrez le nom du groupes dvPort.
Description
Entrez une brve description du groupes dvPort.
31
Option
Action
Nombre de ports
Entrez le nombre de ports sur le groupes dvPort.
Liaison de port
Choisissez quand les ports sont affects aux machines virtuelles connectes
ce groupes dvPort.
n Slectionnez [Liaison statique] pour affecter un port une machine
virtuelle quand la machine virtuelle est connecte au groupes dvPort.
n Slectionnez [Liaison dynamique] pour affecter un port une machine
virtuelle la premire mise sous tension de la machine virtuelle une fois
connecte au groupes dvPort.
n Slectionnez [phmre] pour aucune liaison de port. Vous pouvez
choisir une liaison phmre uniquement lorsque vous tes connect
directement votre hte ESXi.
Cliquez sur [OK] .
Modifier les proprits avances de groupes dvPort

Utilisez la bote de dialogue Proprits de groupes dvPort pour configurer les proprits avances de groupes
dvPort, telles que les paramtres de remplacement de port.
Procdure
1
Slectionnez [Avanc] pour modifier les proprits de groupes dvPort.
Slectionnez [Autoriser remplacement rgles port] pour autoriser le remplacement des rgles de
groupes dvPort au niveau du port.
Cliquez sur [Modifier paramtres remplacement] pour slection les rgles qui peuvent tre
remplaces.
Choisissez d'autoriser le dplacement de ports actifs.
Slectionnez [Configurer rinitialisation la dconnexion] pour ignorer les configurations par port
lorsqu'un dvPort est dconnect d'une machine virtuelle.
Cliquez sur [OK] .
dvPorts
Un dvPort est un port sur un commutateur distribu vNetwork qui se connecte la console de service, au
VMkernel d'un hte ou la carte rseau d'une machine virtuelle.
Par dfaut, la configuration d'un dvPort est dtermine par les paramtres de groupes de dvPorts, mais certains
paramtres pour des dvPorts individuels peuvent tre ignors selon le dvPort.
Surveiller l'tat du dvPort

vSphere peut surveiller les dvPort et fournir des informations sur leur tat actuel respectif.
Procdure
1
distribu vNetwork.
Dans l'onglet [Ports] , cliquez sur [Commencer surveiller l'tat du port] .
La colonne [tat] dans l'onglet [Ports] pour le commutateur distribu vNetwork affiche dsormais l'tat
actuel pour chaque dvPort.
32
VMware, Inc.
Tableau 4-1. tats de dvPort

tat
Description
[Raccorder]
Le lien pour ce dvPort est actif.
[Lien bas]
Le lien pour ce dvPort est inactif.
[Bloqu]
Ce dvPort est bloqu.
[--]
L'tat de ce dvPort est actuellement indisponible.
Configurer les paramtres dvPort

Utilisez la bote de dialogue Paramtres de port pour configurer les proprits gnrales de dvPort, telles que
le nom de port et sa description.
Procdure
1
Ouvrez une session sur vSphere Client et affichez le commutateur distribu vNetwork.
Dans l'onglet [Ports] , cliquez avec le bouton droit sur le port modifier et slectionnez [Modifier les
paramtres] .
Cliquez sur [Gnral] .
Modifiez la description et le nom du port.
Cliquez sur [OK] .
VLAN privs
Les VLAN privs servent rsoudre les restrictions d'ID VLAN et le gaspillage d'adresses IP pour certaines
configurations rseau.
Un VLAN priv est identifi par son ID VLAN primaire. un ID VLAN primaire peut avoir plusieurs ID VLAN
associes. Les VLAN primaires sont [Promiscuit] , afin que les ports sur un VLAN priv puissent
communiquer avec des ports configurs en tant que VLAN primaire. Des ports sur un VLAN secondaire
peuvent tre [Isol] et communiquer uniquement avec des ports de promiscuit, ou [Communaut] et
communiquer avec des ports de promiscuit et d'autres ports sur le mme VLAN secondaire.
Pour utiliser des VLAN privs entre un hte ESXi et le reste du rseau physique, le commutateur physique
connect l'hte ESXi doit prendre en charge un VLAN priv et tre configur avec les ID VLAN utilises par
ESXi pour la fonctionnalit du VLAN priv. Pour les commutateurs physiques utilisant un apprentissage par
ID VLAN+MAC dynamique, toutes les ID VLAN priv correspondantes doivent tre d'abord entres dans la
base de donnes VLAN du commutateur.
Afin de configurer des dvPorts pour utiliser la fonctionnalit VLAN priv, vous devez crer les VLAN privs
requis sur le commutateur distribu vNetwork auquel les dvPorts sont connects.
Crer un VLAN priv

Vous pouvez crer un VLAN priv utiliser sur un commutateur distribu vNetwork ainsi que ses dvPorts
correspondants.
Procdure
1
distribu vNetwork.
Dans le menu [Inventaire] , slectionnez [commutateur distribu vNetwork] > [Modifier les
paramtres] .
Slectionnez l'onglet [VLAN priv] .
VMware, Inc.
33
Sous l'ID VLAN priv primaire, cliquez sur [] [[Saisir un ID VLAN priv ici]] , et saisissez le numro de
VLAN priv primaire.
Cliquez n'importe o dans la bote de dialogue, puis slectionnez le VLAN priv primaire que vous venez
d'ajouter.
Ce dernier apparat sous ID VLAN priv secondaire.
Pour chaque nouveau VLAN priv secondaire, cliquez sur [[Saisir un ID VLAN priv ici]] sous ID VLAN
priv secondaire, et saisissez le numro du VLAN priv secondaire.
Cliquez n'importe o dans la bote de dialogue, slectionnez le VLAN priv secondaire que vous venez
d'ajouter, et slectionnez [Isol] ou [Communaut] comme type de port.
Cliquez sur [OK] .
Supprimer un VLAN priv principal

Supprimez les VLAN privs primaires non utiliss dans la vue d'inventaire de mise en rseau du vSphere
Client.
Prrequis
Avant de supprimer un VLAN priv, assurez-vous qu'aucun groupes de port ne soit configur pour l'utiliser.
Procdure
1
distribu vNetwork.
paramtres] .
Slectionnez le VLAN priv principal supprimer.
Cliquez sur [Supprimer] sous ID VLAN priv primaire, puis cliquez sur [OK] .
Le retrait d'un VLAN priv primaire supprime galement l'ensemble des VLAN privs secondaires
associs.
Supprimer un VLAN priv secondaire

Supprimez les VLAN privs secondaires non utiliss dans la vue d'inventaire de mise en rseau du vSphere
Client.
Prrequis
Avant de supprimer un VLAN priv, assurez-vous qu'aucun groupes de port ne soit configur pour l'utiliser.
Procdure
34
distribu vNetwork.
paramtres] .
Slectionnez un VLAN priv principal pour afficher l'ensemble de ses VLAN privs secondaires associs.
Slectionnez le VLAN priv secondaire supprimer.
Cliquez sur [Supprimer] sous ID VLAN priv secondaire, puis cliquez sur [OK] .
VMware, Inc.
Configurer des cartes rseau de commutateur distribu vNetwork

La vue du commutateur distribu vNetwork de la page de configuration de l'hte affiche la configuration des
commutateurs distribus vNetwork correspondants de l'hte et permet de configurer les ports de liaison
montante et les cartes rseau de commutateur distribu vNetwork.
Gestion des cartes physiques

Pour chaque hte associ un commutateur distribu vNetwork, vous devez affecter des adaptateurs rseau
physiques, ou liaisons montantes, au commutateur distribu vNetwork. Vous pouvez affecter une liaison
montante sur chaque hte par port de liaison montante sur le commutateur distribu vNetwork.
Ajouter une liaison montante un commutateur distribu vNetwork

Pour chaque hte associ un commutateur distribu vNetwork, vous devez affecter au moins un adapteur
rseau physique, ou liaison montante, au commutateur distribu vNetwork.
Procdure
1
Ouvrez une session sur vSphere Client et slectionnez un hte dans le panneau d'inventaire.
La page de configuration matrielle pour l'hte slectionn s'affiche.
Choisir la vue [Commutateur distribue vNetwork] .
Cliquez sur [Grer adaptateurs physiques] .
Cliquez sur [Cliquez pour ajouter carte rseau] pour le port de liaison montante auquel ajouter une
liaison montante.
Slectionnez la carte physique ajouter.

Si vous choisissez un adapteur attache un autre commutateur, elle est retire de ce commutateur et
raffecte ce commutateur distribu vNetwork.
Cliquez sur [OK] .
Supprimer une Liaison Montante d'un commutateur distribu vNetwork

Vous pouvez supprimer une liaison montante, ou l'adaptateur de rseau physique, d'un commutateur
distribu vNetwork.
Procdure
1
La page de configuration matrielle pour ce serveur s'affiche.
Choisir la vue [commutateur distribu vNetwork] .
Cliquez sur [Grer adaptateurs physiques] .
Cliquez sur [Supprimer] pour supprimer la liaison montante de [commutateur distribu vNetwork] .
Cliquez sur [OK] .
VMware, Inc.
35
Gestion des cartes rseau virtuelles

Les cartes rseau virtuelles grent les services rseau de l'hte sur un commutateur distribu vNetwork.
Vous pouvez configurer les adaptateurs virtuels VMkernel pour un hte ESXi travers un commutateur
distribu vNetwork associ en crant de nouvelles cartes virtuelles ou en migrant des adaptateurs virtuels
existants.
Crer un adapteur rseau VMkernel sur un commutateur distribu vNetwork

Crez un adapteur rseau VMkernel utilisable en tant qu'interface vMotion ou que groupes de ports de
stockage d'IP.
Procdure
1
Choisissez la vue de commutateur distribue vNetwork.
Cliquez sur [Grer adaptateurs virtuels] .
Cliquez sur [Ajouter] .
Slectionnez [Nouvel adaptateur virtuel] et cliquez sur [Suivant] .
Choisissez une connexion dvPort ou de groupe dvPort pour l'adaptateur virtuel.
Option
Description
Slectionnez un groupe de ports
Choisissez le groupe dvPort auquel connecter l'adaptateur virtuel dans le

menu droulant.
Slectionnez le port
Choisissez le dvPort auquel connecter l'adaptateur virtuel dans le menu

droulant.
Slectionnez [Utiliser cet adaptateur virtuel pour vMotion] pour permettre ce groupes de ports de
s'annoncer un autre hte ESXi comme connexion rseau o le trafic de vMotion est envoy.
hte ESXi. Si cette proprit n'est pas active pour un groupes de ports, la migration avec vMotion vers
cet hte n'est pas possible.
10
Choisissez [Utiliser cet adaptateur virtuel pour enregistrement tolrance pannes] .
11
Choisissez [Utiliser cet adaptateur virtuel pour le trafic gestion] , et cliquez sur [Suivant] .
12
Sous les paramtres IP, prcisez l'adresse IP et le masque de sous-rseau.

IPv6 ne peut pas tre utilise avec un adaptateur iSCSI matriel dpendant.
13
Cliquez sur [Modifier] pour dfinir la passerelle par dfaut de VMkernel pour les services de VMkernel,
tels que vMotion, NAS et iSCSI.
14
Dans l'onglet [Config. DNS] , le nom de l'hte est entr par dfaut. Le domaine et les adresses de serveur
DNS spcifies pendant l'installation sont galement prslectionns.
15
Sous l'onglet [Routage] , saisissez les informations de passerelle pour VMkernel. Une passerelle est
ncessaire pour la connectivit aux machines qui ne sont pas sur le mme sous-rseau IP que VMkernel.
Les paramtres IP sont statiques par dfaut. N'utilisez pas le routage pour les configurations logicielles
des chemins multiples iSCSI ni pour les adaptateurs iSCSI matriels dpendants.
36
VMware, Inc.
16
Cliquez sur [OK] , puis sur [Suivant] .
17
Migrer un adapteur virtuelle existante vers un commutateur distribu vNetwork

Vous pouvez migrer une carte virtuelle existante d'un commutateur standard vNetwork vers un commutateur
distribu vNetwork.
Procdure
1
Slectionnez [Migrer adaptateurs virtuels existants] et cliquez sur [Suivant] .
Slectionnez un ou plusieurs adaptateur de rseau virtuel migrer.
Pour chaque carte slectionne, choisissez un groupes de ports dans le menu droulant [Choisir un
groupe de ports] .
10
Migrer un adaptateur virtuel un commutateur standard vNetwork

Utilisez l'assistant Migrer vers commutateur virtuel pour migrer un adaptateur virtuel existant d'un
commutateur distribu vNetwork sur un commutateur standard vNetwork.
Procdure
1
La page de configuration matrielle pour ce serveur s'affiche.
Slectionnez l'adaptateur virtuel migrer, et cliquez sur [Migrer vers commutateur virtuel] .
L'assistant Migrer l'adaptateur virtuel s'affiche.
Slectionnez le vSwitch sur lequel migrer l'adaptateur et cliquez sur [Suivant] .
Entrez une [tiquette rseau] et optionnellement un [ID VLAN] pour l'adaptateur virtuel et cliquez
sur [Suivant] .
Cliquez sur [Terminer] pour migrer l'adaptateur virtuel et pour terminer l'assistant.
VMware, Inc.
37
Modifier la configuration de VMkernel sur un commutateur distribu vNetwork

Vous pouvez modifier les proprits d'un adapteur VMkernel existante sur un commutateur distribu
vNetwork depuis l'hte correspondant.
Procdure
1
Slectionnez l'adaptateur VMkernel modifier et cliquez sur [Modifier] .
Choisissez une connexion dvPort ou de groupe dvPort pour l'adaptateur virtuel.
Option
Description
Slectionnez un groupe de ports
Choisissez le groupe dvPort auquel connecter l'adaptateur virtuel dans le

menu droulant.
Slectionnez le port
Choisissez le dvPort auquel connecter l'adaptateur virtuel dans le menu

droulant.
Slectionnez [Utiliser cet adaptateur virtuel pour vMotion] pour permettre ce groupes de ports de
s'annoncer un autre hte ESXi comme connexion rseau o le trafic de vMotion est envoy.
hte ESXi. Si cette proprit n'est pas active pour un groupes de ports, la migration avec vMotion vers
cet hte n'est pas possible.
Choisissez [Utiliser cet adaptateur virtuel pour enregistrement tolrance pannes] .
Choisissez [Utiliser cet adaptateur virtuel pour le trafic gestion] , et cliquez sur [Suivant] .
10
Sous les paramtres IP, spcifiez l'adresse IP et le masque de sous-rseau, ou slectionnez [Obtenir les
paramtres IP automatiquement] .
11
Cliquez sur [Modifier] pour dfinir la passerelle par dfaut de VMkernel pour les services de VMkernel,
tels que vMotion, NAS et iSCSI.
12
Cliquez sur [OK] .
Supprimer un Adaptateur Virtuel

Retirez un adaptateur de rseau virtuel d'un commutateur distribu vNetwork dans la bote de dialogue Grer
Adaptateurs Virtuels.
Procdure
1
Slectionnez l'adaptateur virtuel supprimer et cliquez sur [Supprimer] .

Une bote de dialogue s'affiche avec le message,Voulez-vous vraiment supprimer <adapter name> ?
38
Cliquez sur [Oui] .
VMware, Inc.
Configurer la mise en rseau de machines virtuelles sur un

Connectez les machines virtuelles un commutateur distribu vNetwork en configurant un adaptateur
d'interface rseau de machine virtuelle individuelle ou en migrant des groupes de travail de machines virtuelles
depuis le commutateur distribu vNetwork.
Connectez les machines virtuelles aux commutateurs distribus vNetwork en connectant leurs cartes rseau
virtuelles correspondantes aux groupes de travail dvPort. Vous pouvez le faire pour une machine virtuelle
individuelle en modifiant la configuration de sa carte rseau, ou pour un groupes de machines virtuelles en
migrant les machines virtuelles depuis un rseau virtuel existant vers un commutateur distribu vNetwork.
Migrer les machines virtuelles depuis ou vers un commutateur distribu

vNetwork
En plus de la connexion de machines virtuelles un commutateur distribu vNetwork (vDS) au niveau
individuel, vous pouvez migrer un groupes de machines virtuelles entre un rseau vDS et un rseau de
commutateur standard vNetwork.
Procdure
1
distribu vNetwork.
Dans le menu [inventaire] , slectionnez [commutateur distribu vNetwork] > [Migrer la gestion de
rseau de machines virtuelles] .
L'assistant Migrer la mise en rseau de machines virtuelles apparat.
Dans le menu droulant [Choisir le rseau source] , slectionnez le rseau virtuel source de la migration.
Slectionnez le rseau virtuel cible de la migration dans le menu droulant [Choisir le rseau de
destination] .
Cliquez sur [Afficher machines virtuelles] .

Les machines virtuelles associes au rseau virtuel l'origine de la migration s'affichent dans le champ
[Slectionner machines virtuelles] .
Slectionnez les machines virtuelles migrer vers le rseau virtuel de destination et cliquez sur [OK] .
Connecter une machine virtuelle individuelle un groupes dvPort

Connectez une machine virtuelle individuelle un commutateur distribu vNetwork en modifiant la
configuration de la carte d'interface rseau de la machine virtuelle.
Procdure
1
Ouvrez une session sur le vSphere Client et slectionnez la machine virtuelle dans le panneau d'inventaire.
Cliquez sur l'onglet [Rsum] et cliquez sur [Modifier les paramtres] .
Dans l'onglet [Matriel] , slectionnez la carte rseau virtuelle.
Slectionnez le groupes dvPort vers lequel migrer partir du menu droulant [tiquette rseau] , puis
cliquez sur [OK] .
VMware, Inc.
39
Commande d'E/S rseau

Les pools de ressources rseau dterminent la priorit accorde diffrents types de trafic rseau sur un vDS.
Lorsqu'un contrle d'E/S de rseau est activ, le trafic vDS est divis en pools de ressources rseau suivants :
trafic FT, trafic iSCSI, trafic vMotion, trafic de gestion, trafic NFS et trafic de machine virtuelle. Vous pouvez
contrler la priorit du trafic de chacun de ces pools de ressources rseau en dfinissant ses paramtres
[Partages adaptateurs physiques] et [Limites de l'hte] .
Les [partages adaptateurs physiques] assigns un pool de ressources rseau dterminent le partage de la
bande passante disponible totale accorde au trafic associ au pool de ressources rseau. Le partage de bande
passante de transmission disponible pour un pool de ressources rseau dpend des partages du pool de
ressources rseau et des donnes transmises par les autres pools de ressources rseau. Par exemple, si vous
dfinissez vos pools de ressources du trafic FT et iSCSI 100 partages, alors que chacun des autres pools de
ressources est dfini sur 50 partages, les pools de ressources du trafic FT et iSCSI reoivent chacun 25 % de la
bande passante disponible et les quatre pools de ressources restant. Les autres pools de ressources rseau
reoivent chacun 12,5 % de la bande passante disponible. Ces rservations s'appliquent uniquement lorsque
la carte physique est sature.
REMARQUE Les partages de pool de ressources de trafic iSCSI ne s'appliquent pas au trafic iSCSI d'un adapteur
iSCSI matrielle dpendante.
La limite d'hte [Limite hte] d'un pool de ressources rseau est la limite suprieure de bande passante que
le pool de ressources rseau peut utiliser.
Activer le contrle d'E/S rseau sur un vDS

Autorisez la gestion des ressources rseau pour donner les priorits du trafic rseau en fonction de son type
l'aide des pools de ressources rseau.
Prrequis
Vrifiez qu'il y a au moins une version de commutateur distribu vNetwork version 4.1 sur votre centre de
donnes.
Procdure
1
vNetwork.
Sur l'onglet [Allocation des ressources] , cliquez sur [Proprits] .
Slectionnez [Activer le rseau de gestion des ressources sur ce vDS] et cliquez sur [OK] .
Modifier les paramtres de pool de ressources rseau

Vous pouvez modifier les paramtres de pool de ressources rseau, tels que les partages et les limites allous
pour chaque pool de ressources rseau.
Procdure
40
vNetwork.
Dans l'onglet [Allocation des ressources] , cliquez avec le bouton droit sur le pool de ressources rseau
modifier et slectionnez [Modifier les paramtres] .
VMware, Inc.
Slectionnez les partages de carte physique dans [Partages adaptateurs physiques] pour le pool de
ressources rseau.
Option
Description
Personnalis
Entrez un nombre spcifique de partages, de 1 100, pour ce pool de

ressources rseau.
Haut
Dfinit les partages pour ce pool de ressources sur 100.
Normal
Bas
Dfinissez [Limite hte] pour le pool de ressources rseau en mgabits par seconde ou slectionnez
[Illimit] .
Cliquez sur [OK] .
VMware, Inc.
41
42
VMware, Inc.
Mise en rseau avance
La rubrique suivante vous guide travers les tapes de mise en rseau avance dans un environnement
ESXi, et vous explique comment configurer et modifier les options de configuration de mise en rseau avance.
n
Protocole Internet Version 6 , page 43
Configuration VLAN , page 44
Rgles de mise en rseau , page 44
Changer les configurations de routage et DNS , page 62
Adresses MAC , page 62
Dlestage de segmentation TCP et Trames jumbo , page 64
NetQueue et performances rseau , page 66
E/S VMDirectPath , page 67
Protocole Internet Version 6

vSphere prend en charge les environnements de Protocole Internet version 4 (IPv4) et version 6 (IPv6).
L'IETF (Internet Engineering Task Force) a conu IPv6 pour succder IPv4. L'adoption d'IPv6, en tant que
protocole autonome et dans un environnement mlang avec IPv4, se dveloppe rapidement. Avec IPv6, vous
pouvez utiliser les fonctionnalits de vSphere dans un environnement IPv6.
La diffrence majeure entre IPv4 et IPv6 est la longueur d'adresse. L'IPv6 utilise des adresses 128 bits plutt
que des adresses 32 bits employes par IPv4. Cela vite le problme de l'puisement d'adresse prsent avec
IPv4 et limine le besoin de traduction d'adresses rseau. Il existe d'autres diffrences notables, telles que les
adresses locales de lien qui apparaissent lorsque l'interface est initialise, les adresses qui sont dfinies par des
annonces de routage et la capacit d'avoir de multiples adresse IPv6 sur une interface.
Une configuration spcifique IPv6 dans vSphere implique de fournir des adresses IPv6 en saisissant des
adresses statiques ou en utilisant un schma de configuration d'adresse automatique pour toutes les interfaces
rseau vSphere appropries.
VMware, Inc.
43
Activer le support IPv6 sur un hte ESXi

Vous pouvez activer ou mettre hors tension un support IPv6 sur l'hte. IPv6 est dsactiv par dfaut.
Procdure
1
Cliquez sur la flche ct du bouton [inventaire] dans la barre de navigation et slectionnez [Htes et
clusters] .
Choisissez l'hte et cliquez sur l'onglet [Configuration] .
Cliquez sur le lien [Mise en rseau] sous Matriel.
Dans la vue Commutateur virtuel, cliquez sur le lien [Proprits] .
Slectionnez [Activer support IPv6 sur systme hte] et cliquez sur [OK] .
Redmarrez l'hte.
Configuration VLAN
Les VLAN (LAN virtuels) permettent un segment LAN physique unique d'tre davantage segment de sorte
que des groupes de travail de ports soient isols les uns des autres comme s'ils se trouvaient sur des segments
physiquement diffrents.
La configuration ESXi avec les VLAN est recommande pour les raisons suivantes.
n
Intgration de l'hte dans un environnement prexistant.
Scurisation du trafic rseau.
Rduction de la congestion du trafic rseau.
Le trafic iSCSI ncessite un rseau isol.
Vous pouvez configurer les VLAN dans ESXi avec trois mthodes : Balisage de commutateur externe (EST),
Balisage de commutateur virtuel (VST) et Balisage d'invit virtuel (VGT).
Avec EST, tous les balisages VLAN de paquets sont excuts sur le commutateur physique. Les adaptateurs
rseau htes sont connects aux ports d'accs sur le commutateur physique. Les groupes de ports connects
au commutateur virtuel doivent avoir leur ID VLAN rgle sur 0.
Avec VST, tous les balisages VLAN de paquets sont excuts par le commutateur virtuel avant de quitter l'hte.
Les adaptateurs rseau htes doivent tre connects aux ports trunk sur le commutateur physique. Les groupes
de ports connects au commutateur virtuel doivent avoir une ID VLAN approprie spcifie.
Avec VGT, tous les balisages VLAN sont excuts par la machine virtuelle. Les balises VLAN sont conserves
entre la pile rseau de la machine virtuelle et le commutateur externe quand les trames passent par les
commutateurs virtuels. Les ports de commutateur physique sont rgls sur le port trunk.
REMARQUE En utilisant VGT, vous devez avoir un pilote trunk 802.1Q VLAN install sur la machine virtuelle.
Rgles de mise en rseau

Les rgles configures au niveau du groupes dvPort ou du commutateur vSwitch s'appliquent tous les
groupes de travail de ports sur ce vSwitch ou aux dvPort dans le groupes dvPort, l'exclusion des options de
configuration qui sont remplaces au niveau du dvPort ou du groupes de ports.
Vous pouvez appliquer les rgles de mise en rseau suivantes.
44
Basculement et quilibrage de charge
VLAN (commutateur distribu vNetwork uniquement)
VMware, Inc.
Chapitre 5 Mise en rseau avance
Scurit
Formation du trafic
Rgles de blocage de ports (commutateur distribu vNetwork uniquement)
Rgle de basculement et d'quilibrage de charge

Les rgles de basculement et d'quilibrage de charge permettent de dterminer la rpartition du trafic rseau
entre les cartes et de racheminer le trafic en cas d'chec d'un adapteur.
Vous pouvez modifier la rgle de basculement et d'quilibrage de charge en configurant les paramtres
suivants :
n
[Rgle d'quilibrage de charge] dtermine la distribution du trafic sortant entre les adaptateurs rseau
assigns un commutateur vSwitch.
REMARQUE Le trafic entrant est contrl par la rgle d'quilibrage de charge sur le commutateur physique.
[Dtection reprise] contrle l'tat de lien et le sondage de balise. La signalisation n'est pas pris en charge
par le balisage VLAN invit.
[Commande adaptateur rseau] peut tre actif ou en veille.
Modifier la rgle de basculement et d'quilibrage de charge sur un commutateur

vSwitch
Procdure
1
Cliquez sur l'onglet [Configuration] , puis sur [Mise en rseau] .
Dans la bote de dialogue Proprits de vSwitch, cliquez sur l'onglet [Ports] .
Pour modifier les valeurs de basculement et d'quilibrage de charge du commutateur vSwitch,

slectionnez l'lment vSwith et cliquez sur [Proprits] .
Cliquez sur l'onglet [Association de cartes rseau] .

Vous pouvez remplacer l'ordre de basculement au niveau du groupes de ports. Par dfaut, les nouveaux
adaptateurs sont actifs pour toutes les rgles. Les nouveaux adaptateurs transportent le trafic pour le
commutateur vSwitch et son groupes de ports, sauf indication contraire.
VMware, Inc.
45
Spcifiez les paramtres dans le groupes d'exceptions la rgle.

Option
Description
quilibrage de charge
Spcifiez comment choisir une liaison montante.

[Route base sur l'ID du port d'origine] . Choisissez une liaison
montante en fonction du port virtuel par lequel le trafic est entr dans le
commutateur virtuel.
n [Route base sur le hachage IP] . Choisissez une liaison montante en
fonction d'un hachage des adresses IP de source et de destination de
chaque paquet. Pour les paquets non IP, les lments prsents ces
positions servent calculer le hachage.
n [Route base sur le hachage MAC source] . Choisissez une liaison
montante en fonction d'un hachage de l'Ethernet source.
n [Utiliser la commande de basculement explicite] . Toujours utiliser la
liaison montante d'ordre suprieur dans la liste des adaptateurs actifs
qui vrifient les critres de dtection du basculement.
REMARQUE L'association base sur IP exige que le commutateur physique
soit configur avec etherchannel. Pour toutes les autres options, etherchannel
doit tre dsactiv.
n
46
Dtection de basculement de rseau
Spcifiez la mthode pour l'utiliser pour la dtection de basculement.

n [tat de lien seulement] . Repose uniquement sur l'tat du lien fourni
par l'adaptateur rseau. Cette option dtecte les dfaillances, telles que
les dbranchements de cble et les dfaillances d'alimentation de
commutateurs physiques, mais pas les erreurs de configuration, comme
un port physique de commutateur bloqu par Spanning tree ou
configur vers un VLAN incorrect ou des dbranchements de cble de
l'autre ct d'un commutateur physique.
n [Sondage balise] . Envoie et dtecte des sondes de balise sur toutes les
cartes rseau de l'association et utilise cette information, relie l'tat du
lien, pour dterminer les dfaillances de liens. Ceci dtecte plusieurs des
checs prcdemment mentionns qui ne sont pas dtects par l'tat du
lien seulement.
Notifier les commutateurs
Slectionnez [Oui] ou [Non] pour notifier les commutateurs en cas de

basculement.
Si vous slectionnez [Oui] , chaque fois qu'une carte rseau virtuelle est
connect au vSwitch ou chaque fois que le trafic de cette carte rseau virtuelle
est achemine par une autre carte rseau physique de l'association en raison
d'un vnement de basculement, une notification est envoye sur le rseau
pour mettre niveau les tables de recherche sur les commutateurs physiques.
Dans presque tous les cas, ce processus est souhaitable pour obtenir la plus
basse latence dans les occurrences de basculement et les migrations avec
vMotion.
REMARQUE N'utilisez pas cette option quand les machines virtuelles utilisant
le groupes de ports utilisent l'quilibrage de charge rseau Microsoft dans le
mode monodiffusion. Ce problme n'existe pas lorsque NLB fonctionne en
mode multidiffusion.
VMware, Inc.
Option
Description
Retour arrire
Slectionnez [Oui] ou [Non] pour mettre hors tension ou activer le retour

arrire.
Cette option dtermine le mode de retour en activit d'un adaptateur
physique lors de la rcupration aprs chec. Si le retour arrire est dfini
sur [Oui] , la carte est ramene au service actif immdiatement aprs la
rcupration, en dplaant la carte de rserve qui a occup son slot le cas
chant. Si le retour arrire est dfini sur [Non] , un adapteur dfectueuse
est laiss inactive, mme aprs la rcupration, jusqu' ce qu'une autre carte
actuellement active choue, exigeant son remplacement.
ordre de basculement
Spcifiez comment rpartir la charge de travail pour les liaisons montantes.

Si vous voulez utiliser certaines liaisons montantes mais en rservez d'autres
pour les urgences si des liaisons montantes en cours d'utilisation chouent,
dfinissez cette condition en les dplaant dans diffrents groupes :
n [Liaisons montantes actives] . Continuez utiliser la liaison montante
si la connectivit de l'adaptateur rseau est disponible et en activit.
n [Liaisons montantes en attente] . Utilisez cette liaison montante si la
connectivit d'un adaptateur actif est indisponible.
n [Liaisons montantes inutilises] . N'utilisez pas cette liaison montante.
Cliquez sur [OK] .
Modifier la rgle de basculement et d'quilibrage de charge sur un groupes de ports

Procdure
1
Slectionnez un groupes de ports et cliquez sur [Modifier] .
Dans la bote de dialogue Proprits, cliquez sur l'onglet [Ports] .
Pour diter les valeurs [Basculement et quilibrage de charge] du groupe de ports, slectionnez le groupe
de ports et cliquez sur [Proprits] .
Cliquez sur l'onglet [Association de cartes rseau] .

Vous pouvez remplacer l'ordre de basculement au niveau du groupes de ports. Par dfaut, les nouveaux
adaptateurs sont actifs pour toutes les rgles. Les nouveaux adaptateurs transportent le trafic pour le
commutateur vSwitch et son groupes de ports, sauf indication contraire.
VMware, Inc.
47
Spcifiez les paramtres dans le groupes d'exceptions la rgle.

Option
Description

[Route base sur l'ID du port d'origine] . Choisissez une liaison
montante en fonction du port virtuel par lequel le trafic est entr dans le
n [Route base sur le hachage IP] . Choisissez une liaison montante en
fonction d'un hachage des adresses IP de source et de destination de
chaque paquet. Pour les paquets non IP, les lments prsents ces
positions servent calculer le hachage.
n [Route base sur le hachage MAC source] . Choisissez une liaison
n [Utiliser la commande de basculement explicite] . Toujours utiliser la
liaison montante d'ordre suprieur dans la liste des adaptateurs actifs
qui vrifient les critres de dtection du basculement.
doit tre dsactiv.
n
48

n [tat de lien seulement] . Repose uniquement sur l'tat du lien fourni
par l'adaptateur rseau. Cette option dtecte les dfaillances, telles que
les dbranchements de cble et les dfaillances d'alimentation de
n [Sondage balise] . Envoie et dtecte des sondes de balise sur toutes les
cartes rseau de l'association et utilise cette information, relie l'tat du
lien, pour dterminer les dfaillances de liens. Ceci dtecte plusieurs des
lien seulement.

basculement.
Si vous slectionnez [Oui] , chaque fois qu'une carte rseau virtuelle est
connect au vSwitch ou chaque fois que le trafic de cette carte rseau virtuelle
est achemine par une autre carte rseau physique de l'association en raison
d'un vnement de basculement, une notification est envoye sur le rseau
pour mettre niveau les tables de recherche sur les commutateurs physiques.
Dans presque tous les cas, ce processus est souhaitable pour obtenir la plus
basse latence dans les occurrences de basculement et les migrations avec
vMotion.
VMware, Inc.
Option
Description
Retour arrire

arrire.

Si vous voulez utiliser certaines liaisons montantes mais en rservez d'autres
n [Liaisons montantes actives] . Continuez utiliser la liaison montante
si la connectivit de l'adaptateur rseau est disponible et en activit.
n [Liaisons montantes en attente] . Utilisez cette liaison montante si la
connectivit d'un adaptateur actif est indisponible.
n [Liaisons montantes inutilises] . N'utilisez pas cette liaison montante.
Cliquez sur [OK] .
Modifier la rgle d'association et de basculement sur un groupes dvPort

Les rgles Teaming and Failover permettent de dterminer la rpartition du trafic rseau entre les cartes et de
racheminer le trafic en cas d'chec d'un adapteur.
Procdure
1
Slectionnez [Rgles] .
VMware, Inc.
49
Dans le groupes Teaming and Failover, spcifiez les lments suivants.

Option
Description

[Route base sur ID port d'origine] : choisissez une liaison montante
base sur le port virtuel par lequel est entr le trafic dans le commutateur
virtuel.
n [Route base sur le hachage IP] : choisissez une liaison montante en
fonction d'un hachage des adresses IP source et de destination de chaque
paquet. Pour les paquets non IP, les lments prsents ces positions
servent calculer le hachage.
n [Route base sur hachage MAC source] : choisissez une liaison
n [Route base sur la charge NIC physique] Choisissez une liaison
montante base sur les charges actuelles des NIC physiques.
n [Utiliser la commande de basculement explicite] : Utilisez toujours la
liaison montante d'ordre suprieur dans la liste des cartes actives qui
satisfait les critres de dtection de basculement.
doit tre dsactiv.
n
50

n [tat de lien seulement] : base uniquement sur l'tat du lien que la carte
rseau fournit. Cette option dtecte les dfaillances, telles que les
dbranchements de cble et les dfaillances d'alimentation de
n [Sondage balise] : envoie et coute des sondes de balise sur toutes les
cartes rseau dans l'association et emploie ces informations, en plus de
l'tat de lien, pour dterminer l'chec du lien. Ceci dtecte plusieurs des
lien seulement.
REMARQUE Ne choisissez pas le sondage de balise avec l'quilibrage de charge
avec hachage IP.

basculement.
Si vous slectionnez [Oui] , chaque fois qu'un adaptateur rseau virtuelle
est connect au vSwitch ou chaque fois que le trafic de cette carte rseau
virtuelle est achemin par une autre carte rseau physique de l'association
en raison d'un vnement de basculement, une notification est envoye sur
le rseau pour mettre niveau les tables de recherche sur les commutateurs
physiques. Dans presque tous les cas, ce processus est souhaitable pour
obtenir la plus basse latence dans les occurrences de basculement et les
migrations avec vMotion.
VMware, Inc.
Option
Description
Retour arrire

arrire.

Si vous voulez utiliser certaines liaisons montantes mais en rserver d'autres
n [liaison montante active] : continuez utiliser la liaison montante
quand la connectivit de la carte rseau est active.
n [Liaisons montantes de rserve] Utilisez cette liaison montante si la
connectivit d'une des cartes actives est coupe.
n [Liaisons montantes inutiliss] : n'utilisez pas cette liaison montante.
REMARQUE En utilisant l'quilibrage de charge pas hachage IP, ne configurez
pas les liaisons montantes de rserve.
Cliquez sur [OK] .
Modifier les rgles d'association de dvPort et de basculement

Les rgles Teaming and Failover permettent de dterminer la rpartition du trafic rseau entre les cartes et de
racheminer le trafic en cas d'chec d'un adapteur.
Prrequis
Pour modifier les rgles d'association et de basculement sur un dvPort individuel, le groupes dvPort associ
doit tre paramtr pour autoriser les remplacements de rgles.
Procdure
1
paramtres] .
La bote de dialogue [Paramtrages port] apparat.
VMware, Inc.
Cliquez sur [Rgles] pour afficher et modifier les rgles de rseau des ports.
51
Dans le groupes Teaming and Failover, spcifiez les lments suivants.

Option
Description

[Route base sur ID port d'origine] : choisissez une liaison montante
base sur le port virtuel par lequel est entr le trafic dans le commutateur
virtuel.
n [Route base sur le hachage IP] : choisissez une liaison montante en
fonction d'un hachage des adresses IP source et de destination de chaque
paquet. Pour les paquets non IP, les lments prsents ces positions
servent calculer le hachage.
n [Route base sur hachage MAC source] : choisissez une liaison
n [Route base sur la charge NIC physique] Choisissez une liaison
montante base sur les charges actuelles des NIC physiques.
n [Utiliser la commande de basculement explicite] : Utilisez toujours la
liaison montante d'ordre suprieur dans la liste des cartes actives qui
satisfait les critres de dtection de basculement.
doit tre dsactiv.
n
52

n [tat de lien seulement] : base uniquement sur l'tat du lien que la carte
rseau fournit. Cette option dtecte les dfaillances, telles que les
dbranchements de cble et les dfaillances d'alimentation de
n [Sondage balise] : envoie et coute des sondes de balise sur toutes les
cartes rseau dans l'association et emploie ces informations, en plus de
l'tat de lien, pour dterminer l'chec du lien. Ceci dtecte plusieurs des
lien seulement.
REMARQUE Ne choisissez pas le sondage de balise avec l'quilibrage de charge
avec hachage IP.

basculement.
Si vous slectionnez [Oui] , chaque fois qu'un adaptateur rseau virtuelle
est connect au vSwitch ou chaque fois que le trafic de cette carte rseau
virtuelle est achemin par une autre carte rseau physique de l'association
en raison d'un vnement de basculement, une notification est envoye sur
le rseau pour mettre niveau les tables de recherche sur les commutateurs
physiques. Dans presque tous les cas, ce processus est souhaitable pour
obtenir la plus basse latence dans les occurrences de basculement et les
migrations avec vMotion.
VMware, Inc.
Option
Description
Retour arrire

arrire.

Si vous voulez utiliser certaines liaisons montantes mais en rserver d'autres
n [liaison montante active] : continuez utiliser la liaison montante
quand la connectivit de la carte rseau est active.
n [Liaisons montantes de rserve] Utilisez cette liaison montante si la
connectivit d'une des cartes actives est coupe.
n [Liaisons montantes inutiliss] : n'utilisez pas cette liaison montante.
REMARQUE En utilisant l'quilibrage de charge pas hachage IP, ne configurez
pas les liaisons montantes de rserve.
Cliquez sur [OK] .
Rgle VLAN
La rgle de VLAN permet aux rseaux virtuels de joindre des VLAN physiques.
Modifier la rgle VLAN sur un groupes dvPort

Vous pouvez modifier la configuration de la rgle VLAN sur un groupes dvPort.
Procdure
1
Slectionnez [VLAN] .
Slectionnez le type de VLAN [VLAN Type] utiliser.

Option
Description
Aucune
N'utilise pas de VLAN.
VLAN
Dans le champ [ID VLAN] , entrez un nombre entre 1 et 4094.
jonction VLAN
Entrez une plage de jonctions VLAN dans [Intervalle de joncteur rseau

VLAN] .
VLAN priv
Slectionnez un VLAN priv disponible utiliser.
Modifier les rgles VLAN du dvPort

Une rgle VLAN dfinie au niveau du dvPort permet au dvPort individuel de remplacer la rgle VLAN dfinie
au niveau du groupes dvPort.
Prrequis
Pour modifier les rgles VLAN sur un dvPort individuel, le groupes dvPort associ doit tre paramtr pour
autoriser les remplacements de rgles.
VMware, Inc.
53
Procdure
1
paramtres] .
Cliquez sur [Rgles] .
Slectionnez le type de VLAN utiliser.
Option
Action
Aucune
Ne pas utiliser de VLAN.
VLAN
Dans le champ VLAN ID, entrez un nombre entre 1 et 4095.
jonction VLAN
Entrez une plage de jonctions VLAN.
VLAN priv
Slectionnez un VLAN priv disponible utiliser.
Cliquez sur [OK] .
Rgle de scurit
Les rgles de scurit rseau dterminent la faon dont la carte filtre les trames entrantes et sortantes.
La couche 2 est la couche de liaison de donnes. Les trois lments de la rgle de scurit sont le mode
promiscuit, les changements d'adresse MAC et les Transmissions forges.
En mode non-promiscuit, un adapteur invite coute uniquement le trafic transfr sur sa propre adresse
MAC. En mode promiscuit, elle peut couter l'ensemble des trames. Par dfaut, les cartes invites sont
configures sur le mode non-promiscuit.
Modifier la rgle de scurit de la couche 2 sur un commutateur vSwitch

Contrlez la gestion de trames entrantes et sortantes en modifiant les rgles de scurit de la couche 2.
Procdure
1
Ouvrez une session sur VMware vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Cliquez sur [Proprits] pour le commutateur vSwitch modifier.
Slectionnez l'lment vSwitch et cliquez sur [Modifier] .
Dans la bote de dialogue Proprits, cliquez sur l'onglet [Scurit] .

Par dfaut, le mode [Mode promiscuit :] est dfini sur [Rejeter] ; [Modifications d'adresse MAC]
et [Transmissions forces :] sont dfinis sur [Accepter] .
La rgle s'applique toutes les cartes virtuelles sur le commutateur vSwitch except quand le groupes de
ports pour la carte virtuelle spcifie une exception la rgle.
54
VMware, Inc.
Dans le volet Exceptions rgle, choisissez de rejeter ou d'accepter les exceptions la rgle de scurit.
Tableau 5-1. Exceptions de rgle
Mode
Rejeter
Accepter
Mode promiscuit
Une carte invite en mode

promiscuit n'a aucun effet sur la
rception des trames qu'elle reoit.
Une carte invite en mode promiscuit

dtecte toutes les trames transmises
au vSwitch qui sont autorises par la
rgle VLAN pour le groupes de ports
auquel est connecte la carte.
Modifications d'adresse MAC
Si le systme d'exploitation invit

modifie l'adresse MAC de la carte
par une autre ne figurant pas dans le
fichier de configuration .vmx, toutes
les trames entrantes sont
supprimes.
rechange l'adresse MAC pour qu'elle
corresponde l'adresse MAC
figurant dans le fichier de
configuration .vmx, les trames
entrantes sont de nouveau envoyes.
Si l'adresse MAC du systme

d'exploitation invit change, les
trames pour la nouvelle adresse MAC
sont reues.
Transmissions forges
Toutes les trames sortantes dont

l'adresse MAC source diffre de celle
dfinie sur la carte sont supprimes.
Aucun filtrage n'est excut et toutes

les trames sortantes sont transmises.
Cliquez sur [OK] .
Modifier l'exception la rgle de scurit de la couche 2 sur un groupes de ports

Contrlez la gestion de trames entrantes et sortantes en modifiant les rgles de scurit de la couche 2.
Procdure
1
Ouvrez une session sur VMware vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Cliquez sur [Proprits] pour le groupes de ports modifier.
Slectionnez l'lment de groupes de ports et cliquez sur [Modifier] .
Dans la bote de dialogue Proprits pour le groupes de ports, cliquez sur l'onglet [Scurit] .
Par dfaut, [Mode promiscuit] est dfini sur [Rejeter] . [Modifications d'adresse MAC] et
[Transmissions forces :] sont dfinis sur [Accepter] .
L'exception la rgle remplace toute rgle dfinie au niveau du commutateur vSwitch.
VMware, Inc.
55
Mode
Rejeter
Accepter
Mode promiscuit



supprimes.

sont reues.


Cliquez sur [OK] .
Modifier la rgle de scurit sur un groupes dvPort

Contrlez la gestion des trames entrantes et sortantes pour un groupes dvPort en modifiant les rgles de
scurit.
Procdure
1
Dans la bote de dialogue Proprits pour le groupes de ports, cliquez sur l'onglet [Scurit] .
Par dfaut, [Mode promiscuit] est dfini sur [Rejeter] . [Modifications d'adresse MAC] et
[Transmissions forces :] sont dfinis sur [Accepter] .
L'exception la rgle remplace toute rgle dfinie au niveau du commutateur vSwitch.
56
VMware, Inc.
Mode
Rejeter
Accepter
Mode promiscuit



supprimes.

sont reues.


Cliquez sur [OK] .
Modifier les rgles de scurit du dvPort

Contrlez la gestion des trames entrantes et sortantes pour un dvPort en modifiant les rgles de scurit.
Prrequis
Pour modifier les rgles de scurit sur un dvPort individuel, le groupes dvPort associ doit tre paramtr
pour autoriser les remplacements de rgles.
Procdure
1
paramtres] .

Par dfaut, le mode [Mode promiscuit :] est dfini sur [Rejeter] ; [Modifications d'adresse MAC]
et [Transmissions forces] sont dfinis sur [Accepter] .
VMware, Inc.
57
Dans le groupes Scurit, choisissez de rejeter ou d'accepter les exceptions aux rgles de scurit.
Tableau 5-4. Exceptions
Mode
Rejeter
Accepter
Mode promiscuit



supprimes.

sont reues.


Cliquez sur [OK] .
Rgle de formation du trafic

Une rgle de formation du trafic est dfinie par les trois caractristiques suivantes : bande passante moyenne,
bande passante maximale et taille de rafale. Vous pouvez tablir une rgle de formation du trafic pour chaque
groupes de ports et chaque dvPort ou groupes dvPort.
ESXi contrle le trafic du rseau sortant sur des commutateurs vSwitch, et le trafic entrant et sortant sur un
commutateur distribu vNetwork. La formation du trafic limite la bande passante de rseau la disposition
d'un port, mais elle peut galement tre configure pour permettre des rafales du trafic de traverser des
vitesses plus leves.
58
Bande passante
moyenne
tablit le nombre de bits par seconde autoriser sur un port, en moyenne dans
le temps : charge moyenne autorise.
Bande passante
maximale
Nombre maximal d'octets par seconde autoriser travers un port quand il

reoit ou envoie une rafale de trafic. Ce paramtre limite la bande passante
utilise par un port lorsqu'il utilise son bonus de rafale.
Taille de rafale
Nombre maximal d'octets autoriser dans une rafale. Si ce paramtre est dfini,
un port peut obtenir un bonus de rafale s'il n'utilise pas toute sa bande passante
alloue. Chaque fois que le port a besoin de plus de bande passante que la
quantit spcifie par [Bande passante moyenne] , il peut tre autoris
transmettre temporairement des donnes une vitesse plus leve si un bonus
de rafale est disponible. Ce paramtre limite le nombre d'octets qui peuvent
tre cumuls dans le bonus de rafale et ainsi transfrs une vitesse plus leve.
VMware, Inc.
Modifier la rgle de formation du trafic sur un commutateur vSwitch

Utilisez les rgles de formation du trafic pour contrler la taille de la bande passante et des rafales sur un
commutateur vSwitch.
Procdure
1
Cliquez sur [Proprits] pour le commutateur vSwitch modifier.
Slectionnez l'lment vSwitch et cliquez sur [Modifier] .
Dans la bote de dialogue Proprits, cliquez sur l'onglet [Formation du trafic] .

Quand la formation du trafic est dsactive, les options sont grises. Vous pouvez remplacer de manire
slective toutes les fonctionnalits de formation du trafic au niveau du groupes de ports, si la formation
du trafic est active.
Cette rgle est applique chaque carte virtuelle individuelle relie au groupes de ports, et non au
commutateur vSwitch dans son ensemble.
REMARQUE La bande passante maximale ne peut pas tre infrieure la bande passante moyenne spcifie.
Option
Description
tat
Si vous activez l'exception la rgle dans le champ [tat] , vous limitez

l'allocation de bande passante rseau pour chaque carte virtuelle associe
ce groupes de ports particulier. Si vous dsactivez la rgle, les services ont
une connexion libre et claire au rseau physique.
Bande passante moyenne
Valeur mesure sur une priode de temps spcifique.
Bande passante maximale
Limite la bande passante maximale au cours de la rafale. Elle doit toujours

tre suprieure la bande passante moyenne.
Taille de rafale
Spcifie la capacit d'une rafale en kilooctets (ko).
Modifier la rgle de formation du trafic sur un groupes de ports

Utilisez les rgles de formation du trafic pour contrler la taille de la bande passante et des rafales sur un
groupes de ports.
Procdure
1
Cliquez sur [Proprits] pour le groupes de ports modifier.
VMware, Inc.
59
Slectionnez l'lment de groupes de ports et cliquez sur [Modifier] .
Dans la bote de dialogue Proprits pour le groupes de ports, cliquez sur l'onglet [Formation du
trafic] .
Quand la formation du trafic est dsactive, les options sont grises.
Option
Description
tat


Taille de rafale
Modifier la rgle de formation du trafic sur un groupes de dvPort

Vous pouvez contrler le trafic entrant et sortant sur des commutateurs distribus vNetwork. Vous pouvez
limiter la bande passante rseau disponible pour un port, et galement autoriser temporairement les rafales
de trafic traverser un port des vitesses plus leves.
bande passante maximale et taille de rafale. Les rgles de formation du trafic ne s'appliquent pas au trafic iSCSI
sur un adaptateur matriel iSCSI dpendant.
Procdure
1
Slectionnez [Formation du trafic] .
Dans la bote de dialogue Proprits pour le groupes de ports, cliquez sur l'onglet [Formation du
trafic] .
Vous pouvez configurer la formation du trafic entrant et sortant. Quand la formation du trafic est
dsactive, les options sont grises.
REMARQUE La bande passante maximale ne peut pas tre infrieure la bande passante moyenne spcifie.
60
Option
Description
tat


Taille de rafale
VMware, Inc.
Modifier les rgles de formation du trafic du dvPort

Vous pouvez contrler le trafic entrant et sortant sur des commutateurs distribus vNetwork. Vous pouvez
limiter la bande passante rseau disponible pour un port, et galement autoriser temporairement les rafales
de trafic traverser un port des vitesses plus leves.
bande passante maximale et taille de rafale. Les rgles de formation du trafic ne s'appliquent pas au trafic iSCSI
sur un adaptateur matriel iSCSI dpendant.
Prrequis
Pour modifier les rgles de formation du trafic sur un dvPort individuel, le groupes dvPort associ doit tre
paramtr pour autoriser les remplacements de rgles.
Procdure
1
Sur l'onglet [Ports] , cliquez avec le bouton droit sur le port modifier et slectionnez [Modifier les
paramtres] .
Dans le groupes de formation du trafic, vous pouvez configurer la formation du trafic entrant et sortant.
Quand la formation du trafic est dsactive, les options sont grises.
Option
Description
tat


Taille de rafale
Cliquez sur [OK] .
Rgles de blocage des ports

Configurez les rgles de blocage pour les dvPorts depuis la bote de dialogue des rgles diverses.
Modifier la rgle de blocage des ports sur un groupes dvPort

Configurez la rgle de blocage des ports pour un groupes dvPort sous les rgles diverses.
Procdure
1
Slectionnez [Divers] .
Choisissez de bloquer tous les ports avec [Bloquer tous les ports] sur ce groupes dvPort.
VMware, Inc.
61
Modifier la rgle de blocage des ports dvPort

La bote de dialogue des rgles diverses permet de configurer des rgles de blocage de ports pour un dvPort.
Procdure
1
paramtres] .
Dans le groupes [Divers] , choisissez de bloquer ou non ce port avec [Bloquer tous les ports] .
Cliquez sur [OK] .
Changer les configurations de routage et DNS

Vous pouvez modifier les informations du serveur DNS ou de passerelle par dfaut fournies lors de
l'installation la page de configuration de l'hte dans vSphere Client.
Procdure
1
Cliquez sur l'onglet [Configuration] , puis sur [DNS et routage] .
droite de la fentre, cliquez sur [Proprits] .
Dans l'onglet [Config. DNS] , entrez un nom et un domaine.
Choisissez d'obtenir automatiquement l'adresse du serveur DNS ou d'utiliser une adresse du serveur DNS.
Spcifiez les domaines de recherche d'htes.
Sur l'onglet [Routage] , modifiez les informations de passerelle par dfaut, si ncessaire.
Cliquez sur [OK] .
Adresses MAC
Les adresses MAC sont gnres pour les cartes rseau virtuelles utilises par la le VMkernel et les machines
virtuelles.
Dans la plupart des cas, les adresses MAC gnres sont appropries. Nanmoins, vous devrez peut-tre
configurer une adresse MAC pour un adapteur rseau virtuelle, notamment dans les cas suivants :
n
Les cartes rseau virtuelles sur diffrents htes physiques partagent le mme sous-rseau et se voient
assigner la mme adresse MAC, ce qui provoque un conflit.
Pour garantir que la carte rseau virtuelle ait toujours la mme adresse MAC.
Pour contourner la limite des 256 cartes rseau virtuelles par machine physique et les conflits possibles
d'adresse MAC entre machines virtuelles, les administrateurs systme peuvent attribuer manuellement des
adresses MAC. VMware utilise l'OUI (Organizationally Unique Identifier) 00:50:56 pour les adresses gnres
manuellement.
La plage d'adresses MAC est 00:50:56:00:00:00-00:50:56:3F:FF:FF.
Vous pouvez configurer les adresses en ajoutant la ligne suivante dans le fichier de configuration d'une
machine virtuelle :
ethernet<number>.address = 00:50:56:XX:YY:ZZ
62
VMware, Inc.
o <number> est le numro de la carte Ethernet, XX est un nombre hexadcimal valide entre 00 et 3F, et YY et ZZ
sont des numros hexadcimaux valides entre 00 et FF. La valeur pour XX ne doit pas tre suprieure 3F afin
d'viter tout conflit avec des adresses MAC gnres par VMware Workstation et les produits VMware Server.
La valeur maximum pour une adresse MAC gnre manuellement est la suivante :
ethernet<number>.address = 00:50:56:3F:FF:FF
Vous devez galement configurer l'option dans le fichier de configuration d'une machine virtuelle :
ethernet<number>.addressType="static"
tant donn que les machines virtuelles ESXi de VMware ne prennent pas en charge les adresses MAC
arbitraires, vous devez utiliser le format ci-dessus. Tant que vous choisissez une valeur unique pour XX:YY:ZZ
parmi vos adresses codes de manire irrversible, les conflits entre les adresses MAC assignes
automatiquement et manuellement ne devraient jamais se produire.
Gnration d'adresses MAC

Chaque carte rseau virtuelle dans une machine virtuelle se voit attribuer une adresse MAC unique. Chaque
fabricant de carte rseau se voit attribuer un prfixe unique trois octets appel OUI (Organizationally Unique
Identifier) qu'il peut utiliser pour gnrer des adresses MAC uniques.
VMware possde les OUI suivants :
n
Adresses MAC gnres
Adresses MAC configures manuellement
Pour les machines virtuelles hrites qui ne sont plus utilises avec ESXi
Les trois premiers octets de l'adresse MAC gnre pour chaque carte rseau virtuelle correspondent au OUI.
L'algorithme de gnration d'adresse MAC produit les trois autres octets. L'algorithme garantit des adresses
MAC uniques au sein d'une machine et tente de fournir des adresses MAC uniques travers les machines.
Les cartes rseau pour chaque machine virtuelle du mme sous-rseau doivent disposer d'adresses MAC
uniques. Sinon, leur comportement risque d'tre imprvisible. L'algorithme limite le nombre de machines
virtuelles en excution et suspendues, en mme temps, sur un hte donn. Il ne gre pas non plus tous les cas
o des machines virtuelles sur des machines physiques distinctes partagent un sous-rseau.
L'identificateur unique universel VMware (UUID) gnre des adresses MAC contrles pour les conflits. Les
adresses MAC gnres comportent trois parties : l'OUI VMware, l'UUID SMBIOS pour la machine physique
ESXi, et un hachage bas sur le nom de l'entit pour laquelle l'adresse MAC est gnre.
Lorsque l'adresse MAC a t gnre, elle ne change pas moins que la machine virtuelle ne soit transfre
un emplacement diffrent (par exemple, un chemin d'accs diffrent sur le mme serveur). L'adresse MAC
dans le fichier de configuration de la machine virtuelle est enregistre. Toutes les adresses MAC attribues aux
cartes rseau de machines virtuelles suspendues ou en excution sur une machine physique donne sont
suivies.
L'adresse MAC d'une machine virtuelle hors tension n'est pas compare aux adresses MAC de machines
virtuelles suspendues ou en excution. Lorsqu'une machine virtuelle est de nouveau mise sous tension, il se
peut qu'elle acquire une adresse MAC diffrente. Cette acquisition est due un conflit avec une machine
virtuelle qui tait sous tension quand cette machine virtuelle tait hors tension.
Configurer une adresse MAC

Vous pouvez assigner des adresses MAC statiques aux NIC virtuels d'une machine virtuelle teinte.
Procdure
1
VMware, Inc.
63
Slectionnez la carte rseau dans la liste Matriel.
Dans un groupes d'adresses MAC, slectionnez [Manuel] .
Saisissez l'adresse MAC statique, puis cliquez sur [OK] .
Dlestage de segmentation TCP et Trames jumbo

Vous devez activer des trames jumbo au niveau de l'hte l'aide de l'interface de ligne de commande afin de
configurer la taille de MTU pour chaque commutateur vSwitch. Le dlestage de segmentation TCP (TSO) est
activ par dfaut sur l'interface VMkernel, mais doit tre activ au niveau de la machine virtuelle.
Activation du TSO (dlestage de segmentation TCP)

Pour activer le TSO au niveau de la machine virtuelle, vous devez remplacer les cartes rseau virtuelles flexibles
ou vmxnet existantes par des cartes rseau virtuelles vmxnet. Ce remplacement peut entraner un changement
d'adresse MAC de la carte rseau virtuelle.
Le support TSO via la carte rseau vmxnet amlior est disponible pour les machines virtuelles excutant les
systmes d'exploitation invits suivants :
n
Microsoft Windows 2003 Enterprise Edition avec Service Pack 2 (32 bits et 64 bits)
Red Hat Enterprise Linux 4 (64 bits)
Red Hat Enterprise Linux 5 (32 bits et 64 bits)
SUSE Linux Enterprise Server 10 (32 bits et 64 bits)
Activer le support TSO pour une machine virtuelle

L'activation du support TSO sur une machine virtuelle requiert un adapteur vmxnet amlior
Procdure
1
Cliquez sur l'onglet [Rsum] puis sur [Modifier les paramtres] .
Enregistrez les paramtres rseau et l'adresse MAC utiliss par la carte rseau.
Cliquez sur [Supprimer] pour supprimer la carte rseau de la machine virtuelle.
Slectionnez [Adaptateur Ethernet] et cliquez sur [Suivant] .
Dans le groupes Types d'adaptateur, slectionnez [VMXNET 2 amlior] .
Slectionnez le paramtre rseau et l'adresse MAC utiliss par l'ancienne carte rseau, puis cliquez sur
[Suivant] .
10
Cliquez sur [Terminer] , puis sur [OK] .
11
Si la machine virtuelle n'est pas configure pour mettre VMware Tools niveau chaque mise sous tension,
vous devez le mettre manuellement niveau.
TSO est activ sur une interface VMkernel. Si le TSO est dsactiv pour une interface VMkernel spcifique, le
seul moyen de l'activer est de supprimer cette interface VMkernel et de la recrer avec un TSO activ.
64
VMware, Inc.
Activation de Trames jumbo

Les Trames jumbo permettent ESXi d'envoyer des trames plus grandes sur le rseau physique. Le rseau doit
prendre en charge des Trames jumbo de bout en bout.
Les Trames jumbo jusqu' 9 Ko (9000 octets) sont prises en charge.
Les Trames jumbo doivent tre actives pour chaque commutateur vSwitch via l'interface de ligne de
commande distance sur votre hte ESXi et pour chaque machine virtuelle en choisissant la carte rseau
vmxnet amlior dans vSphere Client. Avant d'activer des Trames jumbo, consultez votre fournisseur de
matriel afin de garantir que votre carte rseau physique prenne en charge les Trames jumbo.
Crer un commutateur vSwitch avec Trames jumbo activ

Vous pouvez configurer un commutateur vSwitch pour des trames Jumbo en modifiant la taille de MTU pour
chaque vSwitch.
Procdure
1
Utilisez la commande vicfg-vswitch -m <MTU> <vSwitch> dans l'interface de ligne de commande vSphere
de VMware afin de rgler la taille de MTU du vSwitch.
Cette commande configure le MTU pour toutes les liaisons montantes sur chaque vSwitch. Configurez la
taille de MTU sur le paramtre le plus lev parmi toutes les cartes rseau virtuelles relies au vSwitch.
Utilisez la commande vicfg-vswitch -l pour afficher une liste de commutateurs vSwitch sur l'hte et
vrifier que la configuration du vSwitch est correcte.
Activer Trames jumbo sur un commutateur distribu vNetwork

Vous activez un commutateur distribu vNetwork pour trames Jumbo en modifiant la taille de MTU pour ce
commutateur.
Procdure
1
distribu vNetwork.
Dans le menu Inventaire, slectionnez [Commutateur distribu vNetwork] > [Modifier les
paramtres] .
Sur l'onglet [Proprits] , slectionnez [Avanc] .
Configurez [MTU max.] sur la taille de MTU maximale parmi toutes les cartes rseau virtuelles relies
au commutateur distribu vNetwork, puis cliquez sur [OK] .
Activer la prise en charge de Trames jumbo sur une machine virtuelle

L'activation de la prise en charge de trames Jumbo sur une machine virtuelle requiert un adapteur vmxnet
amlior.
Procdure
1
Cliquez sur l'onglet [Rsum] puis sur [Modifier les paramtres] .
Enregistrez les paramtres rseau et l'adresse MAC utiliss par la carte rseau.
Cliquez sur [Supprimer] pour supprimer la carte rseau de la machine virtuelle.
VMware, Inc.
65
Slectionnez [Adaptateur Ethernet] et cliquez sur [Suivant] .
Dans le groupes Type d'adaptateur, slectionnez [VMXNET 2 amlior] .
Slectionnez le rseau utilis par l'ancienne carte rseau, puis cliquez sur [Suivant] .
10
11
Slectionnez le nouvel adaptateur rseau dans la liste Matriel.
12
Sous Adresse MAC, slectionnez [Manuel] , puis saisissez l'adresse MAC utilise par l'ancienne carte
rseau.
13
Cliquez sur [OK] .
14
Vrifiez que la carte vmxnet amlior est relie un commutateur vSwitch avec trames Jumbo actives.
15
Dans le systme d'exploitation invit, configurez la carte rseau de manire autoriser les trames Jumbo.
Consultez la documentation du systme d'exploitation invit pour plus de dtails.
16
Configurez tous les commutateurs physiques et les machines virtuelles ou physiques auxquelles cette
machine virtuelle se connecte pour prendre en charge les trames Jumbo.
Crer une interface VMkernel avec Trames jumbo activ

Vous pouvez crer une interface rseau VMkernel active avec Trames jumbo.
Procdure
1
Ouvrez une session sur votre console d'hte ESXi.
Utilisez la commande esxcfg-vmknic -a -I <ip address> -n <netmask> -m <MTU> <port group name>
pour crer une connexion VMkernel avec un support Trames jumbo.
Utilisez la commande esxcfg-vmknic -l pour afficher une liste d'interfaces VMkernel et vrifier que la
configuration de l'interface avec Trames jumbo est correcte.
Vrifiez que l'interface VMkernel est connecte un commutateur vSwitch avec Trames jumbo activ.
Configurez tous les commutateurs physiques et les machines virtuelles ou physiques auxquelles cette
interface VMkernel se connecte pour prendre en charge les Trames jumbo.
NetQueue et performances rseau

NetQueue dans ESXi tire profit de la capacit de certaines cartes rseau fournir au systme un trafic rseau
dans plusieurs files d'attente de rception pouvant tre traites sparment, ce qui permet un fonctionnement
l'chelle de plusieurs CPU et une augmentation significative des performances rseau.
Activer NetQueue sur un hte ESXi

NetQueue est activ par dfaut. Pour pouvoir utiliser NetQueue, vous devez le ractiver s'il a t dsactiv.
Prrequis
Familiarisez-vous avec les informations de configuration des pilotes NIC du Guide de rfrence d'installation de
VMware vSphere Command-Line Interface.
66
VMware, Inc.
Procdure
1
Dans le VMware vSphere CLI, utilisez la commande vicfg-advcfg --set true

VMkernel.Boot.netNetQueueEnable.
Utilisez l'interface de ligne de commande vSphere de VMware afin de configurer le pilote NIC pour
pouvoir utiliser NetQueue.
Redmarrez l'hte ESXi.
Dsactiver NetQueue sur un hte ESXi

NetQueue est activ par dfaut.
Procdure
1
Dans le VMware vSphere CLI, utilisez la commande vicfg-advcfg --set false

VMkernel.Boot.netNetQueueEnable.
Pour dsactiver NetQueue sur le pilote NIC, utilisez la commande vicfg-module -s "" module name.
Par exemple, si vous servez du pilote s2io NIC, utilisez vicfg-module -s "" s2io.
Redmarrez l'hte.
E/S VMDirectPath
E/S VMDirectPath permet une machine virtuelle d'accder aux fonctions physiques PCI sur les plates-formes
avec une unit de gestion de mmoire E/S.
Les fonctionnalits suivantes ne sont pas disponibles pour les machines virtuelles configures avec
VMDirectPath :
n
vMotion
Retrait ou ajout chaud de priphriques virtuels
Interruption et reprise
Enregistrement et lecture
Tolrance aux pannes
Haute disponibilit
DRS (disponibilit limite. La machine virtuelle peut faire partie d'un cluster, mais pas migrer travers
des htes)
Voir les guides de compatibilit matrielle pour les derniers systmes et adaptateurs pris en charge avec cette
configuration.
Configurer les priphriques de relais sur un hte

Vous pouvez configurer des priphriques rseau de relais sur un hte.
Procdure
1
Slectionnez un hte dans le panneau d'inventaire de vSphere Client.
Dans l'onglet [Configuration] , cliquez sur [Paramtres avancs] .

La page Passthrough Configuration apparat, numrant tous les priphriques de relais disponibles. Une
icne verte indique qu'un priphrique est activ et actif. Une icne orange indique que l'tat du
priphrique a chang et l'hte doit tre redmarr avant que le priphrique puisse tre utilis.
VMware, Inc.
67
Cliquez sur [Modifier] .
Slectionnez les priphriques utiliser pour le relais et cliquez sur [OK] .
Configurer un priphrique PCI sur une machine virtuelle

Vous pouvez configurer un priphrique PCI de relais sur une machine virtuelle.
Procdure
1
Slectionnez une machine virtuelle dans le panneau de l'inventaire du vSphere Client.
Dans le menu [inventaire] , slectionnez [Machine virtuelle] > [Modifier les paramtres] .
Sous l'onglet [Matriel] , cliquez sur [Ajouter] .
Slectionnez [Priphrique PCI] et cliquez sur [Suivant] .
Slectionnez le priphrique de relais utiliser, et cliquez sur [Suivant] .
Ajouter un priphrique VMDirectPath une machine virtuelle configure la rservation de mmoire sur la
taille de mmoire de la machine virtuelle.
68
VMware, Inc.
Meilleures pratiques, scnarios et

dpannage du rseau
Les meilleures pratiques, scnarios de configuration et recommandations de dpannage suivants fournissent

des suggestions pour les configurations rseau et erreurs antipattern communes.
n
Meilleures pratiques de mise en rseau , page 69
Montage de volumes NFS , page 70
Configuration du rseau pour l'iSCSI logiciel et l'iSCSI matriel dpendant , page 71
Dpannage , page 75
Meilleures pratiques de mise en rseau

Prenez en compte ces meilleures pratiques pour la configuration de votre rseau.
n
Sparez les services rseau les uns des autres pour obtenir une scurit accrue ou de meilleures
performances.
Pour qu'un ensemble particulier de machines virtuelles fonctionne aux niveaux les plus levs de
performances, placez-les sur un NIC physique spar. Cette sparation permet de rpartir plus
quitablement sur plusieurs CPU une partie de la charge de travail totale du rseau. Les machines
virtuelles isoles peuvent ensuite mieux servir le trafic partir d'un client Web, par exemple.
Conservez la connexion vMotion sur un rseau spar ddi vMotion. Lorsqu'une migration avec
vMotion survient, le contenu de la mmoire du systme d'exploitation invit est transmis sur le rseau.
Vous pouvez effectuer cette opration soit en utilisant le VLAN pour segmenter un rseau physique
unique, soit en sparant des rseaux physiques (la dernire option est prfrable).
Lors de l'utilisation de priphriques de relais avec un noyau Linux version 2.6.20 ou antrieure, vitez
les modes MSI et MSI-X, car ces modes ont un impact important sur les performances.
Pour sparer physiquement des services rseau et ddier un ensemble particulier de NIC un service
rseau spcifique, crez un vSwitch pour chaque service. Si cela est impossible, sparez-les sur un seul
vSwitch en les associant aux groupes de ports avec diffrents ID de VLAN. Dans ce cas, vrifiez auprs
de votre administrateur rseau que les rseaux ou VLAN que vous choisissez sont isols dans le reste de
votre environnement et qu'aucun routeur ne les connecte.
VMware, Inc.
69
Vous pouvez ajouter et supprimer des NIC du vSwitch sans affecter les machines virtuelles ou le service
rseau s'excutant derrire ce vSwitch. Si vous supprimez tout le matriel en cours d'excution, les
machines virtuelles peuvent toujours communiquer entre elles. Par ailleurs, si vous laissez un NIC intact,
toutes les machines virtuelles peuvent toujours se connecter au rseau physique.
Pour protger vos machines virtuelles les plus sensibles, dployez des pare-feu dans les machines
virtuelles qui acheminent du trafic entre les rseaux virtuels avec des liaisons montantes vers des rseaux
physiques et les rseaux virtuels purs sans liaisons montantes.
Montage de volumes NFS

Dans ESXi, le modle montrant comment ESXi accde au stockage NFS des images ISO utilises comme CDROM virtuels pour les machines virtuelles est diffrent du modle utilis dans ESX Server 2.x.
ESXi prend en charge les montages NFS bass sur VMkernel. Le nouveau modle consiste monter votre
volume NFS avec les images ISO grce la fonctionnalit NFS de VMkernel. Tous les volumes NFS monts de
cette manire apparaissent sous forme de banques de donnes dans vSphere Client.
70
VMware, Inc.
Chapitre 6 Meilleures pratiques, scnarios et dpannage du rseau
Configuration du rseau pour l'iSCSI logiciel et l'iSCSI matriel

dpendant
Si vous utilisez l'adaptateur iSCSI logiciel ou les adaptateurs iSCSI matriels dpendants, vous devez
configurer le rseau pour l'iSCSI pour pouvoir activer et configurer vos adaptateurs iSCSI. La configuration
du rseau pour le iSCSI implique d'ouvrir un port iSCSI VMkernel pour le trafic entre l'adaptateur iSCSI et le
NIC physique.
Selon le nombre de NIC physiques utiliss par votre trafic iSCSI, la configuration rseau peut varier.
n
Si vous n'avez qu'un seul NIC physique, crez un port iSCSI sur un vSwitch connect au NIC. VMware
vous recommande de dsigner un adaptateur rseau spar pour le iSCSI. N'utilisez pas d'iSCSI sur des
adaptateurs 100Mbps ou plus lents.
Si vous disposez de deux ou plus NIC physiques pour le iSCSI, crez un port iSCSI distinct pour chaque
NIC physique et utilisez les NICs pour un multichemin iSCSI. Reportez-vous Figure 6-1.
Figure 6-1. Mise en rseau avec iSCSI
Deux NIC physiques connects
l'adaptateur logiciel iSCSI
Deux NIC physiques avec

capacit de dchargement
adaptateur logiciel iSCSI
adaptateurs matriels iSCSI dpendants
vmhba#
vmk1
vmk2
vmhba33
vmhba34
vmk1
vmk2
iSCSI
ports
vSwitch
vSwitch
Hte1
Hte1
Hte2
vmnic1
vmnic2
vmnic1
NIC physiques
vmnic2
virtuel
Hte2 physique
NIC physiques
avec iSCSI
sans charge
capacits
Mise en rseau IP
Stockage iSCSI
Stockage iSCSI
REMARQUE Lorsque vous utilisez un adaptateur iSCSI matriel dpendant, le rapport de performances
pour un NIC associ l'adaptateur ne ne montre que peu ou pas d'activit, mme lorsque le trafic iSCSI
est intense. Cela est du au contournement de la pile rseau habituelle par le trafic iSCSI.
VMware, Inc.
71
Crer un port iSCSI pour un NIC unique

Utilisez cette tche pour connecter le VMkernel, qui excute les services pour le stockage iSCSI, une carte
rseau physique. Si vous n'avez qu'une seule carte rseau physique exploitable pour le trafic iSCSI, voici la
seule procdure suivre pour configurer votre rseau iSCSI.
Procdure
1
Dans la vue commutateur virtuel, cliquez sur [Ajouter gestion rseau] .
Slectionnez [Crer un commutateur virtuel] pour crer un nouveau vSwitch.
Slectionnez le NIC que vous voulez utiliser pour le trafic iSCSI.

IMPORTANT Si vous crez un port pour l'adaptateur matriel dpendant iSCSI, assurez-vous de choissir
le NIC qui correspond au composant iSCSI. Reportez-vous Dtermine l'association entre les
adaptateurs de matriel iSCSI dpendants et les adaptateurs rseau physiques , page 100.
Entrez une tiquette de rseau.

L'tiquette de rseau est un nom facilement mmorisable qui identifie le port VMkernel que vous venez
de crez, par exemple iSCSI.
10
Configurez l'IP puis cliquez sur [Suivant] .
11
Passez vos informations en revue et cliquez sur [Terminer] .
Utilisation de plusieurs NIC pour l'iSCSI logiciel et l'iSCSI matriel dpendant

Si votre hte possde plusieurs adaptateurs rseau physiques pour l'iSCSI, crez un port iSCSI distinct pour
chaque carte physique avec un mappage 1:1.
Pour raliser le mappage 1:1, dsignez un vSwitch distinct pour chaque adaptateur rseau et paire de ports
iSCSI. Reportez-vous Figure 6-2.
Figure 6-2. Ports iSCSI et NIC sur vSwitch distincts
72
VMware, Inc.
Il est galement possible d'ajouter tous les NIC et paires de ports un unique vSwitch. Reportez-vous Figure
6-3. Vous devez modifier le rglage par dfaut et vrifier que chaque port soit mapp avec un seul NIC actif
correspondant.
Figure 6-3. Ports iSCSI et NIC sur vSwitch unique
Pour en savoir plus sur l'ajout de NIC et de paires de ports VMkernel un vSwitch, reportez-vous la section
Crer des ports iSCSI supplmentaires pour NIC multiples , page 73.
Aprs avoir mapp les ports iSCSI sur les adaptateurs rseau, utilisez la commande esxcli pour associer les
ports aux adaptateurs iSCSI. Associez les ports avec les adaptateurs iSCSI matriels dpendants, que vous
utilisiez un seul ou de multiples NIC. Pour plus d'informations, consultez Associer des ports iSCSI aux
adaptateurs iSCSI , page 101.
Crer des ports iSCSI supplmentaires pour NIC multiples

Utilisez cette tche si vous dispsez de deux cartes rseau ou plus que vous pouvez assigner au iSCSI et si vous
voulez connecter toutes vos cartes rseau iSCSI un vSwitch unique. Cette tche vous permet d'associer des
ports iSCSI VMkernel aux adaptateurs rseau grce un mappage 1:1.
Vous devez prsent connecter les NIC supplmentaires au vSwitch existant et les mapper vers les ports iSCSI
correspondants.
REMARQUE Si vous utilisez un commutateur distribu par vNetwork avec dvUplinks multiples, pour
l'association de ports crez un groupes dvPort distinct pour chaque NIC physique. Puis rglez la politique de
groupes de faon ce que chaque dvPort n'ait qu'un seul dvUplink actif.
Pour des informations plus dtailles sur les commutateurs distribus par vNetwork, consultez la section Mise
en rseau.
Prrequis
Vous devez crer un vSwitch qui mappe un port iSCSI vers un NIC physique dsign pour le trafic iSCSI.
Procdure
1
Slectionnez le vSwitch que vous voulez utiliser pour le iSCSI et cliquez sur [Proprits] .
VMware, Inc.
73
Connectez des adaptateurs rseau supplmentaires au vSwitch.

a
Dans la bote de dialogue Proprits vSwicth, slectionnez l'onglet [Adaptateurs rseau] puis cliquez
sur [Ajouter] .
Slectionnez un NIC ou plus dans la liste puis cliquez sur [Suivant] .

En cas d'adaptateurs iSCSI matriels dpendants, assurez-vous de choisir seulement les NIC ayant
un composant iSCSI correspondant.
Passez en revue les informations sur la page Rsum d'adaptateur, puis cliquez sur [Terminer] .
La liste des adaptateurs rseau rapparat, montrant les adaptateurs rseau maintenant revendiqus
par le vSwitch.
Crez des ports iSCSI pour tous les NIC que vous avez connects.
Le nombre de ports iSCSI doit correspondre au nombre de NIC dans le vSwitch.
a
Dans la bote de dialogue Proprits vSwicth, slectionnez l'onglet [Ports] puis cliquez sur
[Ajouter] .
Sous [Proprits groupe de ports] , entrez une tiquette de rseau, par exemple iSCSI, puis cliquez
sur [Suivant] .
Configurez l'IP puis cliquez sur [Suivant] .

Lorsque vous entrez un masque de sous-rseau, assurez-vous que le NIC est rgl sur le sous-rseau
du systme de stockage auquel il se connecte.
Passez vos informations en revue et cliquez sur [Terminer] .
AVERTISSEMENT Si le NIC que vous utilisez avec votre adaptateur iSCSI, qu'il soit logiciel ou matriel
dpendant, ne se trouve pas dans le mme sous-rseau que votre cible iSCSI, votre hte ne pourra pas
tablir de sessions de cet adaptateur rseau vers la cible.
6
Mappez chaque port iSCSI sur un seul NIC actif.

Par dfaut, pour chaque port iSCSI sur le vSwitch, tous les adaptateurs rseau sont affichs comme actifs.
Vous devez ignorer ce rglage par dfaut pour que chaque port soit mapp vers un seul NIC actif
correspondant. Par exemple, le port iSCSI vmk1 est mapp sur vmnic1, le port vmk2 est mapp sur vmnic2,
etc.
Dans l'onglet [Ports] , slectionnez un port iSCSI et cliquez sur [Modifier] .
Cliquez sur l'onglet [Association de cartes rseau] puis slectionnez [Remplacer la commande de
basculement vSwitch] .
Dsignez un seul adaptateur comme actif et dplacez tout le reste vers la catgorie [Adaptateurs
inutiliss] .
Rptez cette dernire tape pour chaque port iSCSI sur le vSwitch.
Suivant
Une fois cette tche termine, lancez la commande esxcli pour associer les ports iSCSI aux adaptateurs iSCSI
logiciels ou matriels dpendants.
74
VMware, Inc.
Dpannage
Vous devriez rencontrer des problmes de rseau hte ncessitant un dpannage. Dans la plupart des cas, le
rseau hte peut tre restaur avec quelques changements de configuration.
Dpannage de la configuration d'un commutateur physique

La connectivit de commutateur vSwitch peut tre perdue en cas d'vnement de basculement ou de retour
arrire. Cela fait que les adresses MAC que les machines virtuelles ont associes ce vSwitch semblent se
trouver sur un port de commutateur diffrent.
Pour viter ce problme, placez votre commutateur physique en mode Portfast ou joncteur PortFast.
Dpannage de la configuration du groupes de ports

La modification du nom d'un groupes de ports lorsque des machines virtuelles sont dj connectes ce
groupes de ports provoque une configuration rseau non valide des machines virtuelles configures pour se
connecter ce groupes de ports.
La connexion partir des adaptateurs rseau virtuels aux groupes de ports est effectue par nom, et le nom
est l'identifiant qui est stock dans la configuration de la machine virtuelle. La modification du nom d'un
groupes de ports ne provoque pas une reconfiguration massive de toutes les machines virtuelles connectes
ce groupes de ports. Les machines virtuelles dj sous tension continuent fonctionner jusqu' ce qu'elles
soient mises hors tension, car leurs connexions au rseau sont dj tablies.
vitez de renommer les rseaux quand ils sont utiliss. Aprs avoir renomm un groupes de ports, vous devez
reconfigurer chaque machine virtuelle associe pour afficher le nouveau nom du groupes de ports.
VMware, Inc.
75
76
VMware, Inc.
Stockage
VMware, Inc.
77
78
VMware, Inc.
Introduction au stockage
Cette introduction dcrit les options de stockage disponibles pour ESXi et explique comment configurer votre
systme ESXi de sorte qu'il puisse utiliser et grer diffrents types de stockage.
n
propos du stockage ESXi , page 79
Types de stockage physique , page 80
Adaptateurs de stockage pris en charge , page 81
Reprsentations de priphriques et de cibles , page 81
propos des banque de donnes ESXi , page 84
Comparaison des types de stockage , page 87
Afficher les adaptateurs de stockage , page 88
Afficher les priphriques de stockage , page 89
Affichage de banques de donnes , page 91
propos du stockage ESXi

Le stockage ESXi fait rfrence l'espace de stockage sur divers systmes de stockage physiques, locaux ou en
rseau, qu'un hte utilise pour stocker des disques de machines virtuelles.
Une machine virtuelle emploie un disque dur virtuel pour stocker son systme d'exploitation, des fichiers de
programme et d'autres donnes lies ses activits. Un disque virtuel est un grand fichier physique, ou un
ensemble de fichiers, qui peut tre copi, dplac, archiv et sauvegard aussi facilement que n'importe quel
autre fichier. Pour stocker des fichiers de disque virtuel et les manipuler, un hte requiert un espace de stockage
ddi.
L'hte utilise l'espace de stockage sur divers systmes de stockage physiques, y compris les priphriques
externes et internes de votre hte, ou un stockage en rseau, destin aux tches spcifiques de stockage et de
protection des donnes.
Un hte peut dcouvrir les priphriques de stockage auxquels il a accs et les formater en tant que banque
de donnes. La banque de donnes est un conteneur logique spcial, analogue un systme de fichiers, o ESXi
place des fichiers du disque virtuel et d'autres fichiers qui encapsulent les lments essentiels d'une machine
virtuelle. Dployes sur diffrents priphriques de stockage, les banque de donnes masquent les
informations de chaque priphrique de stockage et fournissent un modle uniforme pour stocker des fichiers
de machines virtuelles.
VMware, Inc.
79
l'aide du vSphere Client, vous pouvez configurer des banque de donnes sur un priphrique de stockage
quelconque que votre hte dcouvre. Vous pouvez galement employer des dossiers pour crer des groupes
logiques de banque de donnes des fins organisationnelles et dfinir des autorisations et des alarmes dans
le groupes de banque de donnes.
Types de stockage physique

Le processus de gestion de stockage ESXi dbute avec l'espace de stockage prallou par votre administrateur
stockage sur diffrents systmes de stockage.
ESXi prend en charge les types de stockage suivants :
Stockage local
Stocke des fichiers de machine virtuelle sur des disques de stockage externes
connects directement ou internes.
Stockage en rseau
Stocke des fichiers de machine virtuelle sur des baies ou disques de stockage
externes relis votre hte via une connexion directe ou un rseau haut dbit.
Stockage local
Le stockage local peut tre des disques durs internes situs dans votre hte ESXi, ou des systmes de stockage
externes situs l'extrieur ou directement connects l'hte via des protocoles comme SAS ou SATA.
Le stockage local ne requiert pas de rseau de stockage pour communiquer avec votre hte. Vous avez besoin
d'un cble connect l'unit de stockage et, si ncessaire, d'un HBA compatible dans votre hte.
ESXi prend en charge divers priphriques de stockage local internes et externes, y compris des systmes de
stockage SAS, SCSI, IDE, SATA et USB. Quel que soit le type de stockage utilis, votre hte masque une couche
de stockage physique aux machines virtuelles.
REMARQUE Vous ne pouvez pas utiliser de lecteurs IDE/ATA pour stocker des machines virtuelles.
Les priphriques de stockage local ne prend en chargent pas le partage sur plusieurs htes. Une banque de
donnes sur un priphrique de stockage local peut tre accde seulement par un seul hte.
Puisque la majorit des priphriques de stockage local ne prennent pas en charge de connexions multiples,
vous ne pouvez pas utiliser plusieurs chemins d'accs pour accder au stockage local.
Stockage en rseau
Le stockage en rseau est compos de systmes de stockage externes que votre hte ESXi utilise pour stocker
des fichiers de machine virtuelle distance. En rgle gnrale, l'hte accde ces systmes sur un rseau de
stockage haut-dbit.
Les priphriques de stockage en rseau sont partags. Les banque de donnes sur des priphriques de
stockage en rseau sont accessibles par plusieurs htes simultanment. ESXi prend en charge les technologies
de stockage en rseau suivantes.
REMARQUE L'accs simultan au mme stockage via des protocoles de transport diffrents, tels qu'iSCSI et
Fibre Channel, n'est pas pris en charge.
Fibre Channel (FC)
80
Stocke des fichiers de machine virtuelle distance sur un rseau de zone de

stockage FC (SAN). FC SAN est un rseau haut dbit spcialis qui connecte
vos htes des priphriques de stockage haute performance. Le rseau utilise
le protocole Fibre Channel pour acheminer le trafic SCSI depuis des machines
virtuelles vers des priphriques FC SAN.
VMware, Inc.
Chapitre 7 Introduction au stockage
Pour se connecter au FC SAN, votre hte doit tre quip d'adaptateurs de bus
hte (HBA) Fibre Channel. moins d'utiliser un stockage de connexion directe
Fibre Channel, vous avez besoin de commutateurs Fibre Channel pour
acheminer le trafic de stockage. Si votre hte contient des HBA FCoE (Fibre
Channel over Ethernet), vous pouvez vous connecter vos priphriques Fibre
Channel partags l'aide d'un rseau IP.
SCSI Internet (iSCSI)
Stocke des fichiers de machine virtuelle sur des priphriques de stockage

iSCSI distance. iSCSI rassemble le trafic de stockage SCSI dans le protocole
TCP/IP de sorte qu'il puisse tre achemin via des rseaux TCP/IP standard, et
non le rseau FC spcialis. Grce une connexion iSCSI, votre hte sert
d'initiateur qui communique avec une cible, situe dans des systmes de
stockage iSCSI distance.
ESXi offre les types de connexion iSCSI suivants :
iSCSI matrielle
Votre hte se connecte au stockage via un adaptateur

tiers capable de dcharger la gestion de rseau et
iSCSI.
logiciel iSCSI
Votre hte utilise un initiateur iSCSI logiciel dans le

VMkernel pour se connecter au stockage. Avec ce type
de connexion iSCSI, votre hte ne requiert qu'un
adapteur rseau standard pour la connectivit rseau.
Stockage reli au rseau

(NAS)
Stocke les fichiers de machine virtuelle sur des serveurs de fichiers distance
accessibles sur un rseau TCP/IP standard. Le client NFS intgr dans ESXi
utilise le protocole NFS (Network File System) version 3 pour communiquer
avec les serveurs NAS/NFS. Pour une connectivit rseau, l'hte requiert un
adapteur rseau standard.
SAS (Serial Attached

SCSI) partag
Stocke des machines virtuelles sur des systmes de stockage directement relis
au SAS qui offrent un accs partag plusieurs htes. Ce type d'accs permet
plusieurs htes d'accder la mme banque de donnes VFMS sur un LUN.
Adaptateurs de stockage pris en charge

Les adaptateurs de stockage fournissent une connectivit pour votre hte ESXi un rseau ou une unit de
stockage spcifique.
Selon le type de stockage utilis, vous devez peut-tre installer ou activer un adaptateur de stockage sur votre
hte. ESXi prend en charge diffrentes catgories d'adaptateurs, y compris SCSI, iSCSI, RAID, Fibre Channel,
Fibre Channel over Ethernet (FCoE) et Ethernet. ESXi accde directement aux adaptateurs via des pilotes de
priphriques dans le VMkernel.
Reprsentations de priphriques et de cibles

Dans un environnement ESXi, le terme cible identifie une unit de stockage unique laquelle accde l'hte.
Les termes priphrique et LUN dcrivent un volume logique qui reprsente l'espace de stockage sur une cible.
En gnral, les termes priphrique et LUN, dans un contexte ESXi, signifient qu'un volume SCSI est prsent
l'hte depuis une unit de stockage cible et disponible pour un formatage.
Diffrents fournisseurs de stockage prsententntnt les systmes de stockage pour les htes ESXi de diffrentes
manires. Certains fournisseurs prsentent une cible unique comportant plusieurs LUN ou priphriques de
stockage, tandis que d'autres proposent plusieurs cibles disposant chacune d'un LUN.
VMware, Inc.
81
Figure 7-1. Reprsentations LUN et de cibles

cible
LUN
LUN
baie de stockage
LUN
cible
cible
cible
LUN
LUN
LUN
baie de stockage
Dans cette illustration, trois LUN sont disponibles pour chaque configuration. Dans un cas, l'hte voit une
cible, mais cette cible comporte trois LUN utiliser. Chaque LUN reprsente un volume de stockage individuel.
Dans l'autre exemple, l'hte voit trois cibles diffrentes, chacune disposant d'un LUN.
Les cibles accessibles via le rseau ont des noms uniques fournis par les systmes de stockage. Les cibles iSCSI
utilisent des noms iSCSI, tandis que les cibles Fibre Channel utilisent des noms mondiaux dits Noms mondials
(WWN).
REMARQUE ESXi ne prend en charge pas l'accs au mme LUN via diffrents protocoles de transport, tels que
iSCSI et Fibre Channel.
Un priphrique, ou LUN, est identifi par son nom UUID. Si un LUN est partag par plusieurs htes, il doit
tre prsent tous les htes ayant le mme UUID.
Explication du nommage Fibre Channel

Dans un SAN Fibre Channel, un nom ditNom mondial WWN identifie de manire unique chaque lment
dans le rseau, tel que le priphrique de stockage ou l'adaptateur Fibre Channel.
Le nom WWN est une adresse 64 octets comportant 16 nombres hexadcimaux et prend la forme suivante :
20:00:00:e0:8b:8b:38:77 21:00:00:e0:8b:8b:38:77
Le nom WWN est affect chaque lment Fibre Channel SAN par son fabricant.
82
VMware, Inc.
Comprendre la dnomination et l'adressage iSCSI

Dans un rseau iSCSI, chaque lment iSCSI qui utilise le rseau possde un nom iSCSI unique et permanent,
et une adresse d'accs lui est attribue.
nom iSCSI
Identifie un lment iSCSI particulier, indpendamment de son emplacement physique. Le nom iSCSI peut
utiliser le format IQN ou EUI.
n
IQN (iSCSI Qualified Name). Peut compter jusqu' 255 caractres, au format suivant :
iqn.aaaa-mm.autorit-dnomination:nom unique
aaaa-mm
L'anne et le mois o l'autorit de dnomination a t tablie.
autorit-dnomination
Syntaxe habituellement inverse du nom de domaine Internet de l'autorit

de dnomination. Par exemple, l'autorit de dnomination
iscsi.vmware.com pourrait porter le nom qualifi iSCSI sous la forme iqn.
1998-01.com.vmware.iscsi. Ce nom indique que le nom de domaine
vmware.com a t inscrit en janvier 1998, et que iscsi est un sous-domaine,
dirig par vmware.com.
nom unique
N'importe quel nom votre guise, par exemple le nom de votre hte.
L'autorit de dnomination doit s'assurer que tous les ventuels noms
attribus aprs les deux-points sont uniques. Par exemple, iqn.
1998-01.com.vmware.iscsi:nom1.
EUI (Extended Unique Identifier). Inclut le prfixe eui., suivi du nom de 16 caractres. Le nom comporte
24 bits pour le nom de la socit attribu par l'IEEE, et 40 bits pour un identifiant unique, tel qu'un numro
de srie.
Par exemple,
eui.0123456789ABCDEF
Alias iSCSI
Nom plus parlant et plus facile retenir que le nom iSCSI. Les alias iSCSI, qui ne sont pas uniques, sont destins
n'tre qu'un surnom associer au noeud.
Adresse IP
Adresse associe chaque lment iSCSI de sorte que le matriel d'acheminement et de commutation du rseau
puisse tablir la connexion entre diffrents lments, tels que l'hte et le stockage. Ceci est en fait similaire
l'adresse IP que vous attribuez un ordinateur pour bnficier de l'accs au rseau de votre entreprise ou
Internet.
Explication du nommage de priphriques de stockage

Dans le vSphere Client, chaque priphrique de stockage ou LUN est identifi par plusieurs noms, y compris
un surnom, un nom UUID et un nom d'excution.
Nom
C'est un surnom que l'hte ESXi affecte un priphrique selon le type de stockage et le fabricant. Vous pouvez
modifier le nom l'aide de vSphere Client. Lorsque vous modifiez le nom du priphrique sur un hte, le
changement prend effet sur tous les htes ayant accs ce priphrique.
VMware, Inc.
83
Identificateur
C'est un identificateur universel unique attribu un priphrique. Selon le type de stockage, diffrents
algorithmes sont utiliss pour crer l'identificateur. L'identificateur est permanent travers les redmarrages
et doit tre identique pour tous les htes partageant le priphrique.
Nom d'excution
C'est le nom du premier chemin d'accs au priphrique. Le nom d'excution est cr par l'hte, ce n'est pas
un identificateur fiable pour le priphrique et il n'est pas permanent.
Le nom d'excution a le format suivant : vmhba#:C#:T#:L#.
vmhba#
Nom de l'adaptateur de stockage. Le nom fait rfrence la carte physique sur

l'hte et non au contrleur SCSI utilis par les machines virtuelles.
C#
Numro du canal de stockage. Les initiateurs iSCSI logiciels utilisent le numro

de canal pour prsenter plusieurs chemins menant la mme cible.
T#
Numro de la cible. La numrotation de la cible est choisie par l'hte et peut

tre modifie en cas de changement de mappages des cibles visibles par l'hte.
Il se peut que des cibles partages par diffrents htes ESXi n'aient pas le mme
numro de cible.
L#
Numro de LUN montrant la position du LUN dans la cible. Le numro de

LUN est fourni par le systme de stockage. Si une cible possde un seul LUN,
le numro de LUN est toujours zro (0).
Par exemple, vmhba1:C0:T3:L1 reprsente LUN1 sur la cible 3 accessible via l'adaptateur de stockage vmhba1
et le canal 0.
propos des banque de donnes ESXi

Les banque de donnes sont des conteneurs logiques, analogues des systmes de fichiers, qui masquent les
informations de chaque priphrique de stockage et fournissent un modle uniforme pour stocker des fichiers
de machine virtuelle. Les banque de donnes peuvent galement tre utilises pour le stockage d'images ISO,
de modles de machine virtuelle et d'images de disquette.
Vous utilisez le vSphere Client Client pour accder aux diffrents types de priphriques de stockage que votre
hteESXi dcouvre, et y dployer des banque de donnes.
Selon le type de stockage utilis, les banque de donnes peuvent tre sauvegardes aux formats de systme de
fichier suivants :
Systme de fichier de la
machine virtuelle
(VMFS)
Systme de fichier haute performance optimis pour le stockage de machines

virtuelles. Votre hte peut dployer une banque de donnes VMFS sur un
priphrique de stockage en rseau ou local SCSI, y compris des quipements
Fibre Channel et iSCSI SAN.
Au lieu d'utiliser la banque de donnes VMFS, votre machine virtuelle peut
directement accder aux priphriques bruts et utiliser un fichier de mappage
(RDM) comme proxy.
Systme de fichier du
rseau (NFS)
84
Systme de fichier sur un priphrique de stockage NAS. ESXi prend en charge

uniquement NFS version 3 sur TCP/IP. L'hte peut accder un volume NFS
ddi, situ sur un serveur NFS, monter le volume et l'utiliser pour des besoins
de stockage.
VMware, Inc.
Banques de donnes VMFS

ESXi peut formater des priphriques de stockage SCSI tels que des banques de donnes VMFS. Les banques
de donnes VMFS servent principalement de rfrentiel aux machines virtuelles.
Vous pouvez stocker plusieurs machines virtuelles sur le mme volume VMFS. Chaque machine virtuelle,
encapsule dans un ensemble de fichier, occupe un rpertoire unique et distinct. Pour le systme d'exploitation
au sein de la machine virtuelle, VMFS conserve la smantique du systme de fichiers interne, qui garantit un
comportement d'application adquat et une intgrit des donnes pour les applications s'excutant dans les
machines virtuelles.
Par ailleurs, vous pouvez utiliser les banque de donnes VMFS pour stocker d'autres fichiers, tels que des
modles de machine virtuelle et des images ISO.
VMFS prend en charge les tailles de verrouillage et de fichiers suivantes, permettant ainsi aux machines
virtuelles de pouvoir aussi excuter des applications utilisant beaucoup de donnes, y compris des bases de
donnes, des progiciels de gestion intgrs (ERP) et des gestions de relations (CRM) dans des machines
virtuelles :
n
Taille max. disque virtuel : 2 To, taille verr. 8 Mo
Taille max fichier : 2 To, taille verr. 8 Mo
Taille. verr. : 1 Mo (par dfaut), 2 Mo, 4 Mo et 8 Mo
Cration et agrandissement des banques de donnes VMFS

Vous pouvez configurer des banque de donnes VMFS sur des priphriques de stockage SCSI que votre hte
ESXi dcouvre. Aprs avoir cr la banque de donnes VMFS, vous pouvez modifier ses proprits.
Vous pouvez possder jusqu' 256 banque de donnes par systme, avec une taille de volume minimale de
1,2 Go.
REMARQUE Ayez toujours une seule banque de donnes VMFS par LUN.
Si votre banque de donnes VMFS requiert plus d'espace, vous pouvez augmenter le volume VMFS. Vous
pouvez dynamiquement ajouter de nouvelles extensions une banque de donnes VMFS et agrandir la banque
de donnes jusqu' 64 To. Une extension est un LUN ou partition sur un priphrique de stockage physique.
La banque de donnes peut s'tirer sur plusieurs extensions, et apparatre en tant que volume unique.
Une autre option consiste agrandir l'extension de la banque de donnes existante si le priphrique de
stockage o rside votre banque de donnes a de l'espace libre. Vous pouvez agrandir l'extension jusqu' 2 To.
VMware, Inc.
85
Partager un volume VMFS par le biais d'htes ESXi

En tant que systme de fichiers cluster, VMFS permet plusieurs htes ESXi d'accder la mme banque de
donnes VMFS simultanment. Vous pouvez connecter jusqu' 32 htes un volume VMFS unique.
Figure 7-2. Partager un volume VMFS par le biais d'htes
hte
A
hte
B
hte
C
VM1
VM2
VM3
Volume VMFS
disque1
virtuel
disque2disque
fichiers
disque3
Pour garantir que la mme machine virtuelle ne soit pas accde par plusieurs serveurs simultanment, VMFS
fournit un verrouillage sur disque.
Le partage du mme volume VMFS par le biais de plusieurs htes offre les avantages suivants :
n
Vous pouvez utiliser VMware Distributed Resource Scheduling et VMware High Availability.
Vous pouvez distribuer des machines virtuelles travers diffrents serveurs physiques. Cela signifie que
vous excutez un mlange de machines virtuelles sur chaque serveur de sorte qu'il ne reoive pas de
demandes trop importantes dans la mme zone, simultanment. Si un serveur choue, vous pouvez
redmarrer les machines virtuelles sur un autre serveur physique. En cas de dfaillance, le verrouillage
sur disque pour chaque machine virtuelle s'active.
Vous pouvez utiliser vMotion pour migrer des machines virtuelles en cours d'excution depuis un serveur
physique vers un autre.
Vous pouvez utiliser VMware Consolidated Backup qui permet un serveur proxy, appel proxy VCB,
de sauvegarder la capture instantane d'une machine virtuelle tandis que cette dernire est sous tension
ou lit/crit sur son stockage.
Banque de donnes NFS

L'hte ESXi peut accder un volume NFS ddi, situ sur un serveur NAS, monter le volume et l'utiliser pour
des besoins de stockage. Vous pouvez utiliser des volumes NFS pour stocker et dmarrer des machines
virtuelles de la mme manire que vous utilisez des banques de donnes VMFS.
ESXi prend en charge les capacits de stockage partag suivantes sur des volumes NFS :
86
vMotion
VMware DRS et VMware HA
Images ISO, prsentes en tant que CD-ROM aux machines virtuelles
Snapshots instantanes de machine virtuelle
VMware, Inc.
Accs des machines virtuelles au stockage

Lorsqu'une machine virtuelle communique avec son disque virtuel stock sur une banque de donnes, elle
lance des commandes SCSI. tant donn que les banque de donnes peuvent rsider sur plusieurs types de
stockage physique, ces commandes sont encapsules dans d'autres formes, selon le protocole utilis par l'hte
ESXi pour se connecter un priphrique de stockage.
ESXi prend en charge les protocoles Fibre Channel (FC), SCSI Internet (iSCSI), Fibre Channel over Ethernet
(FCoE) et NFS. Quel que soit le type de priphrique de stockage utilis par votre hte, le disque virtuel apparat
toujours en tant que priphrique SCSI mont pour la machine virtuelle. Le disque virtuel masque une couche
de stockage physique au systme d'exploitation de la machine virtuelle. Cette action permet d'excuter des
systmes d'exploitation non certifis pour un quipement de stockage spcifique, tel que SAN, dans une
machine virtuelle.
Figure 7-3 dcrit cinq machines virtuelles utilisant diffrents types de stockage afin d'illustrer leurs diffrences.
Figure 7-3. Machines virtuelles accdant diffrents types de stockage
Hte
requiert une connectivit TCP/IP
virtuel
machine
virtuel
machine
virtuel
machine
virtuel
machine
virtuel
machine
local
Ethernet
SCSI
VMFS
Touche
logiciel
carte
fibre
channel
HBA
iSCSI
HBA
SAN
LAN
Ethernet
NIC
Ethernet
NIC
LAN
LAN
physique
disque
banque de donnes
virtuel
disque
VMFS
baie Fibre
VMFS
Baie iSCSI
NFS
botier NAS
REMARQUE Ce diagramme est uniquement destin des fins conceptuelles. Ce n'est pas une configuration
recommande.
Comparaison des types de stockage

La prise en charge de certaines fonctionnalits de vSphere peut dpendre de la technologie de stockage que
vous utilisez.
Tableau 7-1 compare les technologies de stockage en rseau pris en charge par ESXi.
VMware, Inc.
87
Tableau 7-1. Stockage en rseau pris en charge par ESXi

Technologie
Protocoles
Transferts
Interface
Fibre Channel
FC/SCSI
Bloquer l'accs de donnes/

LUN
FC HBA
iSCSI
IP/SCSI
Bloquer l'accs de donnes/

LUN
Fichier (pas d'accs direct

LUN)
NIC
NAS
IP/NFS
iSCSI HBA (iSCSI matrielle)

NIC (iSCSI logiciel)
Tableau 7-2 compare les fonctionnalits de vSphere pris en charge par diffrents types de stockage.
Tableau 7-2. Fonctions vSphere pris en charge par le stockage
Type de
stockage
Dmarrage
VM
vMotion
Banque de
donnes
RDM
Cluster VM
VMware HA
et DRS
VCB
Stockage local
Oui
Non
VMFS
Non
Non
Non
Oui
Fibre Channel
Oui
Oui
VMFS
Oui
Oui
Oui
Oui
iSCSI
Oui
Oui
VMFS
Oui
Oui
Oui
Oui
NAS sur NFS
Oui
Oui
NFS
Non
Non
Oui
Oui
Afficher les adaptateurs de stockage

L'hte utilise des adaptateurs de stockage pour accder aux diffrents priphriques de stockage. Vous pouvez
afficher les adaptateurs de stockage disponibles et consulter leurs informations.
Tableau 7-3 recense les informations que vous pouvez consulter quand vous affichez les dtails sur chaque
adaptateur. Certains adaptateurs, par exemple iSCSI, doivent tre configurs ou activs avant de pouvoir en
consulter les informations.
Tableau 7-3. Informations sur les adaptateurs de stockage
88
Informations sur les

adaptateurs
Description
Modle
Modle de l'adaptateur.
Cibles (Fibre Channel et

SCSI)
Nombre de cibles auxquelles il a t accd via l'adaptateur.
Cibles connectes (iSCSI)
Nombre de cibles connectes sur un adaptateur iSCSI.
WWN (Fibre Channel)
Nom mondial form selon les normes Fibre Channel qui identifie de manire univoque
l'adaptateur FC.
Nom iSCSI (iSCSI)
Nom unique form selon les normes iSCSI qui identifie l'adaptateur iSCSI.
Alias iSCSI (iSCSI)
Surnom utilis au lieu du nom iSCSI.
Adresse IP (iSCSI matrielle)
Adresse assigne l'adaptateur iSCSI.
Mthodes de dcouverte
(iSCSI)
Mthodes de dcouverte que l'adaptateur iSCSI applique pour accder aux cibles iSCSI.
Priphriques
Tous les priphriques de stockage ou LUN auxquels l'adaptateur peut accder.
Chemins d'accs
Tous les chemins que l'adaptateur l'utilise pour accder aux priphriques de stockage.
VMware, Inc.
Consulter les informations sur les adaptateurs de stockage

Vous pouvez afficher les adaptateurs de stockage dont se sert votre hte et consulter leurs informations.
Procdure
1
Dans l'inventaire, slectionnez [Htes et clusters] .
Slectionnez un hte et cliquez sur l'onglet [Configuration] .
Dans Matriel, slectionnez [Adaptateurs de stockage] .
Pour afficher les dtails sur un adaptateur particulier, slectionnez-le dans la liste d'adaptateurs de
stockage.
Pour rpertorier tous les priphriques de stockage auxquels l'adaptateur peut accder, cliquez sur
[Priphriques] .
Pour rpertorier tous les chemins qu'utilise l'adaptateur, cliquez sur [Chemins] .
Copier des identifiants d'adaptateur de stockage dans le presse-papiers

Si vos adaptateurs de stockage utilisent des identifiants uniques, tels qu'un nom iSCSI ou un WWN, vous
pouvez les copier dans un presse-papiers directement partir de l'interface.
Procdure
1
Slectionnez l'adaptateur dans la liste d'adaptateurs de stockage.
Dans le panneau Dtails, cliquez avec le bouton droit sur la valeur dans le champ de nom, et
slectionnez [Copier] .
Afficher les priphriques de stockage

Vous pouvez afficher tous les priphriques de stockages ou LUN disponibles pour l'hte, y compris tous les
priphriques en rseau et locaux. Si vous utilisez des plug-ins multichemins tiers, les priphriques de
stockage disponibles via les plug-ins apparaissent galement dans la liste.
Pour chaque adaptateur de stockage, vous pouvez afficher une liste distincte de priphriques de stockage
disponibles pour cet adaptateur.
En rgle gnrale, lorsque vous consultez les priphriques de stockages, vous voyez les informations
suivantes.
Tableau 7-4. Informations du priphrique de stockage
Informations du priphrique
de stockage
Description
Nom
Surnom que l'hte ESXi affecte un priphrique selon le type de stockage et le fabricant.
Vous pouvez changer ce nom par le nom de votre choix.
Identificateur
Identificateur universel unique intrinsque au priphrique.
Nom d'excution
Nom du premier chemin d'accs au priphrique.
LUN
Numro de LUN montrant la position du LUN dans la cible.
Type
Type de priphrique, par exemple, disque ou CD-ROM.
VMware, Inc.
89
Tableau 7-4. Informations du priphrique de stockage (suite)

Informations du priphrique
de stockage
Description
Transport
Protocole de transport utilis par votre hte pour accder au priphrique.
Capacit
Capacit totale du priphrique de stockage.
Propritaire
Plugin, comme le NMP ou un plugin tiers, utilis par l'hte pour grer le priphrique de
stockage.
Acclration matrielle
Informations indiquant que le priphrique de stockage assiste l'hte avec des oprations
de gestion de machine virtuelle. L'tat peut tre Pris en charge, Non pris en charge ou
Inconnu. Pour des dtails, veuillez vous reporter la section Acclration matrielle du
stockage , page 130.
Emplacement
Chemin d'accs au priphrique de stockage dans l'inventaire /vmfs/devices/.
Partitions
Partitions logiques et principales, y compris une banque de donnes VMFS, si configure.
Affichage des priphriques de stockage d'un hte

Vous pouvez afficher tous les priphriques de stockage ou LUN disponibles pour un hte. Si vous utilisez
des plug-ins multichemins tiers, les priphriques de stockage disponibles via les plug-ins apparaissent
galement dans la liste.
Procdure
1
Dans Matriel, slectionnez [Stockage] .
Cliquez sur [Priphriques] .
Pour afficher des informations complmentaires sur un priphrique spcifique, slectionnez le

priphrique partir de la liste.
Affichage des priphriques de stockage d'un adaptateur

Vous pouvez afficher une liste des priphriques de stockage accessibles un adaptateur de stockage spcifique
sur l'hte.
Procdure
90
Slectionnez l'adaptateur dans la liste d'adaptateurs de stockage.
Cliquez sur [Priphriques] .
VMware, Inc.
Copier des identificateurs de priphrique de stockage dans le presse-papiers

Un identificateur de priphrique de stockage est un ID universelle unique attribue un priphrique de
stockage ou LUN. Selon le type de stockage, diffrents algorithmes sont utiliss pour crer l'identificateur et
il peut tre long et complexe. Vous pouvez directement copier l'identificateur de priphrique de stockage
depuis l'interface utilisateur.
Procdure
1
Affichez la liste des priphriques de stockage.
Cliquez avec le bouton droit de la souris sur un priphrique, puis slectionnez [Copier identifiant dans
le presse-papier] .
Affichage de banques de donnes

Vous pouvez afficher toutes les banque de donnes disponibles pour vos htes et analyser leurs proprits.
Les banques de donnes sont ajoutes vSphere Client de la faon suivante :
n
banque de donnes cres sur un priphrique de stockage disponible.
Reconnaissance en cas d'ajout d'hte l'inventaire. Lorsque vous ajoutez un hte l'inventaire, vSphere
Client affiche les banque de donnes disponibles pour l'hte.
Si votre vSphere Client est connect un systme vCenter Server, vous pouvez afficher des informations sur
les banques de donnes dans la vue banque de donnes. Cette vue affiche tous les banques de donnes de
l'inventaire, organises par centre de donnes. Grce cette vue, vous pouvez organiser des banques de
donnes dans une hirarchie de fichiers, crer des banques de donnes, modifier leurs proprits ou supprimer
des banques de donnes existantes.
Cette vue est complte et affiche toutes les informations de vos banque de donnes, y compris les htes et
machines virtuelles les utilisant, les informations de rapports de stockage, les autorisations, les alarmes, les
tches et vnements, la topologie de stockage, et les rapports de stockage. Des informations de configuration
pour chaque banque de donnes sur tous les htes qui y sont connects sont fournies dans l'onglet
Configuration de la vue banque de donnes.
REMARQUE La vue banque de donnes n'est pas disponible quand le vSphere Client se connecte directement
votre hte. Dans ce cas, consultez les informations de banque de donnes via l'onglet de configuration de
stockage de l'hte.
Tableau 7-5 fournit des informations dtailles sur la banque de donnes que vous pouvez consulter lorsque
vous effectuez une analyse de banques de donnes.
Tableau 7-5. Informations sur les banque de donnes
Informations sur les banque de
donnes
Description
Identification
Nom modifiable affect la banque de donnes.
Priphrique
Priphrique de stockage sur lequel est dploye la banque de donnes.
Capacit
Capacit totale formate de la banque de donnes.
Espace
libre disponible.
Type
Systme de fichiers utilis par la banque de donnes (VMFS ou NFS).
Contrle d'E/S de stockage
Permet la gestion des priorits d'E/S de stockage. Voir le guide de gestion des ressources
vSphere.
VMware, Inc.
91
Tableau 7-5. Informations sur les banque de donnes (suite)

Informations sur les banque de
donnes
Description
Acclration matrielle
Informations indiquant que la banque de donnes assiste l'hte avec des oprations de
gestion de machine virtuelle. L'tat peut tre Pris en charge, Non pris en charge ou
Inconnu. Pour des dtails, veuillez vous reporter la section Acclration matrielle
du stockage , page 130.
Emplacement
Chemin d'accs la banque de donnes dans l'inventaire /vmfs/volumes/.
Extensions
Extensions de la banque de donnes et capacit correspondante (banque de donnes

VMFS uniquement).
Slection de chemin d'accs
Rgles de slection de chemin d'accs utilises par l'hte pour accder aux espaces de
stockage (banque de donnes VMFS uniquement).
Chemins d'accs
Nombre de chemins d'accs utiliss pour accder au stockage et leur statut (banque de
donnes VMFS uniquement).
Consulter les proprits des banque de donnes

Vous pouvez afficher toutes les banque de donnes disponibles pour les htes et analyser leurs proprits.
Procdure
92
Affichez l'hte dans l'inventaire.
Slectionnez un hte dans l'inventaire et cliquez sur l'onglet [Configuration] .
Dans Matriel, slectionnez [Stockage] .
Cliquez sur la vue [banque de donnes] .
Pour afficher les informations sur une banque de donnes spcifique, slectionnez la banque de donnes
partir de la liste.
VMware, Inc.
Configurer le stockage ESXi
La rubrique suivante contient les informations de configuration des priphriques de stockage SCSI locaux,
du stockage Fibre Channel SAN, du stockage iSCSI et du stockage NFS.
n
Stockage SCSI local , page 93
Stockage Fibre Channel , page 94
Stockage iSCSI , page 94
Actualisation de la banque de donnes et oprations de ranalyse du stockage , page 109
Crer des banques de donnes VMFS , page 110
Stockage reli au rseau (NAS) , page 111
Crer une partition de diagnostic , page 113
Stockage SCSI local

Le stockage local emploie un priphrique SCSI tel que le disque dur de votre hte ESXi ou tout autre systme
de stockage externe connect directement votre hte.
Figure 8-1 dcrit une machine virtuelle utilisant un stockage SCSI local.
Figure 8-1. Stockage local
Hte
virtuel
machine
local
Ethernet
SCSI
VMFS
Dans cet exemple de topologie de stockage local, l'hte ESXi emploie une connexion unique un disque. Sur
ce disque, vous pouvez crer une banque de donnes VMFS que vous utilisez pour stocker les fichiers de disque
de la machine virtuelle.
VMware, Inc.
93
Bien que cette configuration de stockage soit possible, cette topologie n'est pas recommande. L'utilisation de
connexions uniques entre des baies de stockage et des htes cre des points de dfaillance uniques (SPOF)
pouvant causer des interruptions lorsqu'une connexion devient instable ou choue.
Afin de garantir une tolrance aux pannes, certains systmes DAS prend en chargent des chemins de connexion
redondants.
Stockage Fibre Channel

ESXi prend en charge les cartes Fibre Channel permettant un hte de se connecter au SAN et d'afficher les
priphriques de stockage sur le SAN.
Vous devez installer des cartes Fibre Channel (FC) pour que l'hte puisse accder aux priphriques de
stockage FC.
Figure 8-2 dcrit les machines virtuelles utilisant le stockage Fibre Channel.
Figure 8-2. Stockage Fibre Channel
Hte
virtuel
machine
fibre
channel
HBA
SAN
VMFS
baie Fibre
Dans cette configuration, un hte ESXi se connecte une structure SAN compose de baies de stockage et de
commutateurs Fibre Channel, via un adapteur Fibre Channel. Les LUN d'une baie de stockage deviennent
disponibles pour l'hte. Vous pouvez accder aux LUN et crer une banque de donnes pour vos besoins de
stockage. La banque de donnes utilise le format VMFS.
Pour des informations spcifiques sur la configuration de la structure SAN FC et des baies de stockage pour
ESXi, consultez le guide de configuration Fibre Channel SAN.
Stockage iSCSI
ESXi prend en charge la technologie iSCSI qui permet votre hte d'employer un rseau IP pour accder au
stockage distance. Avec iSCSI, le stockage SCSI impose que les communications de votre machine virtuelle
vers son disque virtuel soient converties en paquets TCP/IP et transmises un priphrique distant, ou cible,
qui stocke le disque virtuel.
Pour accder aux cibles distantes, votre hte emploie des initiateurs iSCSI. Les initiateurs transportent les
requtes et rponses SCSI entre l'hte et le priphrique de stockage cible sur le rseau IP. ESXi prend en charge
les initiateurs iSCSI matriels, dpendants et indpendants, et logiciels.
94
VMware, Inc.
Chapitre 8 Configurer le stockage ESXi
Vous devez configurer les initiateurs iSCSI de l'hte pour qu'il accde et affiche les priphriques de stockage
iSCSI.
Figure 8-3 dcrit les diffrents types d'initiateurs iSCSI.
Figure 8-3. Stockage iSCSI
Hte
virtuel
machine
virtuel
machine
logiciel
carte
iSCSI
HBA
Ethernet
NIC
LAN
LAN
VMFS
Baie iSCSI
Dans l'exemple de gauche, l'hte utilise la carte iSCSI matrielle pour se connecter au systme de stockage
iSCSI.
Dans l'exemple de droite, l'hte utilise un adapteur iSCSI logiciel et un adapteur d'interface rseau Ethernet
pour se connecter au stockage iSCSI.
Les priphriques de stockage iSCSI du systme de stockage deviennent disponibles pour l'hte. Vous pouvez
accder aux priphriques de stockage et crer des banque de donnes VMFS pour vos besoins de stockage.
Pour des informations spcifiques sur la configuration de la structure SAN iSCSI pour fonctionner avec
ESXi, consultez le guide de configuration iSCSI SAN.
Initiateurs iSCSI
Pour accder aux cibles iSCSI, votre hte utilise des initiateurs iSCSI. Les initiateurs transportent les requtes
et rponses SCSI, encapsules dans le protocole iSCSI, entre l'hte et la cible iSCSI.
VMware prend en charge plusieurs types d'initiateurs.
Adaptateur de logiciel iSCSI

Un adaptateur de logiciel ISCSI est un code vMware intgr au VMKernel. Il permet un hte de se connecter
au priphrique de stockage iSCSI par des cartes rseau standard. L'adaptateur de logiciel ISCSI gre le
traitement iSCSI tout en communiquant avec l'adaptateur rseau. Avec l'adaptateur de logiciel ISCSI, vous
pouvez employer la technologie iSCSI sans acheter de matriel spcialis.
VMware, Inc.
95
Adaptateur de matriel ISCSI

Un adaptateur de matriel ISCSI est un adaptateur tiers qui dchargre le tratement ISCSI et le rseau de votre
hte. Les adaptateurs matriels iSCSI se divisent en plusieurs catgories.
Adaptateur de matriel
ISCSI dpendant
Dpend du rseau VMware et des interfaces de configuration et de gestion

iSCSI fournies par VMware.
Ce type d'adaptateur peut tre un adaptateur rseau standard disposant de la
fonction de dchargement iSCSI pour le mme port. La fonction de
dchargement iSCSI dpend de la configuration du rseau pour obtenir les
paramtres IP, MAC et d'autres paramtres utiliss pour les sessions iSCSI. La
carte NIC Broadcom 5709 sous licence iSCSI est un exemple d'adaptateur
dpendant.
Adaptateur de matriel
ISCSI indpendant
Implmente ses propres protocoles rseau et ses propres interfaces de

configuration et de gestion iSCSI.
Une carte disposant uniquement de la fonction de dchargement iSCSI ou de
la fonction de dchargement iSCSI et NIC standard est un exemple
d'adaptateur iSCSI matriel indpendant. La fonction de dchargement iSCSI
dispose d'une fonction de gestion indpendante de la configuration, qui
assigne les paramtres IP, MAC et d'autres paramtres pour les sessions iSCSI.
L'adaptateur QLogic QLA4052 est un exemple d'adaptateur indpendant.
Les adaptateurs de matriel ISCSI doivent avoir une licence. Sinon, ils n'apparatront pas dans vSphere Client
ou vSphere CLI. Contactez votre fournisseur pour avoir des renseignements sur la licence.
Configurer des adaptateurs iSCSI matriels indpendants

Un adaptateur iSCSI matriel indpendant est un adaptateur tiers spcialis capable d'accder au stockage
iSCSI via TCP/IP. Cet adaptateur iSCSI s'occupe de tout le traitement et de toute la gestion iSCSI et rseau de
votre systme ESXi.
La procdure complte d'installation et de configuration des adaptateurs iSCSI matriels indpendants
comprend les tapes suivantes :
1
Vrifiez si l'adaptateur doit faire l'objet d'une licence.

Consultez la documentation du fabricant.
Installez l'adaptateur.
Pour toute information sur l'installation, consultez la documentation du fabricant.
Assurez-vous que l'adaptateur est correctement install.

Reportez-vous Afficher des adaptateurs iSCSI matriels indpendants , page 97.
Configurez les adresses de dcouverte.

Reportez-vous Configurer des adresses de dcouverte pour des initiateurs iSCSI , page 102.
Configurez les paramtres CHAP.

Reportez-vous Configurer des paramtres CHAP pour des cartes iSCSI , page 103.
Pour que votre hte puisse accder au stockage iSCSI, vous devez d'abord installer l'adaptateur iSCSI matriel
et configurer l'adresse de dcouverte et les paramtres CHAP.
96
VMware, Inc.
Afficher des adaptateurs iSCSI matriels indpendants

Affichez un adaptateur iSCSI matriel pour vrifier qu'il est correctement install et prt pour la configuration.
Prrequis
Une fois que vous avez install un adaptateur iSCSI matriel, il apparat dans la liste des adaptateurs de
stockage disponibles pour la configuration. Vous pouvez consulter ses proprits.
Privilge ncessaire :Hte.Configuration.Configuration de partition de stockage
Procdure
1
Cliquez sur l'onglet [Configuration] et cliquez sur [Adaptateurs de stockage] dans le panneau Matriel.
S'il est install, l'initiateur iSCSI matriel doit figurer dans la liste d'adaptateurs de stockage.
Slectionnez l'initiateur consulter.

Les dtails par dfaut de l'initiateur apparaissent, y compris le modle, le nom iSCSI, l'alias iSCSI, l'adresse
IP ainsi que les informations sur la cible et les chemins.
Cliquez sur [Proprits] .

La bote de dialogue de proprits d'initiateur iSCSI apparat. L'onglet [Gnral] affiche des
caractristiques complmentaires sur l'initiateur.
Vous pouvez maintenant configurer votre initiateur matriel ou modifier ses caractristiques par dfaut.
Modifier le nom et l'adresse IP des initiateurs matriels indpendants

Quand vous configurez vos initiateurs de matriel iSCSI indpendants, assurez-vous que leurs noms et
adresses IP sont formats correctement.
Procdure
1
Accdez la bote de dialogue de proprits d'initiateur iSCSI.
Cliquez sur [Configurer] .
Pour changer le nom iSCSI par dfaut pour votre initiateur, entrez le nouveau nom.
Assurez-vous que le nom que vous entrez est unique mondialement et correctement format ou certains
priphriques de stockage pourraient ne pas identifier l'initiateur du matriel iSCSI.
(Facultatif) Entrez l'alias iSCSI.

L'alias est un nom que vous utilisez pour identifier l'initiateur du matriel iSCSI.
Changez les paramtres IP par dfaut.

Vous devez modifier les paramtres IP par dfaut pour qu'ils soient configurs correctement pour le rseau
de stockage IP. Travaillez avec votre administrateur rseau pour dterminer le paramtre IP pour le HBA.
Cliquez sur [OK] pour enregistrer vos modifications.
Si vous changez le nom iSCSI, celui-ci sera utilis pour de nouvelles sessions iSCSI. Pour des sessions existantes,
les nouveaux paramtres ne seront pas utiliss jusqu' la dconnexion et la reconnexion.
VMware, Inc.
97
Installation et configuration d'un adaptateur iSCSI logiciel

Avec l'implmentation iSCSI logiciel, vous pouvez utiliser des cartes rseau standards pour connecter votre
hte une cible iSCSI distante sur le rseau IP. L'adaptateur iSCSI logiciel compris dans ESXi facilite cette
connexion en communicant avec les NIC physiques par la pile rseau.
Quand vous vous connectez vCenter Server ou un hte avec vSphere Client, l'adaptateur iSCSI logiciel
apparat dans la liste de vos adaptateurs de stockage. Un seul adaptateur iSCSI logiciel apparat. Pour pouvoir
utiliser l'adaptateur iSCSI logiciel, vous devez d'abord installer le rseau, activer l'adaptateur, et configurer les
paramtres tels que les adresses de dcouvertes et le CHAP. Le workflow de configuration de l'adaptateur
iSCSI logiciel comprend les tapes suivantes :
1
Configurez le rseau iSCSI en crant des ports pour le trafic iSCSI.

Reportez-vous Configuration du rseau pour l'iSCSI logiciel et l'iSCSI matriel dpendant , page 71.
Activez l'adaptateur iSCSI.

Reportez-vous Activer l'adaptateur iSCSI logiciel , page 98.
Si vous utilisez des NIC multiples pour le multichemin iSCSI logiciel, associez les ports en connectant tous
les ports iSCSI l'adaptateur iSCSI logiciel.
Reportez-vous Associer des ports iSCSI aux adaptateurs iSCSI , page 101.
Si ncessare, activez les trames Jumbo. Les Trames jumbo doivent tre actives pour chaque vSwitch par
le vSphere CLI.
Reportez vous la section Mise en rseau pour plus d'informations.


Activer l'adaptateur iSCSI logiciel

Vous devez activer votre adaptateur iSCSI logiciel avant que votre hte puisse l'utiliser pour accder au
stockage iSCSI.
Prrequis
Avant d'activer l'adaptateur iSCSI logiciel, installez le rseau pour l'iSCSI.
REMARQUE Si vous dmarrez depuis iSCSI en utilisant l'adaptateur logiciel iSCSI, l'adaptateur est activ et la
configuration du rseau est cre automatiquement au premier dmarrage. Si vous dsactivez l'adaptateur, il
est ractiv chaque dmarrage de l'hte.
Procdure
1
Ouvrez une session sur vSphere Client et slectionnez un serveur dans le panneau d'inventaire.
La liste des adaptateurs de stockage disponibles apparat.
98
Slectionnez l'initiateur iSCSI configurer et cliquez sur [Proprits] .
Cliquez sur [Configurer] .
Pour activer l'initiateur, slectionnez [Activ] et cliquez sur [OK] .
VMware, Inc.
Aprs l'activation de l'initiateur, l'hte lui assigne un nom iSCSI par dfaut. Vous pouvez modifier le nom par
dfaut si ncessaire.
Installation et configuration d'adaptateurs iSCSI matriels dpendants

Un adaptateur iSCSI matriel dpendant est un adaptateur tiers qui dpend du rseau VMware et des interfaces
de configuration et de gestion iSCSI fournies par VMware.
Ce type d'adaptateur peut tre une carte, par exemple Broadcom 5709 NIC, qui fournit un adaptateur rseau
standard et la fonctionnalit de dchargement iSCSI pour le mme port. La fonctionnalit de dchargement
iSCSI apparat dans la liste des adaptateurs de stockage en tant qu'adaptateur iSCSI. Bien que l'adaptateur
iSCSI soit activ par dfaut, pour le rendre fonctionnel, vous devez configurer la mise en rseau pour le trafic
iSCSI et lier l'adapateur et un port iSCSI VMkernel iSCSI appropri. Vous pourrez alors configurer l'adaptateur.
La procdure complte d'installation et de configuration des adaptateurs iSCSI matriel dpendant comprend
les tapes suivantes :
1
Affichez les adaptateurs matriels dpendants.

Reportez-vous Affichage des adaptateurs de matriel iSCSI dpendants , page 100.
Si vos adaptateurs matriels dpendants n'apparaissent pas dans la liste des adaptateurs de stockage,
vrifiez s'ils ncessitent une licence. Consultez la documentation du fabricant.
Dterminez l'association entre les adaptateurs matriels dpendants et les NIC physiques.
Reportez-vous la section Dtermine l'association entre les adaptateurs de matriel iSCSI dpendants
et les adaptateurs rseau physiques , page 100
Notez bien les noms des NIC physiques correspondants. Par exemple, l'adaptateur vmhba33 correspond
au vmnic1 tandis que vmhba34 correspond au vmnic2.
Configurez le rseau iSCSI en crant des ports pour le trafic iSCSI.

Reportez-vous Configuration du rseau pour l'iSCSI logiciel et l'iSCSI matriel dpendant , page 71.
Ouvrez un port pour chaque NIC. Par exemple, crez le port vmk1 pour le vmnic1, et le port vmk2 pour
le vmnic2.
Associez les ports iSCSI aux adaptateurs iSCSI matriels dpendants correspondants. Cette tape est
ncessaire, que vous disposiez de plusieurs adaptateurs ou d'un seul.
Reportez-vous Associer des ports iSCSI aux adaptateurs iSCSI , page 101.
Dans cet exemple, le port vmk1 est associ vmhba33, et le port vmk2 est associ vmbh34.


Considrations sur l'iSCSI matriel dpendant

Lorsque vous utilisez des adaptateurs iSCSI matriels dpendants avec ESXi, certaines considrations
s'appliquent.
n
Lorsque vous utilisez un adaptateur iSCSI matriel dpendant, le rapport de performances pour une carte
rseau associe l'adaptateur ne montre que peu ou pas d'activit, mme lorsque le trafic iSCSI est intense.
Cela est d au contournement de la pile rseau habituelle par le trafic iSCSI.
L'adaptateur iSCSI Broadcom rassemble les donnes dans le matriel, dont l'espace tampon est limit.
Lorsque vous utilisez l'adaptateur iSCSI Broadcom dans un rseau congestionn ou sous chargement,
activez le contrle de flux pour viter la dgradation des performances.
VMware, Inc.
99
Le contrle de flux gre la vitesse de transmission des donnes entre deux nuds pour viter qu'un
expditeur rapide ne dpasse un rcepteur lent. Pour obtenir de meilleurs rsultats, activez le contrle du
flux aux points d'extrmit du chemin E/S, au niveau des htes et des systmes de stockage iSCSI.
n
Les adaptateurs iSCSI Broadcom ne prennent pas en charge les trames IPv6 et les trames jumbo.
Affichage des adaptateurs de matriel iSCSI dpendants

Affichez un adaptateur iSCSI matriel dpendant pour vrifier qu'il est correctement charg.
Si l'adaptateur matriel dpendant ne figure pas dans la liste des adaptateurs de stockage, vrifiez s'il a besoin
d'une licence. Consultez la documentation du fabricant.
Procdure
1
S'il est install, l'adaptateur de matriel iSCSI doit figurer dans la liste d'adaptateurs de stockage.
Slectionnez l'adaptateur afficher et cliquez sur [Proprits] .

La bote de dialogue Proprits affiche les dtails par dfaut pour l'adaptateur, y compris le nom iSCSI et
l'alias iSCSI.
Dtermine l'association entre les adaptateurs de matriel iSCSI dpendants et les

Vous devez dterminer le nom de la carte rseau physique laquelle l'adaptateur iSCSI matriel dpendant
est associ. Vous devez connatre l'association pour pouvoir effectuer correctement la liaison de port.
Procdure
1
Utilisez la commande vSphere CLI pour dterminer le nom de la carte rseau physique laquelle
l'adaptateur iSCSI est associ.
esxcli swiscsi vmnic list -d vmhba#
vmhba# est le nom de l'adaptateur iSCSI.

2
Dans la sortie, trouvez la ligne vmnic name: vmnic#.

vmnic# est le nom de la carte rseau qui correspond l'adaptateur iSCSI.
Suivant
Aprs avoir dtermin le nom de la carte rseau, vous devez crer un port iSCSI sur un vSwitch connect la
carte. Vous associez alors ce port l'adaptateur iSCSI matriel dpendant afin que votre hte puisse diriger le
trafic iSCSI via la carte.
100
VMware, Inc.
Associer des ports iSCSI aux adaptateurs iSCSI

Associez un port iSCSI que vous avez cr pour une carte rseau un adaptateur iSCSI. En cas d'adaptateur
iSCSI logiciel, n'effectuez cette tche que si vous avez install deux ou plusieurs NIC pour le multichemin
iSCSI. Si vous utilisez des adaptateurs iSCSI matriels dpendants, cette tche est indispensable que vous ayez
un seul ou plusieurs adaptateurs.
Prrequis
Effectuez les tches suivantes :
n
Pour les adaptateurs iSCSI matriels dpendants, associez correctement les NIC physiques et les
adaptateurs iSCSI. Reportez-vous Affichage des adaptateurs de matriel iSCSI dpendants ,
page 100.
Configurez le rseau pour le trafic iSCSI. Reportez-vous Configuration du rseau pour l'iSCSI logiciel
et l'iSCSI matriel dpendant , page 71.
Pour utiliser l'adaptateur logiciel iSCSI, vous devez l'activer. Reportez-vous Activer l'adaptateur iSCSI
logiciel , page 98.
Procdure
1
Trouvez le nom du port iSCSI assign au NIC physique.

vSphere Client affiche le nom du port sous l'tiquette de rseau.
Dans le graphique suivant, les noms des ports sont vmk1 et vmk2.
Utilisez la commande vSphere CLI pour associer le port iSCSI l'adaptateur iSCSI.
esxcli swiscsi nic add -n port_name -d vmhba
IMPORTANT En cas d'iSCSI logiciel, rptez cette commande pour chaque port iSCSI, en connectant tous
les ports avec l'adaptateur iSCSI logiciel. En cas d'iSCSI matriel dpendant, assurez-vous d'associer
chaque port un adaptateur correspondant appropri.
3
Vrifiez que le port a t ajout l'adaptateur iSCSI.

esxcli swiscsi nic list -d vmhba
VMware, Inc.
Utilisez le vSphere Client pour analyser nouveau l'adaptateur iSCSI.
101
Configurer des adresses de dcouverte pour des initiateurs iSCSI

Configurez les adresses de dcouverte de cible de sorte que l'initiateur iSCSI puisse dterminer quelle ressource
de stockage prsente sur le rseau est disponible pour accs.
Le systme ESXi admet les mthodes de dcouverte suivantes :
Dcouverte dynamique
galement appele dcouverte SendTargets. Chaque fois que l'initiateur

contacte un serveur iSCSI dsign, il envoie la demande de SendTargets au
serveur. Le serveur rpond en fournissant une liste de cibles disponibles
l'initiateur. Les noms et adresses IP de ces cibles figurent dans l'onglet
[Dcouverte statique] . Si vous supprimez une cible statique ajoute par la
dcouverte dynamique, il se peut qu'elle soit rintgre la liste la prochaine
fois qu'un scannage se produira, que le HBA se rinitialisera ou que l'hte sera
redmarr.
Dcouverte statique
L'initiateur n'a aucune dcouverte effectuer. L'initiateur dispose d'une liste

de cibles qu'il peut contacter, et emploie leurs adresses IP et noms de cible pour
communiquer avec elles.
Configurer la dcouverte dynamique

Avec la dcouverte dynamique, chaque fois que l'initiateur contacte un serveur iSCSI prcis, il lui envoie la
demande SendTargets. Le serveur rpond en fournissant une liste de cibles disponibles l'initiateur.
Quand vous configurez la dcouverte dynamique, vous pouvez seulement ajouter un nouveau serveur iSCSI.
Vous ne pouvez changer l'adresse IP, le nom DNS ni le numro de port d'un serveur iSCSI existant. Pour
apporter des modifications, supprimez le serveur existant et ajoutez-en un nouveau.
Procdure
1
Dans la bote de dialogue de proprits d'initiateur iSCSI, cliquez sur l'onglet [Dcouverte
dynamique] .
Pour ajouter une adresse la dcouverte SendTargets, cliquez sur [Ajouter] .

La bote de dialogue [Ajouter serveur SendTargets] apparat.
Tapez l'adresse IP ou le nom DNS du systme de stockage et cliquez sur [OK] .

Ds que votre hte tablit la connexion SendTargets avec ce systme, toutes les cibles nouvellement
dcouvertes apparaissent dans la liste Dcouverte statique.
Pour supprimer un serveur SendTargets prcis, slectionnez-le et cliquez sur [Supprimer] .

Une fois un serveur SendTargets supprim, il se peut qu'il apparaisse encore dans le champ Hritage en
tant que parent de cibles statiques. Cette entre, qui signale o les cibles statiques ont t dcouvertes,
n'affecte pas la fonctionnalit.
Suivant
Une fois la dcouverte dynamique configure pour votre adaptateur iSCSI, Ranalysez l'adaptateur.
102
VMware, Inc.
Configurer la dcouverte statique

Avec les initiateurs iSCSI, outre la mthode de dcouverte dynamique, vous pouvez utiliser la dcouverte
statique et saisir manuellement des information pour les cibles.
Quand vous configurez la dcouverte statique, vous pouvez seulement ajouter des cibles iSCSI. Vous ne
pouvez changer l'adresse IP, le nom DNS, le nom de cible iSCSI ni le numro de port d'une cible existante.
Pour apporter des modifications, supprimez la cible existante et ajoutez-en une nouvelle.
Procdure
1
Dans la bote de dialogue de proprits d'initiateur iSCSI, cliquez sur l'onglet [Dcouverte statique] .
L'onglet affiche toutes les cibles dcouvertes dynamiquement et toutes les cibles statiques dj saisies.
Pour ajouter une cible, cliquez sur [Ajouter] et saisissez les informations sur la cible.
Pour supprimer une cible prcise, slectionnez-la et cliquez sur [Supprimer] .
Suivant
Une fois la dcouverte statique configure pour votre adaptateur iSCSI, Ranalysez l'adaptateur.
Configurer des paramtres CHAP pour des cartes iSCSI

Etant donn que les rseaux IP qu'utilise la technologie iSCSI pour se connecter aux cibles distantes ne protgent
pas les donnes qu'ils transportent, vous devez scuriser la connexion. L'un des protocoles que l'iSCSI applique
est le protocole CHAP, qui vrifie la lgitimit des initiateurs qui accdent des cibles sur le rseau.
Le protocole CHAP applique un algorithme de ngociation trois voies pour vrifier l'identit de votre hte
et, le cas chant, de la cible iSCSI quand l'hte et la cible tablissent une connexion. La vrification repose sur
une valeur prive prdfinie, dite secret CHAP, que l'initiateur et la cible partagent.
ESXi permet l'authentification CHAP au niveau adaptateur. Dans ce cas, toutes les cibles reoivent les mmes
nom et secret CHAP de la part de l'initiateur iSCSI. Pour les adaptateurs iSCSI logiciels et matriels dpendants,
ESXi admet galement l'authentification CHAP cible par cible, qui permet de configurer diffrentes
informations d'identification pour chaque cible afin de parvenir un niveau de scurit plus lev.
Choisir la mthode d'authentification CHAP

ESXi permet le CHAP unilatral pour tous les types d'initiateurs iSCSI, et le CHAP mutuel pour l'iSCSI logiciel
et matrielle dpendante.
Avant de configurer CHAP, vrifiez s'il est activ dans le systme de stockage iSCSI et vrifiez la mthode
d'authentification CHAP que le systme permet. Si CHAP est activ, activez-le pour vos initiateurs, en veillant
ce que les informations d'identification d'authentification CHAP concordent avec celles du stockage iSCSI.
VMware, Inc.
103
ESXi permet les mthodes d'authentification CHAP suivantes :

CHAP unilatral
En authentification CHAP unilatrale, galement appele unidirectionnelle, la

cible authentifie l'initiateur, mais l'initiateur n'authentifie pas la cible.
CHAP mutuel
En authentification CHAP mutuelle, galement appele bidirectionnelle, un

niveau de scurit supplmentaire permet l'initiateur d'authentifier la cible.
VMware ne permet cette mthode que pour les cartes iSCSI logiciels et
matrielles dpendantes.
Pour les cartes iSCSI logiciels et matrielles dpendantes, vous pouvez dfinir le CHAP unilatral et le CHAP
mutuel pour chaque initiateur ou au niveau cible. L'iSCSI matrielle ne permet le CHAP qu'au niveau initiateur.
Quand vous dfinissez les paramtres CHAP, indiquez un niveau de scurit pour CHAP.
REMARQUE Quand vous indiquez le niveau de scurit CHAP, le type de rponse de la baie de stockage dpend
de l'implmentation CHAP de la baie et de l'diteur. Par exemple, si vous cochez Utiliser CHAP sauf si la
cible l'interdit, certaines baies de stockage appliquent CHAP dans la rponse, alors que d'autres non. Pour
plus d'informations sur le comportement de l'authentification CHAP dans diffrentes configurations
d'initiateur et de cible, consultez la documentation de la baie.
Tableau 8-1. Niveau de scurit CHAP
Niveau de scurit CHAP
Description
Pris en charge
Ne pas utiliser CHAP
L'hte n'applique pas l'authentification CHAP. Cochez

cette option pour mettre hors tension l'authentification
si elle est actuellement active.
iSCSI logiciel
Matriel iSCSI dpendant
Matriel iSCSI indpendant
Ne pas utiliser CHAP sauf si la

cible l'exige
L'hte prfre une connexion non CHAP, mais peut

utiliser une connexion CHAP si la cible l'exige.
iSCSI logiciel
Utiliser CHAP sauf si la cible

l'interdit
L'hte prfre CHAP, mais peut utiliser des connexions

non CHAP si la cible ne gre pas CHAP.
iSCSI logiciel
Matriel iSCSI indpendant
Utiliser CHAP
L'hte exige une authentification CHAP russie. La

connexion choue si la ngociation CHAP choue.
iSCSI logiciel
Configurer les informations d'identification CHAP pour un initiateur iSCSI

Vous pouvez configurer toutes les cibles pour qu'elles reoivent les mmes nom et secret CHAP de l'initiateur
iSCSI au niveau de l'initiateur. Par dfaut, toutes les adresses de dcouverte ou cibles statiques hritent des
paramtres CHAP que vous configurez au niveau initiateur.
Prrequis
Avant de configurer des paramtres CHAP pour l'iSCSI logiciel ou matrielle dpendante, dterminez s'il faut
configurer un CHAP unilatral ou mutuel. Les adaptateurs iSCSI matriels indpendants n'admettent pas le
CHAP mutuel.
n
En CHAP unilatral, la cible authentifie l'initiateur.
En CHAP mutuel, la cible et l'initiateur s'authentifient rciproquement. Veillez utiliser diffrents secrets
pour le CHAP et le CHAP mutuel.
Quand vous configurez des paramtres CHAP, assurez-vous qu'ils concordent avec les paramtres du ct
stockage.
Le nom CHAP ne doit pas excder 511 et le mot de passe CHAP 255 caractres alphanumriques. Certains
adaptateurs, par exemple l'adaptateur QLogic, peuvent avoir des limites plus basses, 255 pour le nom CHAP
et 100 pour le secret CHAP.
104
VMware, Inc.
Procdure
1
Dans l'onglet [Gnral] , cliquez sur [CHAP] .
Pour configurer le CHAP unilatral, sous CHAP, spcifiez ce qui suit :

a
Slectionnez le niveau de scurit CHAP.

n
[Utilisez CHAP juste si cible le demande] (iSCSI logiciel et matrielle dpendante uniquement)
[Utiliser CHAP sauf si interdit par la cible]
[Utiliser CHAP] (iSCSI logiciel et matrielle dpendante uniquement) Pour pouvoir configurer
le CHAP mutuel, vous devez slection cette option.
Indiquez le nom CHAP.

Assurez-vous que le nom que vous indiquez concorde avec celui configur ct stockage.
c
4
Pour dsigner comme nom CHAP le nom d'initiateur iSCSI, cochez [Utiliser nom initiateur] .
Pour dsigner comme nom CHAP toute autre chose que le nom d'initiateur iSCSI, dcochez
[Utiliser nom initiateur] et tapez un nom dans le champ [Nom] .
Saisissez un secret CHAP unilatral utiliser dans le cadre de l'authentification. Veillez utiliser le
mme secret que celui que vous saisissez ct stockage.
Pour configurer le CHAP mutuel, configurez d'abord le CHAP unilatral selon les instructions de tape
3
Veillez cocher [Utiliser CHAP] comme option du CHAP unilatral. Ensuite, spcifiez les paramtres
suivants sous [CHAP mutuel] :
a
Cochez [Utiliser CHAP] .
Indiquez le nom CHAP mutuel.
Tapez le secret CHAP mutuel. Veillez utiliser des secrets diffrents pour le CHAP unilatral et le
CHAP mutuel.
Cliquez sur [OK] .
Ranalysez l'initiateur.
Si vous modifiez les paramtres CHAP ou CHAP mutuel, ils sont appliqus aux nouvelles sessions iSCSI. Pour
les sessions existantes, les nouveaux paramtres ne sont appliqus qu'une fois que vous vous tes dconnect
puis reconnect.
Configurer les informations d'identification CHAP pour une cible

Pour les cartes iSCSI matrielles qui dpendent du logiciel, vous pouvez dfinir des informations
d'identification CHAP diffrentes pour chaque adresse de dcouverte ou cible statique.
Quand vous configurez des paramtres CHAP, assurez-vous qu'ils concordent avec les paramtres du ct
stockage. Le nom CHAP ne doit pas excder 511 et le secret CHAP ne doit pas excder 255 caractres
alphanumriques.
Prrequis
Avant de configurer des paramtres CHAP pour l'iSCSI logiciel et matrielle dpendante, dterminez s'il faut
configurer un CHAP unilatral ou mutuel.
n
En CHAP unilatral, la cible authentifie l'initiateur.
En CHAP mutuel, la cible et l'initiateur s'authentifient rciproquement. Veillez utiliser diffrents secrets
pour le CHAP et le CHAP mutuel.
VMware, Inc.
105
Procdure
1
Slectionnez soit l'onglet [Dcouverte dynamique] , soit l'onglet [Dcouverte statique] .
Dans la liste de cibles disponibles, slectionnez la cible que vous voulez configurer et cliquez sur
[Paramtres] > [CHAP] .
Configurez le CHAP unilatral dans la zone CHAP.

a
Dcochez [Hriter du parent] .
Slectionnez l'une des options suivantes :
[Ne pas utiliser CHAP sauf si la cible l'exige]
[Utiliser CHAP sauf si la cible l'interdit]
[Utiliser CHAP] . Pour pouvoir configurer le CHAP mutuel, vous devez slection cette option.
Indiquez le nom CHAP.

Assurez-vous que le nom que vous indiquez concorde avec celui configur ct stockage.
d
5
Pour dsigner comme nom CHAP le nom d'initiateur iSCSI, cochez [Utiliser nom initiateur] .
Pour dsigner comme nom CHAP toute autre chose que le nom d'initiateur iSCSI, dcochez
[Utiliser nom initiateur] et tapez un nom dans le champ [Nom] .
Saisissez un secret CHAP unilatral utiliser dans le cadre de l'authentification. Veillez utiliser le
mme secret que celui que vous saisissez ct stockage.
Pour configurer le CHAP mutuel, configurez d'abord le CHAP unilatral selon les instructions de tape
4.
Veillez cocher [Utiliser CHAP] comme option du CHAP unilatral. Ensuite, spcifiez les paramtres
suivants dans la zone Mutual CHAP :
a
Dcochez [Hriter du parent] .
Cochez [Utiliser CHAP] .
Indiquez le nom CHAP mutuel.
Tapez le secret CHAP mutuel. Veillez utiliser des secrets diffrents pour le CHAP unilatral et le
CHAP mutuel.
Cliquez sur [OK] .
Ranalysez l'initiateur.
Si vous modifiez les paramtres CHAP ou CHAP mutuel, ils sont appliqus aux nouvelles sessions iSCSI. Pour
les sessions existantes, les nouveaux paramtres ne sont appliqus qu'une fois que vous vous tes dconnect
puis reconnect.
Dsactiver CHAP
Vous pouvez mettre hors tension le protocole CHAP si le systme de stockage ne le ncessite pas.
Si vous dsactivez CHAP sur un systme qui exige l'authentification CHAP, les sessions iSCSI existantes
demeurent actives jusqu' ce que vous redmarriez votre hte ESXi ou que le systme de stockage oblige se
dconnecter. Une fois la session close, vous ne pouvez plus vous connecter aux cibles qui exigent CHAP.
106
VMware, Inc.
Procdure
1
Ouvrez la bote de dialogue d'informations d'identification CHAP.
Avec les adaptateurs iSCSI logiciels et matriels dpendants, pour ne mettre hors tension que le CHAP
mutuel et laisser le CHAP unilatral, cochez [Ne pas utiliser le CHAP] dans la zone CHAP mutuel.
Pour mettre hors tension le CHAP unilatral, cochez [Ne pas utiliser le CHAP] dans la zone CHAP.
Le CHAP mutuel, s'il est install, passe automatiquement [Ne pas utiliser le CHAP] si vous dsactivez
le CHAP unilatral.
Cliquez sur [OK] .
Configurer des paramtres supplmentaires pour l'iSCSI

Il se peut que vous deviez configurer des paramtres supplmentaires pour vos initiateurs iSCSI. Par exemple,
certains systmes de stockage iSCSI exigent la redirection ARP (Address Resolution Protocol) pour mouvoir
le trafic iSCSI dynamiquement d'un port l'autre. Dans ce cas, vous devez activer la redirection ARP sur votre
hte.
Tableau 8-2 rpertorie les paramtres iSCSI avancs que vous pouvez configurer au moyen de vSphere Client.
En outre, vous pouvez utiliser la commande vSphere CLI vicfg-vicfg-iscsi pour configurer certains des
paramtres avancs. Pour en savoir plus, reportez-vous Guide d'installation et script de l'interface de ligne de
commande vSphere et Rfrence de l'interface de ligne de commande vSphere.
N'apportez aucune modification aux paramtres iSCSI avancs moins de travailler avec l'quipe d'assistance
VMware ou de disposer par d'autres biais d'informations prcises sur les valeurs attribuer aux paramtres.
Tableau 8-2. Paramtres supplmentaires des initiateurs iSCSI
Paramtre avanc
Description
Configurable sur
Rsum d'en-tte
Augmente l'intgrit des donnes. Si le prtraitement d'en-tte est

activ, le systme effectue un total de contrle sur la partie d'en-tte
de chaque unit de donnes de protocole (PDU) iSCSI et le vrifie au
moyen de l'algorithme CRC32C.
iSCSI logiciel
Matriel iSCSI
dpendant
Rsum de donnes
Augmente l'intgrit des donnes. Si le rsum de donnes est activ,

le systme effectue un total de contrle sur la partie donnes de
chaque unit de donnes de protocole (PDU) et le vrifie au moyen
de l'algorithme CRC32C.
REMARQUE Les systmes qui utilisent des processeurs Intel Nehalem
dlestent les calculs de rsum iSCSI pour l'iSCSI logiciel, en
rduisant ainsi l'incidence sur les performances.
iSCSI logiciel
Matriel iSCSI
dpendant
Maximum
Outstanding R2T
(Maximum d'units de
donnes de protocole
en suspend prtes
envoyer)
Dfinit le nombre d'units de donnes de protocole (PDU) prtes

envoyer qui peut tre en transition avant qu'une PDU d'accus de
rception ne soit reue.
iSCSI logiciel
Matriel iSCSI
dpendant
First Burst Length

(Longueur de premire
salve)
Indique la quantit maximum de donnes non sollicites qu'un

initiateur iSCSI peut envoyer la cible pendant l'excution d'une
commande SCSI, en octets.
iSCSI logiciel
Matriel iSCSI
dpendant
Maximum Burst
Length (Longueur
maximum de salve)
Charge utile de donnes maximum dans une squence iSCSI d'entre

de donnes ou de sortie de donnes sollicite, en octets.
iSCSI logiciel
Matriel iSCSI
dpendant
Maximum Receive
Data Segment Length
(Longueur maximum
de segment de donnes
en rception)
Longueur maximum de segment de donnes, en octets, qui peut tre

reu dans une PDU iSCSI.
iSCSI logiciel
Matriel iSCSI
indpendant
VMware, Inc.
107
Tableau 8-2. Paramtres supplmentaires des initiateurs iSCSI (suite)

Paramtre avanc
Description
Configurable sur
Session Recovery
Timeout (Dlai de
rcupration de
session)
Indique le laps de temps, en secondes, qui peut s'couler pendant que

s'excute une rcupration de session. Si le dlai dpasse sa limite,
l'initiateur iSCSI termine la session.
iSCSI logiciel
No-Op Interval
(Intervalle sans
opration)
Indique l'intervalle, en secondes, entre les demandes en sortie sans

opration envoyes par votre initiateur iSCSI une cible iSCSI. Les
demandes en sortie sans opration servent de mcanisme ping pour
vrifier qu'une connexion entre l'initiateur iSCSI et la cible iSCSI est
active.
iSCSI logiciel
Matriel iSCSI
dpendant
No-Op Timeout (Dlai

de demande sans
opration)
Indique le laps de temps, en secondes, qui peut s'couler avant que

votre hte ne reoive un message d'entre sans opration (NOP-In).
Le message est envoy par la cible iSCSI en rponse la demande en
sortie sans opration. Ds que la limite de dlai sans opration est
dpasse, l'initiateur clt la session actuelle et en dmarre une
nouvelle.
iSCSI logiciel
Matriel iSCSI
dpendant
ARP Redirect
(Redirection ARP)
Permet aux systmes de stockage de mouvoir le trafic iSCSI

dynamiquement d'un port l'autre. L'ARP est exig par les systmes
de stockage qui appliquent le basculement bas sur baie.
iSCSI logiciel et matriel

indpendant
(Configurable via
vSphere CLI)
Accus de rception
retard
Permet aux systmes de retarder l'accus de rception des paquets de

donnes.
iSCSI logiciel
Matriel iSCSI
dpendant
Matriel iSCSI
dpendant
Configurer les paramtres avancs d'iSCSI

Les paramtres iSCSI avancs contrlent des paramtres tels que le rsum de l'en-tte et des donnes, la
redirection ARP, l'accus de rception diffr, etc. Gnralement, vous n'avez pas besoin de modifier ces
paramtres, car votre hte ESXi fonctionne avec les valeurs prdfinies.
AVERTISSEMENT N'apportez aucune modification aux paramtres iSCSI avancs moins de travailler avec
l'quipe d'assistance VMware ou de disposer par d'autres biais d'informations prcises sur les valeurs
attribuer aux paramtres.
Procdure
1
Pour configurer les paramtres avancs au niveau initiateur, dans l'onglet Gneral, cliquez sur
[Avanc] . Passez tape 4.
Configurez les paramtres avancs au niveau cible.

Au niveau cible, les paramtres avancs ne peuvent tre configurs que pour les adaptateurs iSCSI logiciels
et matriels dpendants.
108
Slectionnez soit l'onglet [Dcouverte dynamique] , soit l'onglet [Dcouverte statique] .
Dans la liste de cibles disponibles, slectionnez une cible configurer et cliquez sur [Paramtres] >
[Avanc] .
Saisissez toute valeur obligatoire des paramtres avancs que vous voulez modifier et cliquez sur [OK]
pour enregistrer vos modifications.
VMware, Inc.
Actualisation de la banque de donnes et oprations de ranalyse du

stockage
L'opration d'actualisation de la banque de donnes met niveau les listes de la banque de donnes et les
informations de stockage, comme la capacit de la banque de donnes, affiches dans vSphere Client. Lorsque
vous effectuez des tches de gestion de la banque de donnes ou que vous modifiez la configuration SAN, il
se peut que vous deviez ranalyser le stockage.
Lorsque vous effectuez des oprations de gestion de la banque de donnes VMFS, comme la cration d'une
banque de donnes VMFS ou d'un RDM, l'ajout d'une extension et l'augmentation ou la suppression d'une
banque de donnes VMFS, votre hte ou le vCenter Server ranalyse automatiquement le stockage et le met
niveau. Vous pouvez mettre hors tension la fonction de ranalyse automatique en dsactivant le filtre de
ranalyse de l'hte. Reportez-vous Dsactiver les filtres de stockage vCenter Server , page 134.
Dans certains cas, vous devez effectuer une ranalyse manuel. Vous pouvez ranalyser tous les stockages
disponibles sur votre hte ou, si vous utilisez le vCenter Server, sur tous les htes d'un dossier, d'un cluster et
d'un centre de donnes.
Si les modifications que vous apportez ne concernent que le stockage connect un adapteur spcifique,
effectuez une ranalyse pour cette carte.
Effectuez la ranalyse manuelle chaque fois que vous apportez les modifications suivantes.
n
Cration de nouveaux LUN sur un SAN.
Modification du masquage de chemin sur un hte.
Reconnecter un cble
Modification des paramtres CHAP
Ajout d'un seul hte dans le vCenter Server aprs la modification ou la suppression du vCenter Server
d'une banque de donnes partage par les htes du vCenter Server et un seul hte.
IMPORTANT Si vous ranalysez quand un chemin n'est pas disponible, l'hte le supprime de la liste de chemins
sur le priphrique. Ce chemin rapparat dans la liste ds qu'il devient disponible et recommence
fonctionner.
Rescanner le stockage
Lorsque vous apportez des modifications la configuration de votre SAN, vous pouvez avoir besoin de
ranalyser votre stockage. Vous pouvez ranalyser tout le stockage disponible de votre hte. Si les
modifications que vous apportez ne concernent que le stockage accessible par un adaptateur spcifique,
effectuez une ranalyse seulement pour cet adaptateur.
Appliquez cette procdure si vous voulez limiter la ranalyse au stockage disponible pour un hte particulier
ou un hte auquel on accde par un adaptateur particulier. Si vous voulez ranalyser le stockage disponible
tous les htes grs par votre systme vCenter Server, vous pouvez le faire en cliquant avec le bouton droit
sur un centre de donnes, un cluster ou un dossier qui contient les htes et en slectionnant [ranalyse banques
de donnes] .
VMware, Inc.
109
Procdure
1
Dans vSphere Client, slectionnez un hte et cliquez sur l'onglet [Configuration] .
Dans le panneau Matriel, slectionnez [Adaptateurs de stockage] , et cliquez sur [ranalyse] au-dessus
du panneau Adaptateurs de stockage.
Vous pouvez galement cliquer avec le bouton droit sur un adaptateur individuel et cliquer sur
[Ranalyser] pour ne ranalyser que cet adaptateur.
IMPORTANT Sur ESXi, il n'est pas possible de ne ranalyser qu'un seul adaptateur de stockage. Si vous
ranalysez un seul adaptateur, tous les adaptateurs sont ranalyss.
Pour dtecter les nouveaux disques ou LUN, cochez [Analyser nouveau priphrique stockage] .
Si de nouveaux LUN sont dcouverts, ils apparaissent dans la liste de priphriques.
Pour dtecter les nouvelles banque de donnes ou mettre niveau une banque de donnes aprs que sa
configuration a t modifie, cochez [Analyser nouveaux volumes VMFS] .
Si de nouvelles banques de donnes ou de nouveaux volumes VMFS sont dcouverts, ils apparaissent
dans la liste de banque de donnes.
Crer des banques de donnes VMFS

Les banques de donnes VMFS servent de rfrentiel aux machines virtuelles. Vous pouvez configurer des
banque de donnes VMFS sur des priphriques de stockage SCSI que l'hte trouve.
Prrequis
Avant de crer des banques de donnes, vous devez installer et configurer toutes les cartes dont votre stockage
a besoin. Ranalysez les cartes pour dtecter les priphriques de stockage nouvellement ajouts.
Procdure
1
Cliquez sur l'onglet [Configuration] et cliquez sur [Stockage] dans le panneau Matriel.
Cliquez sur [banque de donnes] et cliquez sur [Ajouter stockage] .
Slectionnez le type de stockage [Disque/LUN] et cliquez sur [Suivant] .
Slectionnez un priphrique utiliser pour votre banque de donnes et cliquez sur [Suivant] .
REMARQUE Slectionnez le priphrique sans nom de banque de donnes affich dans la colonne VMFS
Label. Si un nom est prsent, le priphrique contient une copie d'une banque de donnes VMFS existante.
Si le disque que vous formatez est vierge, la page Disposition actuelle du disque prsente
automatiquement l'espace disque entier pour la configuration du stockage.
110
Si le disque n'est pas vierge, passez en revue la disposition actuelle de disque dans le panneau suprieur
de la page Disposition actuelle du disque et slectionnez une option de configuration dans le panneau
infrieur.
Option
Description
Utilisez toutes les partitions

disponibles
Rserve le disque ou LUN entier une seule banque de donnes VMFS. Si

vous slectionnez cette option, tous les systmes de fichiers et donnes
actuellement stocks sur ce priphrique sont dtruits.
Utilisez l'espace libre
Dploie une banque de donnes VMFS dans l'espace libre restant du disque.
VMware, Inc.
Dans la page Proprits, entrez le nom d'une banque de donnes et cliquez sur [Suivant] .
Si ncessaire, ajustez le systme de fichiers et les valeurs de capacit.

Par dfaut, l'espace libre entier sur le priphrique de stockage est disponible.
10
11
Sur la page Prt Terminer, passez en revue les informations de configuration de banque de donnes et
cliquez sur [Terminer] .
Une banque de donnes sur le priphrique de stockage SCSI est cre. Si vous employez le systme vCenter
Server pour grer vos htes, la banque de donnes nouvellement cre est automatiquement ajoute tous les
htes.
Stockage reli au rseau (NAS)

ESXi prend en charge l'utilisation de NAS via le protocole NFS. Le protocole NFS permet la communication
entre un client NFS et un serveur NFS.
Le client NFS intgr dans ESXi vous laisse accder au serveur NFS et utiliser les volumes NFS pour le stockage.
ESXi prend en charge uniquement NFS Version 3 sur TCP.
Vous utilisez le vSphere Client pour configurer les volumes NFS comme banque de donnes. Les banque de
donnes NFS configures apparaissent dans vSphere Client et vous pouvez les utiliser pour stocker des fichiers
de disque virtuel de la mme manire que vous utilisez les banque de donnes VMFS.
REMARQUE ESXi ne prend en charge pas la fonctionnalit d'utilisateur dlgu qui permet d'accder aux
volumes NFS via des informations d'identification non-racine.
Figure 8-4 dcrit une machine virtuelle utilisant le volume NFS pour stocker ses fichiers. Dans cette
configuration, l'hte se connecte au serveur NFS stockant les fichiers du disque virtuel via un adapteur rseau
normale.
Figure 8-4. Stockage NFS
Hte
virtuel
machine
Ethernet
NIC
LAN
NFS
botier NAS
VMware, Inc.
111
Les disques virtuels que vous crez sur des banque de donnes NFS utilisent un format de disque dict par le
serveur NFS, gnralement un format lger qui requiert un emplacement d'espace la demande. Si la machine
virtuelle manque d'espace au cours de l'criture sur ce disque, le vSphere Client vous informe de la ncessit
de plus d'espace. Vous disposez des options suivantes :
n
Librez de l'espace supplmentaire sur le volume afin que la machine virtuelle puisse continuer crire
sur le disque.
Mettez fin la session de la machine virtuelle. Terminer la session arrte la machine virtuelle.
AVERTISSEMENT Lorsque votre hte accde au fichier de disque d'une machine virtuelle sur une banque de
donnes NFS, un fichier de verrouillage .lck-XXX est gnr dans le mme rpertoire que celui du fichier de
disque afin d'empcher d'autres disques d'accder ce fichier de disque virtuel. Ne supprimez pas le fichier
de verrouillage .lck-XXX car sans lui, la machine virtuelle en cours d'excution ne peut pas accder au fichier
de disque virtuel.
Banques de donnes NFS comme rfrentiels des fichiers couramment utiliss

En plus du stockage des disques virtuels sur des banque de donnes NFS, vous pouvez employer NFS comme
rfrentiel central pour les images ISO, les modles de machine virtuelle, etc.
Pour utiliser NFS comme rfrentiel partag, vous crez un rpertoire sur le serveur NFS et le montez comme
banque de donnes sur tous les htes. Si vous utilisez la banque de donnes pour les images ISO, vous pouvez
connecter le priphrique CD-ROM de la machine virtuelle un fichier ISO sur la banque de donnes, et
installer un systme d'exploitation invit depuis le fichier ISO.
REMARQUE Si le volume NFS sous-jacent sur lequel sont stocks les fichiers est en lecture seule, assurez-vous
que le volume soit export comme partage en lecture seule par le serveur NFS, ou configurez-le comme banque
de donnes en lecture seule sur l'hte ESXi. Sinon, l'hte considre que la banque de donnes est en Lecture/
criture et risque de ne pas pouvoir ouvrir les fichiers.
Crer une banque de donnes NFS

Vous pouvez employer l'assistant Ajouter stockage pour monter un volume NFS et l'employer comme s'il
s'agissait d'une banque de donnes VMFS.
Prrequis
Puisque NFS impose que la connectivit rseau accde aux donnes stockes sur les serveurs distants, avant
de configurer NFS, vous devez d'abord configurer la mise en rseau VMkernel.
Procdure
1
Slectionnez [Systme de fichiers rseau] comme le type de stockage et cliquez sur [Suivant] .
Entrez le nom du serveur, le nom de dossier du point de montage et le nom de la banque de donnes.
REMARQUE Quand vous montez le mme volume NFS sur plusieurs htes, s'assurer que les noms de
serveur et de dossier sont identiques sur les htes. Si les noms ne correspondent pas exactement, par
exemple si vous entrez partage comme nom de dossier sur un hte et /partage sur l'autre, les htes voient
le mme volume NFS en tant que deux banque de donnes diffrentes. Il peut s'ensuivre une dfaillance
de certaines fonctions comme vMotion.
112
VMware, Inc.
(Facultatif) Slectionnez [Montage NFS lecture seule] si le volume est export en Lecture seule par le
serveur NFS.
Dans la page Rsum de systme de fichiers rseau, passez en revue les options de configuration et cliquez
sur [Finir] .
Crer une partition de diagnostic

Pour s'excuter correctement, votre hte ncessite une partition de diagnostic ou une partition de dcharge
pour stocker les vidages mmoire destins au dbogage et au support technique. Vous pouvez crer la partition
de diagnostic sur un disque local ou sur un LUN de rseau de stockage SAN priv ou partag.
Une partition de diagnostic ne peut pas tre situe sur un LUN iSCSI accessible par un initiateur logiciel iSCSI.
Chaque hte doit avoir une partition de diagnostic de 100 Mo. Si plusieurs htes partagent un rseau de
stockage SAN, configurez une partition de diagnostic avec 100 Mo pour chaque hte.
AVERTISSEMENT Si deux htes partageant une partition de diagnostic chouent et enregistrent les vidages
mmoire au mme emplacement, les vidages mmoire risquent d'tre perdus. Pour collecter les donnes de
vidage mmoire, redmarrez un hte et extrayez les fichiers journaux immdiatement aprs la dfaillance de
ce dernier. Toutefois, si un autre hte choue avant que vous n'ayez pu collecter les donnes de diagnostic du
premier hte, le second hte ne parviendra pas enregistrer le vidage mmoire.
Crer une partition de diagnostic

Vous pouvez crer une partition de diagnostic pour votre hte.
Procdure
1
Slectionnez [Diagnostic] et cliquez sur [Suivant] .

Si [Diagnostic] n'apparat pas comme option, l'hte a dj une partition de diagnostic.
Vous pouvez interroger et analyser la partition de diagnostic de l'hte en utilisant la commande vicfgdumppart -l sur vSphere CLI.
Spcifiez le type de partition de diagnostic.

Option
Description
Local priv
Cre la partition de diagnostic sur un disque local. Cette partition stocke les
informations de dfaillance uniquement pour votre hte.
Stockage SAN priv
Cre la partition de diagnostic sur un LUN de rseau de stockage SAN non

partag. Cette partition stocke les informations de dfaillance uniquement
pour votre hte.
Stockage SAN partag
Cre la partition de diagnostic sur un LUN de SAN partag. Cette partition

est accessible par plusieurs htes et peut stocker des information de
dfaillance pour plus d'un hte.
Slectionnez le priphrique utiliser pour la partition de diagnostic et cliquez sur [Suivant] .
Passez en revue les informations de configuration de la partition et cliquez sur [Terminer] .
VMware, Inc.
113
114
VMware, Inc.
Gestion du stockage
Aprs avoir cr des banque de donnes, vous pouvez modifier leurs proprits, utiliser des dossiers pour
regroupesr les banque de donnes en fonction de vos besoins professionnels ou supprimer les banque de
donnes non utilises. Vous pouvez galement configurer les chemins multiples pour vos copies de banque
de donnes de stockage ou de nouvelle signature.
n
Gestion des banques de donnes , page 115
Modification des proprits de la banque de donnes VMFS , page 117
Administration des banques de donnes VMFS dupliques , page 119
Utilisation des chemins multiples avec ESXi , page 122
Acclration matrielle du stockage , page 130
Allocation dynamique , page 132
Dsactiver les filtres de stockage vCenter Server , page 134
Gestion des banques de donnes

Un systme ESXi utilise les banque de donnes pour stocker tous les fichiers associs ses machines virtuelles.
Aprs avoir cr les banque de donnes, vous pouvez les grer en ralisant un certain nombre de tches.
Une banque de donnes est une unit de stockage logique pouvant utiliser de l'espace disque sur un
priphrique physique, une partition de disque ou s'tendre sur plusieurs priphriques physiques. Les
banque de donnes peuvent exister sur diffrents types de priphriques physiques, y compris SCSI, iSCSI,
rseau SAN Fibre Channel ou NFS.
Les banque de donnes sont ajoutes vSphere Client de l'une des manires suivantes :
n
Cres par dfaut lorsque l'hte ESXi est dmarr pour la premire fois. Le logiciel formate tous les disques
locaux vierges visibles ou partitions avec les banque de donnes VMFS afin que vous puissiez crer des
machines virtuelles sur les banque de donnes.
Reconnaissance en cas d'ajout d'hte l'inventaire. vSphere Client affiche les banque de donnes que l'hte
peut reconnatre.
Cres sur un priphrique de stockage disponible l'aide de la commande [Ajouter stockage] .
VMware, Inc.
115
Aprs avoir cr les banque de donnes, vous pouvez les employer pour stocker des fichiers de machine
virtuelle. Vous pouvez les grer en les renommant, les supprimant et en dfinissant des autorisations de
contrle d'accs. Par ailleurs, vous pouvez regroupesr les banque de donnes afin de les organiser et de dfinir
les mmes autorisations au sein du groupes simultanment.
Pour plus d'informations sur la dfinition des autorisations de contrle d'accs sur une banque de donnes,
voir l'Aide de vSphere Client.
Renommage des banques de donnes

Vous pouvez modifier le nom d'une banque de donnes existante.
Procdure
1
Affichez les banques de donnes.
Cliquez avec le bouton droit sur la banque de donnes renommer et slectionnez [Renommer] .
Entrez un nouveau nom de banque de donnes.
Si vous utilisez le systme de vCenter Server pour grer vos htes, le nouveau nom s'affiche sur tous les htes
qui ont accs la banque de donnes.
Regroupesment de banques de donnes

Si vous utilisez le systme vCenter Server pour grer vos htes, regroupesz les banque de donnes en dossiers.
Cette opration permet d'organiser votre banque de donnes en fonction des pratiques professionnelles et
d'affecter des autorisations et des alarmes sur les banque de donnes d'un groupes simultanment.
Procdure
1
Connectez-vous au vSphere Client Client.
Au besoin, affichez les banques de donnes.

Pour plus d'informations, voir l'aide de vSphere Client.
Dans le panneau d'inventaire, choisissez [banque de donnes] .
Slectionnez le centre de donnes contenant les banques de donnes regroupesr.
Dans le menu de raccourcis, cliquez sur l'icne [Nouveau dossier] .
Donnez un nom descriptif au dossier.
Cliquez sur chaque banque de donnes et faites-la glisser dans le dossier.
Suppression des banques de donnes

Vous pouvez supprimer n'importe quel type de banque de donnes VMFS, y compris les copies que vous avez
montes sans nouvelle signature. Quand vous supprimez une banque de donnes, elle est dtruite et disparat
de tous les htes qui y ont accs.
Prrequis
Avant de supprimer une banque de donnes, retirez toutes les machines virtuelles qui s'y trouvent. Vrifiez
qu'aucun autre hte n'accde la banque de donnes.
Procdure
116
Cliquez avec le bouton droit sur la banque de donnes supprimer et slectionnez [Supprimer] .
Confirmez que vous voulez supprimer la banque de donnes.
VMware, Inc.
Chapitre 9 Gestion du stockage
Dmontage des banques de donnes

Quand vous dmontez une banque de donnes, elle reste intacte, mais ne peut tre vue des htes que vous
spcifiez. Une banque de donnes dmonte continue s'afficher sur d'autres htes, o elle reste monte.
Vous pouvez dmonter seulement les types suivants de banques de donnes :
n
banques de donnes NFS
Les copies de la banque de donnes VMFS montes sans resignature
Vous ne pouvez pas dmonter une banque de donnes monte active.

Procdure
1
Cliquez avec le bouton droit sur la banque de donnes dmonter et slectionnez [Dmonter] .
Si la banque de donnes est partage, spcifiez quels htes ne devraient plus accder la banque de
donnes.
a
Si ncessaire, dslectionnez les htes o vous souhaitez maintenir votre banque de donnes monte.
Par dfaut, tous les htes sont slectionns.
Passez en revue la liste de htes desquels vous voulez dmonter votre banque de donnes, et cliquez
sur [Terminer] .
Confirmez que vous voulez dmonter la banque de donnes.
Modification des proprits de la banque de donnes VMFS

Aprs avoir cr une banque de donnes VMFS, vous pouvez la modifier. Par exemple, vous pouvez
l'augmenter si vous avez besoin de plus d'espace. Si vous avez des banque de donnes VMFS-2, vous pouvez
les mettre niveau au format VMFS-3.
Les banque de donnes utilisant le format VMFS sont dployes sur des priphriques de stockage SCSI.
Vous ne pouvez pas reformater une banque de donnes VMFS utilise par un hte distant. Si vous essayez,
un avertissement apparat qui prcise le nom de la banque de donnes en cours d'utilisation et l'hte qui l'utilise.
Cet avertissement apparat galement dans les fichiers journaux de VMkernel et vmkwarning.
Selon que votre vSphere Client Client est connect un systme vCenter Server ou directement un hte, vous
pouvez accder la bote de dialogue Proprits banque de donnes de diffrentes manires.
n
vCenter Server uniquement. Pour accder la bote de dialogue Datastore Properties, slectionnez la
banque de donnes dans l'inventaire, cliquez sur l'onglet [Configuration] , puis sur [Proprits] .
vCenter Server et hte ESXi. Pour accder la bote de dialogue Datastore Properties, slectionnez un hte
dans l'inventaire, cliquez sur l'onglet [Configuration] , puis sur [Stockage] . Dans la vue banque de
donnes, slectionnez la banque de donnes modifier et cliquez sur [Proprits] .
VMware, Inc.
117
Augmentation des banques de donnes VMFS

Lorsque vous devez crer de nouvelles machines virtuelles sur une banque de donnes, ou lorsque les machines
virtuelles fonctionnant sur cette banque de donnes exigent plus d'espace, vous pouvez dynamiquement
augmenter la capacit d'une banque de donnes VMFS.
Slectionnez l'une des mthodes suivantes :
n
Ajoutez une nouvelle extension. Une extension est une partition sur un priphrique de stockage, ou LUN.
Vous pouvez ajouter jusqu' 32 extensions du mme type de stockage sur une banque de donnes VMFS
existante. La banque de donnes VMFS tendue peut utiliser toutes ses extensions tout moment. Elle ne
doit pas ncessairement remplir une extension spcifique avant d'utiliser la suivante.
Augmentez une extension dans une banque de donnes VMFS existante, afin qu'elle remplisse la capacit
adjacente disponible. Seules les extensions avec de l'espace libre juste aprs eux sont extensibles.
REMARQUE Si une banque de donnes partage dispose de machines virtuelles actives et est remplie 100 %,
vous pouvez augmenter la capacit de celle-ci uniquement partir de l'hte, auprs duquel les machines
virtuelles actives sont enregistres.
Procdure
1
Cliquez sur l'onglet [Configuration] et cliquez sur [Stockage] .
Dans la vue banque de donnes, slectionnez la banque de donnes augmenter et cliquez sur
[Proprits] .
Cliquez sur [Augmenter] .
Slectionnez un priphrique de la liste des priphriques de stockage et cliquez sur [Suivant] .
Si vous voulez ajouter une nouvelle extension, slectionnez le priphrique pour lequel la colonne
Extensible indique Non.
Si vous voulez agrandir une extension existante, slectionnez le priphrique pour lequel la colonne
Extensible indique Yes.
Slectionnez une option de configuration dans le panneau du bas.

Selon la disposition actuelle du disque et vos slections prcdentes, les options que vous voyez pourraient
varier.
Option
Description
Utilisez l'espace libre pour ajouter la

nouvelle extension
Ajoute de l'espace libre sur ce disque comme nouvelle extension de la banque

de donnes.
Utilisez l'espace libre pour largir

l'extension existante
Augmente une extension existante la capacit requise.
Utilisez l'espace libre
Dploie une extension dans l'espace libre restant du disque. Cette option est
disponible seulement en ajoutant une extension.
Utilisez toutes les partitions

disponibles
Ddie le disque entier une extension unique de la banque de donnes. Cette

option est disponible seulement lors de l'ajout d'une extension et si le disque
que vous formatez n'est pas vide. Le disque est reformat et les banque de
donnes et toutes les donnes qu'elles contiennent sont effaces.
Dfinissez la capacit de l'extension.

Par dfaut, l'espace libre entier sur le priphrique de stockage est disponible.
118
VMware, Inc.
Passez en revue la disposition propose et la nouvelle configuration de votre banque de donnes et cliquez
sur [Terminer] .
Suivant
Aprs avoir augment une extension dans une banque de donnes VMFS partage, actualisez la banque de
donnes sur chaque hte pouvant y accder afin que vSphere Client puisse afficher la capacit correcte de la
banque de donnes pour tous les htes.
Mettre niveau les banques de donnes

ESXi comprend VMFS version 3 (VMFS-3). Si votre banque de donnes tait formate avec VMFS-2, vous
pouvez lire les fichiers stocks sur VMFS-2, mais vous ne pouvez pas crire dedans. Pour avoir un accs complet
aux fichiers, mettez niveau de VMFS-2 VMFS-3.
Quand vous mettez niveau VMFS-2 VMFS-3, le mcanisme de verrouillage de fichier ESXi assure qu'aucun
processus local ou distant n'accde au volume de VMFS en conversion. Votre hte prserve tous les fichiers
sur la banque de donnes.
Par prcaution, avant d'utiliser l'option de mise niveau, prenez les lments suivants en compte :
n
Validez ou annulez les modifications aux disques virtuels dans le volume VMFS-2 que vous envisagez de
mettre niveau.
Sauvegardez le volume VMFS-2.
Assurez-vous que les machines virtuelles actives n'utilisent pas ce volume VMFS-2.
Assurez-vous qu'aucun autre hte ESXi n'accde au volume VMFS-2.
La conversion VMFS-2 VMFS-3 est un processus sens unique. Aprs la conversion de la banque de donnes
VMFS en VMFS-3, vous ne pouvez pas retourner la version VMFS-2.
Pour mettre niveau un systme de fichiers VMFS-2, sa taille de bloc de fichier ne doit pas dpasser 8 Mo.
Procdure
1
Cliquez sur l'onglet [Configuration] et cliquez sur [Stockage] .
Slectionnez la banque de donnes qui utilise le format VMFS-2.
Cliquez sur [Mise niveau VMFS-3] .
Effectuez une nouvelle analyse de tous les htes voyant la banque de donnes.
Administration des banques de donnes VMFS dupliques

Lorsqu'un LUN contient une copie de banque de donnes VMFS, vous pouvez monter la banque de donnes
avec sa signature existante, ou lui assigner une nouvelle signature.
Chaque banque de donnes VMFS cre dans un LUN a un UUID unique qui est stock dans le super-bloc de
systme de fichiers. Lorsque le LUN est rpliqu ou captur, la copie rsultante identique, octet par octet, au
LUN original. En consquence, si le LUN initial contient une banque de donnes VMFS avec UUID X, la copie
de LUN semble contenir une banque de donnes identique VMFS ou une copie de la banque de donnes VMFS,
avec exactement le mme UUID X..
ESXi est capable de dterminer si un LUN contient une copie de banque de donnes VMFS, et peut monter la
copie soit avec son UUID d'origine, ou changer l'UUID par re-signature de la banque de donnes.
VMware, Inc.
119
Montage des banques de donnes VMFS avec des signatures existantes

Vous n'aurez peut-tre pas besoin de procder la resignature d'une copie VMFS de banque de donnes. Vous
pouvez monter une copie de banque de donnes sans modifier sa signature.
Par exemple, vous pouvez maintenir des copies synchronises des machines virtuelles sur un site secondaire,
dans le contexte d'un plan de rcupration aprs sinistre. En cas de sinistre sur le site primaire, vous pouvez
monter la copie de banque de donnes et dmarrer les machines virtuelles sur le site secondaire.
IMPORTANT Vous ne pouvez monter une copie banque de donnes VMFS que si elle ne se heurte pas une
banque de donnes VMFS dj monte avec la mme UUID. Pour monter la copie, la banque de donnes VMFS
d'origine doit tre hors-ligne.
Lorsque vous montez la banque de donnes VMFS, ESXi autorise un accs la fois en criture et en lecture
la banque de donnes rsidant sur la copie de LUN. La copie de LUN doit tre autorise en criture. Les banque
de donnes montes sont persistantes, et restent valides aprs redmarrage du systme.
Du fait qu' ESXi ne propose pas une resignature de la banque de donnes monte, il vous faudra la dmonter
avant resignature.
Montage d'une banque de donnes VMFS avec une signature existante

Si vous n'avez pas re-signer la copie d'un banque de donnes VMFS, vous pouvez le monter sans chager sa
signature.
Prrequis
Avant de monter une banque de donnes, effectuez une ranalyse de stockage de votre hte pour qu'il mette
niveau son affichage des LUN qui lui sont prsents.
Procdure
1
Ouvrez une session sur vSphere Client et slectionnez le serveur dans le panneau d'inventaire.
Cliquez sur [Ajouter stockage] .
De la liste des LUN, slectionnez le LUN qui a un nom de banque de donnes affich dans la colonne
tiquette VMFS et cliquez sur [Suivant] .
Le nom prsent dans la colonne tiquette VMFS indique que le LUN contient une copie d'une banque de
donnes VMFS existante.
Dans Options de montage, slectionnez [Garder signature existante] .
Sur la page Prt terminer, passez en revue les informations de configuration de banque de donnes et
Suivant
Si vous voulez plus tard re-signer la banque de donnes monte, vous devrez d'abord le dmonter.
120
VMware, Inc.
Re-signature de copies VMFS

Utilisez la re-signature de banque de donnes pour conserver les donnes stockes dans la copie de la banque
de donnes VMFS. Lors d'une re-signature de copie VMFS, ESXi assigne une nouvelle UUID et une nouvelle
tiquette la copie, et la monte en tant que banque de donnes distincte de l'original.
Le format par dfaut de la nouvelle tiquette assigne la banque de donnes et snap-snapID-oldLabel, o
snapID est un nombre entier et oldLabel est l'tiquette de la banque de donnes d'origine.
Lorsque vous effectuez une re-signature de banque de donnes, prenez en compte les points suivants :
n
La re-signature d'une banque de donnes est irrversible.
La copie de LUN qui contient la banque de donnes VMFS pour la re-signature ne sera plus traite comme
copie de LUN.
Une banque de donnes parpille ne peut tre resignature que si toutes ses parties sont en ligne.
Le processus de re-signature est tolrant aux pannes et aux incidents. Si le processus est interrompu, vous
pourrez le reprendre plus tard.
Vous pouvez monter la nouvelle banque de donnes VMFS sans risque de collision de son UUID avec
l'UUID de toute autre banque de donnes, comme un parent ou enfant dans une hirarchie de snapshots
LUN.
Re-signer la copie d'une banque de donnes VMFS

Utilisez la re-signature de banque de donnes si vous voulez conserver les donnes stockes dans la copie de
datastore VMFS.
Prrequis
Pour re-signer la copie d'une banque de donnes monte, vous devez d'abord le dmonter.
Avant de re-signer une banque de donnes, VMFS, effectuez une ranalyse de stockage de votre hte pour
qu'il mette niveau son affichage des LUN qui lui sont prsents et dcouvre les copies de LUN.
Procdure
1
Ouvrez une session sur vSphere Client et slectionnez le serveur dans le panneau d'inventaire.
Cliquez sur [Ajouter stockage] .
De la liste des LUN, slectionnez le LUN qui a un nom de banque de donnes affich dans la colonne
tiquette VMFS et cliquez sur [Suivant] .
Le nom prsent dans la colonne tiquette VMFS indique que le LUN contient une copie d'une banque de
donnes VMFS existant.
Dans Options de montage, slectionnez [Affecter nouvelle signature] et cliquez sur [Suivant] .
Sur la page Prt Terminer, passez en revue les informations de configuration de banque de donnes et
VMware, Inc.
121
Suivant
Aprs avoir re-sign, vous devrez faire ce qui suit :
n
Si la banque de donnes resigne contient des machines virtuelles, mettez niveau les rfrences sur la
banque de donnes VMFS initiale dans les fichiers de la machine virtuelle, y compris les
fichiers.vmx,.vmdk,.vmsd, et.vmsn.
Pour mettre sous tension des machines virtuelles, enregistrez-les avec vCenter Server.
Utilisation des chemins multiples avec ESXi

Pour conserver une connexion constante entre un hte ESXi et son stockage, ESXi prend en charge les chemins
multiples. Le chemins multiples est une technique permettant d'utiliser plusieurs chemins d'accs physique
pour transfrer des donnes entre l'hte ESXi et le priphrique de stockage externe.
En cas de dfaillance d'un lment dans le rseau SAN, notamment un HBA, un commutateur ou un cble, ESXi
peut utiliser d'autres chemins physiques pour accder au priphrique de stockage. Ce processus est connu
comme basculement de chemin. En plus du basculement de chemin, le chemins multiples permet un
quilibrage de charge, qui redistribue les charges E/S entre plusieurs chemins, rduisant ou supprimant ainsi
les goulots d'tranglement.
Gestion des chemins multiples

Pour la gestion multivoie de stockage, ESXi utilise une couche VMkernel spciale nomme Architecture de
stockage enfichable (PSA). Le PSA est une structure modulaire ouverte qui coordonne les oprations
simultanes de plusieurs plug-ins multichemin (MPP).
Le plug-in multichemin VMkernel que ESXi fournit par dfaut est le VMware Native Multipathing Plug-In
(NMP). Le NMP est un module extensible qui gre les sous-plugins. Il existe deux types de sous-plugins NMP :
Storage Array Type Plug-Ins (SATP) et Path Selection Plug-Ins (PSP). SATP et PSP peuvent tre intgrs et
fournis par VMware ou par un tiers.
Si davantage de fonctionnalits de gestion multivoie sont ncessaires, un tiers peut galement fournir un MPP
excuter en complment ou en remplacement du NMP par dfaut.
Lors de la coordination du VMware NMP et de tous les MPP tiers installs, la PSA effectue les tches suivantes :
n
Chargement et dchargement des plug-ins multichemin.
Dissimulation des informations dtailles sur la machine virtuelle un plug-in particulier.
Routage des demandes d'E/S pour un priphrique logique spcifique vers le MPP qui gre ce
priphrique.
Traitement des files d'attente d'E/S vers les priphrique logiques.
Mise en place du partage de la bande passante du priphrique logique entre les machines virtuelles.
Traitement des files d'attente d'E/S vers les HBA de stockage physiques.
Traitement de la dtection et de la suppression des chemins physiques.
Mise disposition des statistiques d'E/S du priphrique logique et du chemin physique.
Comme Figure 9-1 l'illustre, plusieurs MPP tiers peuvent s'excuter en parallle avec le VMware NMP.
Lorsqu'ils sont installs, les MPP tiers remplacent le comportement du NMP et prennent le contrle total du
basculement de chemin et des oprations d'quilibrage de charge pour les priphriques de stockage spcifis.
122
VMware, Inc.
Figure 9-1. Architecture de stockage enfichable

VMkernel
architecture de stockage enfichable
tiers
MPP
tiers
MPP
VMware NMP
VMware SATP
VMware PSP
VMware SATP
VMware PSP
VMware SATP
SATP tiers
PSP tiers
Les modules de gestion multivoie effectuent les oprations suivantes :

n
Gestion des rclamations et des non rclamations de chemins physiques.
Gestion de la cration, de l'enregistrement et de l'annulation d'enregistrement des priphriques logiques.
Association des chemins physiques avec les priphriques logiques.
Prise en charge de la dtection et de la correction des pannes de chemin.
Traitement des demandes d'E/S vers les priphriques logiques :
Slection d'un chemin physique optimal pour la demande.
Excution, selon le priphrique de stockage, d'actions spcifiques ncessaires au traitement des

dfaillances de chemins et des nouvelles tentatives de commande d'E/S.
Prise en charge des tches de gestion, telles que l'interruption et la rinitialisation des priphriques
logiques.
Module de gestion multivoie de VMware

Par dfaut, ESXi offrent un module multichemin extensible nomm Native Multipathing Plug-In (NMP).
De manire gnrale, le VMware NMP prend en charge toutes les baies de stockage rpertories sur la liste de
compatibilit matrielle (HCL) de stockage de VMware et fournit un algorithme de slection de chemin par
dfaut reposant sur le type de baie. Le NMP associe une srie de chemins physiques un priphrique de
stockage spcifique ou une LUN. Les dtails spcifiques du traitement du basculement de chemin pour une
baie de stockage spcifique sont dlgus au Storage Array Type Plugin (SATP). Les dtails spcifiques de
dtermination du chemin physique utilis pour mettre une demande d'E/S un priphrique de stockage
sont traits par un Path Selection Plugin (PSP). Les SATP et les PSP sont des sous-plugins dans le module NMP.
Suite l'installation de ESXi, le SATP appropri correspondant la baie que vous utilisez sera install
automatiquement. Il n'est pas ncessaire d'obtenir ou de tlcharger de SATP.
SATP de VMware
Les Storage Array Type Plug-Ins (SATP) s'excutent avec VMware NMP et sont responsables des oprations
spcifiques aux baies.
ESXi offre un SATP pour chaque type de baie pris en charge par VMware. Il fournit galement les SATP par
dfaut qui prennent en charge les baies de stockage non-spcifiques actives/actives et ALUA et le SATP local
pour les priphriques directement relis. Chaque SATP contient des caractristiques spciales d'une certaine
classe de baies de stockage et effectue les oprations spcifiques la baie ncessaires pour dtecter l'tat du
chemin et pour activer un chemin inactif. Par consquent, le module NMP peut fonctionner avec de nombreuses
baies de stockage sans avoir connatre les informations dtailles du priphrique de stockage.
VMware, Inc.
123
Ds que le NMP dtermine le SATP utiliser pour un priphrique de stockage spcifique et qu'il associe le
SATP aux chemins physiques de ce priphrique de stockage, le SATP met en uvre les tches suivantes :
n
Surveillance du bon fonctionnement de chaque chemin physique.
Rapports sur les modifications d'tat de chaque chemin physique.
Excution d'actions spcifiques la baie ncessaires pour le basculement du stockage. Par exemple, pour
les priphriques actifs-passifs, il peut activer les chemins passifs.
PSP de VMware
Path Selection Plug-Ins (PSP) s'excute avec VMware NMP et choisit un chemin physique pour les demandes
d'E/S.
VMware NMP affecte un PSP par dfaut pour chaque priphrique logique selon le SATP associ aux chemins
physiques de ce priphrique. Vous pouvez remplacer le PSP par dfaut.
Par dfaut, le VMware NMP prend en charge les PSP suivants :
Dernire utilisation
(VMW_PSP_MRU)
Slectionne le chemin que l'hte ESXi a le plus rcemment utilis pour accder
au priphrique. Si ce chemin est indisponible, l'hte opte pour un autre chemin
et continue d'utiliser le nouveau chemin tant qu'il est disponible. MRU est la
rgle de chemin par dfaut pour les baies actives/passives.
Fixe (VMW_PSP_FIXED)
Utilise le chemin favori s'il a t configur. Sinon, il utilise le premier chemin

oprationnel dtect au moment du dmarrage du systme. Si l'hte n'est pas
en mesure d'utiliser le chemin favori, il slectionne de manire alatoire un
autre chemin disponible. L'hte revient vers le chemin favori ds que celui-ci
est disponible. Fixe est la rgle de chemin par dfaut pour les baies actives/
actives.
AVERTISSEMENT Si elle est utilise avec des baies actives/passives, la rgle de
chemin [Fixe] pourrait causer le vidage du chemin.
VMW_PSP_FIXED_AP
tend la fonctionnalit Fixe au baies actives/passives et de mode ALUA.
Round Robin
(VMW_PSP_RR)
Utilise un algorithme de slection de chemins qui passe en revue tous les

chemins actifs disponibles en activant l'quilibrage de charge sur les chemins.
Flux d'E/S de VMware NMP

Lorsqu'une machine virtuelle envoie une demande d'E/S un priphrique de stockage gr par le NMP, le
processus suivant a lieu :
124
Le NMP appelle le PSP assign ce priphrique de stockage.
Le PSP slectionne le chemin physique appropri sur lequel il peut envoyer l'E/S.
Le NMP envoie la requte d'E/S sur le chemin slectionn par le PSP.
Si l'opration d'E/S russie, le NMP signale qu'elle est termine.
Si l'opration d'E/S choue, le NMP appelle le SATP appropri.
Le SATP interprte les erreurs de commande d'E/S et, si ncessaire, active les chemins inactifs.
Le PSP est appel et slectionne un nouveau chemin sur lequel il peut envoyer l'E/S.
VMware, Inc.
Chemins multiples avec stockage local et SAN Fibre Channel

Dans une topologie de stockage local chemins multiples, vous pouvez utiliser un hte ESXi, qui a deux HBA.
L'hte ESXi se connecte un systme de stockage local deux ports via deux cbles. Cette configuration garantit
une tolrance aux pannes si un des lments de connexion entre l'hte ESXi et le systme de stockage local est
en panne.
Pour prendre en charge la commutation avec le SAN FC, l'hte ESXi a gnralement plusieurs HBA disponibles
partir desquels la baie de stockage est atteignable l'aide d'un ou plusieurs commutateurs. La configuration
peut galement inclure un HBA et deux processeurs de stockage afin que le HBA utilise un chemin diffrent
pour atteindre la baie de disques.
Dans Figure 9-2, plusieurs chemins peuvent connecter chaque serveur au priphrique de stockage. Par
exemple, si le HBA1 ou la liaison entre le HBA1 et le commutateur choue, le HBA2 prend la relve et fournit
la connexion entre le serveur et le commutateur. Le processus de reprise par un HBA pour un autre est appel
basculement HBA.
Figure 9-2. Chemins multiples Fibre Channel
Hte
1
HBA2
Hte
2
HBA1
HBA3
HBA4
commutateur
commutateur
SP1
SP2
baie de stockage
De mme, si le SP1 ou la liaison entre le SP1 et le commutateur s'interrompt, le SP2 prend la relve et fournit
la connexion entre le commutateur et le priphrique de stockage. Ce processus est appel basculement SP.
ESXi prend en charge le basculement HBA et SP pour sa capacit de chemins multiples.
Chemins multiples avec SAN iSCSI

Avec le stockage iSCSI, vous pouvez tirer avantage de la prise en charge des chemins multiples que le rseau
IP propose. Par ailleurs, ESXi prend en charge les chemins multiples bass sur l'hte pour tous les types
d'initiateurs iSCSI.
ESXi peut utiliser la prise en charge des chemins multiples intgre au rseau IP, qui permet au rseau
d'effectuer le routage. Grce la dcouverte dynamique, les initiateurs iSCSI obtiennent une liste des adresses
cibles que les initiateurs peuvent utiliser comme chemins multiples vers les LUN iSCSI pour des objectifs de
basculement.
ESXi pend galement en charge les chemins multiples bass sur l'hte.
Figure 9-3 montre les configurations chemins multiples possibles avec diffrents types d'initiateurs iSCSI.
VMware, Inc.
125
Figure 9-3. Chemins multiples bass sur l'hte

matriel
iSCSI
logiciel
iSCSI
hte 1
hte 2
logiciel
carte
HBA2
HBA1
NIC2
NIC1
Mise en rseau IP
SP
Stockage iSCSI
Chemins multiples avec iSCSI matriel

Avec le iSCSI matriel, l'hte a gnralement plusieurs adaptateurs iSCSI matriels disponibles partir
desquels le systme de stockage peut tre atteint l'aide d'un ou plusieurs commutateurs. La configuration
peut galement inclure un adaptateur et deux processeurs de stockage afin que l'adaptateur utilise un chemin
diffrent pour atteindre le systme de stockage.
Dans l'illustration Figure 9-3, Hte1 a deux adaptateurs iSCSI, HBA1 et HBA2, qui fournissent deux chemins
physiques au systme de stockage. Les plug-ins de chemins multiples sur votre hte, qu'il s'agisse d'un NMP
VMkernel ou de MPP tiers, ont accs aux chemins par dfaut et peuvent surveiller la sant de chaque chemin
physique. Si, par exemple, le HBA1 ou la liaison entre le HBA1 et le rseau choue, les plug-ins de chemins
multiples peuvent basculer le chemin sur le HBA2.
Chemins multiples avec iSCSI logiciel

Avec le iSCSI logiciel, comme indiqu sur Hte 2 de Figure 9-3, vous pouvez utiliser plusieurs cartes d'interface
rseau qui fournissent des fonctions de basculement et d'quilibrage de charge pour les connexions iSCSI entre
votre hte et les systmes de stockage.
Pour cette configuration, comme les plug-ins de chemins multiples n'ont pas accs directement aux cartes
d'interface rseau physiques sur votre hte, vous devez connecter chaque carte d'interface rseau physique
un port VMkernel spar. Vous associez ensuite tous les ports VMkernel l'initiateur iSCSI logiciel l'aide
d'une technique de liaison de port. En consquence, chaque port VMkernel connect un adapteur d'interface
rseau spare devient un chemin diffrent que la pile de stockage iSCSI et ses plug-ins de chemins multiples
prenant en charge le stockage peuvent utiliser.
Pour plus d'informations sur la manire de configurer les chemins multiples pour l'iSCSI logiciel, voir
Configuration du rseau pour l'iSCSI logiciel et l'iSCSI matriel dpendant , page 71.
126
VMware, Inc.
Analyse et rclamation des chemins

Lorsque vous dmarrez votre hte ESXi ou ranalysez votre adaptateur de stockage, l'hte dcouvre tous les
chemins physiques aux priphriques de stockage disponibles sur l'hte. En se basant sur un ensemble de
rgles de rclamation dfinies dans le fichier /etc/vmware/esx.conf, l'hte dtermine quel plug-in multichemin
(MPP) doit rclamer les chemins un priphrique particulier et devenir responsable de la gestion de cette
prise en charge multichemin pour ce priphrique.
Par dfaut, l'hte effectue une valuation priodique des chemins toutes les 5 minutes, faisant rclamer par le
PPP appropri tous les chemins non rclams.
Les rgles de rclamation sont numrotes. Pour chaque chemin physique, l'hte parcourt les rgles de
rclamation en commenant par le plus petit nombre. Les attributs du chemin physique sont compars la
spcification de chemin dans la rgle de rclamation. S'il trouve une correspondance, l'hte assigne le MPP
spcifi dans la rgle de rclamation pour l'administration du chemin physique. Ce processus continue jusqu'
ce que tous les chemins physiques soient rclams par les MPP correspondants, soit des plug-ins multichemin
tiers, soit le plug-in multichemin natif (NMP).
Pour en savoir plus sur les plug-ins multichemin, reportez-vous Gestion des chemins multiples ,
page 122.
Pour les chemins administrs par le module NMP, un second ensemble de rgles s'applique. Ces rgles
dterminent quel Storage Array Type Plug-In (SATP) doit tre utilis pour grer les chemins pour un type
spcifique de baie et quel Path Selection Plug-In (PSP) doit tre utilis pour chaque priphrique de stockage.
Par exemple, pour un priphrique de stockage qui appartient la famille de stockage EMC ClARiiON CX et
n'est pas configur comme matriel ALUA, le SATP par dfaut est VMW_SATP_CX et le PSP par dfaut est le
plus rcemment utilis (Most Recently Used).
Utilisez le vSphere Client pour affciher le SATP et le PSP que l'hte utilise pour un priphrique de stockage
spcifique et le statut de tous les chemins disponibles pour ce priphrique de stockage. Au besoin, vous
pouvez modifier le PSP VMware par dfaut grce au vSphere Client. Pour modifier le SATP par dfaut, vous
devez diter les rgles de rclamation dans vSphere CLI.
Pour plus d'informations sur les commandes disponibles pour grer PSA, consultez le Guide d'installation et de
script de l'interface de ligne de commande de vSphere et la Rfrence de l'interface de ligne de commande vSphere.
Affichage des informations sur les chemins

Utilisez le vSphere Client pour afficher le SATP et le PSP que l'hte ESXi utilise pour un support de stockage
spcifique et le statut de tous les chemins disponibles pour ce priphrique de stockage. Vous pouvez accder
aux informations sur les chemins la fois dans les fentres banque de donnes et Priphriques. Pour les banque
de donnes, vous consultez les chemins connects au priphrique hbergeant la banque de donnes.
Les informations du chemin comprennent le SATP assign pour administrer le priphrique, la politique de
slection de chemins (PSP), et une liste de chemins avec leurs caractristiques physiques, comme l'adaptateur
et la cible utiliss, et le statut de chaque chemin. Les informations de statut du chemin suivantes peuvent
s'afficher :
Active
Les chemins disponibles pour E/S avec un LUN. Un ou plusieurs chemins actifs
en cours d'utilisation pour le transfert de donnes sont marqus comme Actifs
(E/S).
REMARQUE Pour les htes faisant tourner ESXi 3.5 ou plus anciens, le terme
"Actif" dsigne le chemin unique que l'hte utilise pour E/S avec un LUN.
Veille
VMware, Inc.
Le chemin est oprationnel et peut tre utilis pour E/S si les chamins actifs
tombent en panne.
127
Dsactiv
Le chemin est dsactiv et aucune donne ne peut tre transfre.
Mort
Le logiciel ne peut joindre le disque par ce chemin.
Si vous utilisez la politique de chemin [Fixe] , vous pouvez voir quel est le chemin prfr. Le chemin prfr
est marqu par une astrisque (*) dans la colonne Prfr.
Affichage des chemins d'accs aux banque de donnes

Utilisez vSphere Client pour examiner les chemins qui connectent les banque de donnes aux priphriques
de stockage qui y sont dploys.
Procdure
1
Cliquez sur [banque de donnes] dans Vue.
Dans la liste des banque de donnes configures, slectionnez le datastore dont vous voulez afficher ou
configurer les chemins.
Le volet Dtails indique le nombre total de chemins pouvant accder au priphrique et si l'un d'eux est
cass ou dsactiv.
Cliquez sur [Proprits] > [Grer les chemins] pour ouvrir la bote de dialogue Grer les chemins.
Vous pouvez utiliser la bote de dialogue Grer les chemins pour activer ou mettre hors tension vos
chemins, dfinir des rgles de chemins multiples et spcifier le chemin prfr.
Affichage des chemins d'accs aux priphriques de stockage

Utilisez vSphere Client pour afficher quel SATP et PSP est utilis par l'hte pour un priphrique de stockage
spcifique, et l'tat de tous les chemins disponibles pour ce priphrique de stockage.
Procdure
1
Cliquez sur [Priphriques] dans Vue.
Cliquez sur [Grer les chemins] pour ouvrir la bote de dialogue Grer les chemins.
Dfinition d'une rgle de slection de chemin

Pour chaque priphrique de stockage, l'hte ESXi dfinit la rgle de slection de chemin d'accs base sur les
rgles de rclamation dfinies dans le fichier /etc/vmware/esx.conf.
Par dfaut, VMware prend en charge les rgles de slection de chemin d'accs suivantes. Si un PSP tiers est
install sur votre hte, sa rgle figure aussi dans la liste.
128
Fixe (VMW_PSP_FIXED)
L'hte utilise toujours le chemin d'accs prfr au disque quand ce chemin

d'accs est disponible. Si l'hte ne peut pas accder au disque par le chemin
d'accs prfr, il essaye les autres chemins d'accs. La rgle par dfaut pour
les priphriques de stockage actifs-actifs est Fixe.
AP fixe
(VMW_PSP_FIXED_AP)
tend la fonctionnalit Fixe aux baies actives/passives et de mode ALUA.
VMware, Inc.
Dernire utilisation
(VMW_PSP_MRU)
L'hte slectionne le chemin d'accs qui a t utilis rcemment. Quand le

chemin d'accs devient non disponible, l'hte slectionne un autre chemin
d'accs. L'hte ne retourne pas au chemin d'accs d'origine quand ce chemin
d'accs devient de nouveau disponible. Il n'y a aucun paramtre de chemin
d'accs prfr avec la rgle MRU. MRU est la rgle par dfaut pour les
priphriques de stockage actifs-passifs.
Round Robin
(VMW_PSP_RR)
L'hte utilise un algorithme de slection automatique de chemin d'accs qui

effectue une permutation circulaire sur tous les chemins d'accs actifs lors de
la connexion des baies actives/passives ou sur tous les chemins d'accs
disponibles lors de la connexion des baies actives/actives. Cette option met
en uvre l'quilibrage de charge sur tous les chemins d'accs physiques
disponibles pour l'hte.
L'quilibrage de charge est le processus de distribution des requtes d'E/S sur
les chemins d'accs. Le but est d'optimiser les performances en termes de dbit
(E/S par seconde, mgaoctets par seconde ou temps de rponse).
Tableau 9-1 rsume les changements de comportement de l'hte en fonction du type de baie et des rgles de
basculement.
Tableau 9-1. Effets de la rgle de chemin d'accs
Rgle/Carte
Active/Active
Active/Passive
Most Recently Used
L'intervention de l'administrateur est

requise pour la restauration suite une
dfaillance sur un chemin d'accs.
L'intervention de l'administrateur est requise

pour la restauration suite une dfaillance
sur un chemin d'accs.
Fixe
VMkernel reprend en utilisant le chemin

d'accs prfr lorsque la connectivit est
restaure.
VMkernel tente de reprendre en utilisant le

chemin d'accs prfr. Cela peut provoquer
l'annulation ou la dfaillance du chemin
d'accs si un autre SP possde maintenant le
LUN.
Round Robin
Pas de restauration.
Le chemin d'accs suivant dans la

planification Round Robin est slectionn.
AP fixe
Pour les baies ALUA, VMkernel choisit le chemin d'accs dfini comme chemin d'accs
prfr.
Pour les baies A/A, A/P et ALUA, VMkernel reprend en utilisant le chemins d'accs prfr,
mais uniquement si l'algorithme vitant l'annulation des chemins d'accs autorise la
restauration.
VMware, Inc.
129
Modification de la rgle de slection de chemin d'accs

Gnralement, vous ne devez pas changer les paramtres multivoie par dfaut que votre hte utilise pour un
priphrique de stockage spcifique. Cependant, si vous voulez faire des modifications, vous pouvez utiliser
la bote de dialogue Grer Chemins d'accs pour modifier une rgle de slection de chemin d'accs et spcifier
le chemin par dfaut comme rgle Fixe.
Procdure
1
Ouvrez la bote de dialogue Grer les chemins depuis la vue banque de donnes ou Priphriques.
Slectionnez une rgle de slection de chemin d'accs.

Par dfaut, VMware prend en charge les rgles de slection de chemin d'accs suivantes. Si un PSP tiers
est install sur votre hte, sa rgle figure aussi dans la liste.
n
[Fixe (VMW_PSP_FIXED)]
[AP fixe (VMW_PSP_FIXED_AP)]
[Dernire utilisation (VMW_PSP_MRU)]
[Round Robin (VMW_PSP_RR)]
Pour la rgle fixe, spcifiez un chemin d'accs en cliquant avec le bouton droit de la souris sur le chemin
considrer comme votre chemin prfr, et slectionnez [Prfr] .
Cliquez sur [OK] pour sauvegarder vos paramtres et quitter la bote de dialogue.
Dsactiver des chemins

Vous pouvez mettre hors tension temporairement certains chemins d'accs, pour des raisons de maintenance
notamment. Pour cela, vous pouvez utiliser vSphere Client.
Procdure
1
Ouvrez la bote de dialogue Grer les chemins depuis la vue banque de donnes ou Priphriques.
Dans le panneau Paths, cliquez avec le bouton droit sur le chemin d'accs mettre hors tension, puis
slectionnez [Dsactiver] .
Cliquez sur [OK] pour sauvegarder vos paramtres et quitter la bote de dialogue.
Vous pouvez galement dsactiver un chemin partir de la vue Chemins de l'adaptateur : dans la liste, cliquez
sur le chemin l'aide du bouton droit de la souris, puis slectionnez [Dsactiver] .
Acclration matrielle du stockage

La fonctionnalit d'acclration matrielle permet votre hte de dcharger des oprations d'une machine
virtuelle spcifique et de gestion du stockage vers du matriel de stockage compatible. Avec l'assistance
matrielle du stockage, votre hte effectue les oprations plus rapidement et consomme moins de CPU, de
mmoire et de bande passante de stockage.
Pour mettre en uvre la fonctionnalit d'acclration matrielle, l'Architecture de stockage enfichable (PSA)
utilise une association spciale de plug-ins d'intgration de baies appels plu-ins VAAI et un filtre d'intgration
de baies, appel filtre VAAI. Le PSA associe automatiquement le filtre VAAI et des plug-ins VAAI spcifiques
au fournisseur aux priphriques de stockage qui prennent en charge l'acclration matrielle.
Pour afficher et grer le filtre VAAI et les plug-ins VAAI disponibles sur votre hte, utilisez les commandes
de vSphere CLI.
Pour obtenir la description des commandes, voir Guide d'installation et script de l'interface de ligne de commande
vSphere et Rfrence de l'interface de ligne de commande vSphere.
130
VMware, Inc.
Contraintes et avantages de l'acclration matrielle

La fonctionnalit d'acclration matrielle fonctionne uniquement si vous utilisez une association hte/baie de
stockage approprie.
Utilisez les htes et les baies de stockage suivants :
n
ESXi version 4.1 ou ultrieure.
Baies de stockage prenant en charge l'acclration matrielle base sur le stockage. ESXi version 4.1 ne
prend pas en charge l'acclration matrielle avec des priphriques de stockage NAS.
Sur votre hte, l'acclration matrielle est active par dfaut. Pour activer l'acclration matrielle du ct du
stockage, consultez le fournisseur du stockage. Certaines baies de stockage ncessitent que vous activiez la
prise en charge de l'acclration matrielle explicitement du ct de stockage.
Lorsque la fonctionnalit d'acclration matrielle est prise en charge, l'hte peut obtenir une assistance
matrielle et effectuer les oprations suivantes plus rapidement et plus efficacement :
n
Migration des machines virtuelles avec vMotion
Dploiement des machines virtuelles partir de modles
Clonage des machines virtuelles ou des modles
Verrouillage en cluster VMFS et oprations de mtadonnes pour les fichiers des machines virtuelles
criture vers des disques virtuels allocation dynamique et lourds
Cration de machines virtuelles tolrant les pannes
tat de la prise en charge de l'acclration matrielle

Pour chaque priphrique de stockage et banque de donnes, vSphere Client affiche l'tat de prise en charge
de l'acclration matrielle dans la colonne Acclration matrielle de la vue Priphriques et de la vue banque
de donnes.
Les valeurs d'tat sont Inconnu, Pris en charge et Non pris en charge. La valeur initiale est Inconnu. L'tat passe
Pris en charge aprs que l'hte a effectu avec succs l'opration de dchargement. Si l'opration de
dchargement choue, l'tat passse Non pris en charge.
Lorsque les priphriques de stockage ne prennent pas en charge ou fournissent uniquement une prise en
charge partielle des oprations de l'hte, votre hte revient ses mthodes natives d'excution des oprations
non pris en charge.
Dsactivation de l'acclration matrielle

Si vos priphriques de stockage ne prennent pas en charge la fonctionnalit d'acclration matrielle, vous
pouvez la dsactiver l'aide des paramtres avancs de vSphere Client.
Comme pour tous les paramtres avancs, avant de mettre hors tension l'acclration matrielle, contactez
l'quipe de support de VMware.
Procdure
1
Dans le panneau d'inventaire de vSphere Client, slectionnez l'hte.
Dans l'onglet [Configuration] , cliquez sur [Paramtres avancs] sous [Logiciel] .
Cliquez sur VMFS3 et mettez zro la valeur du champ [VMFS3.HardwareAcceleratedLocking] .
VMware, Inc.
131
Cliquez sur [DataMover] et mettez zro la valeur de chacun des champs suivants :
n
[DataMover.HardwareAcceleratedMove]
[DataMover.HardwareAcceleratedInit]
Cliquez sur [OK] pour enregistrer vos modifications.
Allocation dynamique
Lorsque vous crez une machine virtuelle, une certaine quantit d'espace de stockage sur une banque de
donnes est provisionne ou alloue aux fichiers du disque virtuel.
Par dfaut, ESXi offre une mthode d'allocation de stockage classique au cours de la cration dans laquelle
vous estimez la quantit de stockage dont la machine virtuelle aura besoin pour tout son cycle de vie, vous
allouez une quantit fixe d'espace de stockage son disque virtuel et associez tout l'espace allou au disque
virtuel. Un disque virtuel qui occupe immdiatement tout l'espace allou est appel un disque lourd. La
cration de disque virtuels au format lourd peut aboutir une sous-utilisation de la capacit de la banque de
donnes, car de grandes quantits d'espace de stockage, pr-allou diffrentes machines virtuelles, peuvent
rester non utilises.
Pour aider viter la sur-allocation de l'espace de stockage et conomiser du stockage, ESXi prend en charge
l'allocation dynamique qui vous permet, au dbut, d'utiliser uniquement la capacit de stockage dont vous
avez besoin, puis d'ajouter la quantit ncessaire d'espace de stockage ultrieurement. Grce la fonction
d'allocation dynamique de ESXi, vous pouvez crer des disques virtuel au format lger. Pour un disque virtuel
lger, ESXi alloue tout l'espace requis pour les activits actuelles et futures du disque, mais ne valide que
l'espace de stockage ncessaire aux oprations initiales.
propos des formats de disque virtuel

Quand vous excutez certaines oprations de gestion de machine virtuelle, par exemple la cration d'un disque
virtuel, le clonage d'une machine virtuelle dans un modle ou le transfert d'une machine virtuelle, vous pouvez
dsigner un format pour le fichier de disque virtuel.
Les formats de disque suivants sont pris en charge. Vous ne pouvez pas indiquer le format de disque si le
disque rside sur une banque de donnes NFS. Le serveur NFS dtermine la rgle d'allocation du disque.
Format
approvisionnement en
allg
Employez ce format pour conomiser de l'espace de stockage. Pour le disque

lger, vous fournissez autant d'espace de banque de donnes que le disque en
exigerait d'aprs la valeur que vous saisissez comme taille de disque. Toutefois,
le disque approvisionnement en allg commence par tre petit et n'utilise
dans un premier temps que l'espace de banque de donnes dont il a
effectivement besoin pour ses oprations initiales.
REMARQUE Si un disque virtuel admet les solutions de cluster telles que la
tolrance aux pannes, vous ne pouvez pas mettre le disque en allg.
Si le disque approvisionnement en allg ncessite plus d'espace par la suite,
il peut grandir jusqu' sa capacit maximale et occuper l'intgralit de l'espace
de banque de donnes qui lui a t affect. En outre, vous pouvez convertir
manuellement le disque lger en disque lourd.
Format lourd
132
Il s'agit du format de disque virtuel par dfaut. Le disque virtuel au format

lourd ne change pas de taille et occupe d'emble l'intgralit de l'espace de
banque de donnes qui lui est affect. Il n'est pas possible de convertir le disque
lourd en disque lger.
VMware, Inc.
Cration de disques virtuels allous dynamiquement

Lorsque vous devez conomiser l'espace de stockage, vous pouvez crer un disque virtuel au format allou
dynamiquement. Le disque virtuel allou dynamiquement dmarre avec une petite taille et grandit au fur et
mesure que de l'espace disque est ncessaire.
Cette procdure suppose que vous criez une machine virtuelle personnalise ou classique l'aide de l'assistant
Nouvelle machine virtuelle.
Prrequis
Vous pouvez crer des disques allous dynamiquement uniquement sur les banque de donnes prenant en
charge l'allocation dynamique. Si un disque rside sur une banque de donnes NFS, vous ne pouvez pas dfinir
le format de disque, car le serveur NFS dtermine la rgle d'allocation pour le disque.
Procdure
u
Dans la bote de dialogue Crer un disque, slectionnez [Allouer et valider l'espace la demande
(provisionnement mince)] .
Un disque virtuel au format allou dynamiquement est cr. Si vous ne slectionnez pas l'option
Provisionnement mince, votre disque virtuel a le format lourd par dfaut.
Suivant
Si vous avez cr un disque virtuel au format allou dynamiquement, vous pouvez l'agrandir sa taille totale
ultrieurement.
Affichage des ressources de stockage des machines virtuelles

Vous pouvez consulter comment l'espace de stockage est allou pour vos machines virtuelles.
Procdure
1
Slectionnez la machine virtuelle dans l'inventaire.
Cliquez sur l'onglet [Rsum] .
Vrifiez les informations d'allocation d'espace dans la section Ressources.

n
Stockage provisionn : affiche l'espace de la banque de donnes garanti la machine virtuelle. Tout
l'espace ne peut pas tre utilis par la machine virtuelle si elle a des disques au format allocation
dynamique. D'autres machines virtuelles peuvent occuper l'espace non utilis.
Stockage non partag : affiche l'espace de banque de donnes occup par la machine virtuelle et non
partag avec d'autres machines virtuelles.
Stockage utilis : affiche l'espace de banque de donnes rellement occup par les fichiers de la
machine virtuelle, y compris les fichiers de configuration et journaux, les snapshots, les disques
virtuels, etc. Lorsque la machine virtuelle est en fonctionnement, l'espace de stockage utilis
comprend galement les fichiers d'change.
Dterminer le format de disque d'une machine virtuelle

Vous pouvez dterminer si votre disque virtuel est au format lger ou lourd.
Procdure
1
Cliquez sur [Modifier les paramtres] pour afficher la bote de dialogue Proprits de machine virtuelle.
VMware, Inc.
133
Cliquez sur l'onglet [Matriel] et slectionnez le disque dur appropri dans la liste de matriel.
La section Provisionnement disque sur le ct droit prsente le type de votre disque virtuel, lger (Thin)
ou lourd (Thick).
Cliquez sur [OK] .
Suivant
Si votre disque virtuel est au format lger, vous pouvez le gonfler la taille normale.
Convertir un disque virtuel lger en disque virtuel pais

Si vous avez cr un disque virtuel au format lger, vous pouvez le convertir en lourd.
Procdure
1
Cliquez sur l'onglet [Rsum] et, sous Ressources, double-cliquez sur la banque de donnes pour que la
machine virtuelle ouvre la bote de dialogue Navigateur de banque de donnes.
Cliquez sur le dossier de machine virtuelle pour trouver le fichier de disque virtuel que vous voulez
convertir. Le fichier porte l'extension .vmdk.
Cliquez avec le bouton droit sur le fichier de disque virtuel et slectionnez [Gonfler] .
Le disque virtuel au format lourd occupe l'espace entier de la banque de donnes qui lui tait attribu l'origine.
Traitement du sur-abonnement de banque de donnes

Comme l'espace allou pour les disques lgers peut tre suprieur l'espace valid, un sur-abonnement de la
banque de donnes peut survenir, ce qui fait que l'espace total allou pour les disques de la machine virtuelle
sur la banque de donnes est suprieur la capacit relle.
Le sur-abonnement peut tre possible, car toutes les machines virtuelles disques lgers n'ont gnralement
pas besoin de tout l'espace de banque de donnes allou en mme temps. Cependant, si vous souhaitez viter
le sur-abonnement la banque de donnes, vous pouvez configurer une alarme qui vous avertit lorsque
l'espace allou atteint un certain seuil.
Pour plus d'informations sur la configuration d'alarme, voir le Guide d'administration du centre de donnes
VMware vSphere.
Si vos machines virtuelles ncessitent plus d'espace, l'espace de la banque de donnes est allou sur la base du
premier arriv, premier servi. Lorsque la banque de donnes est court d'espace, vous pouvez ajouter plus de
stockage physique et augmenter la banque de donnes.
Reportez-vous Augmentation des banques de donnes VMFS , page 118.
Dsactiver les filtres de stockage vCenter Server

Lorsque vous effectuez des oprations de gestion de banque de donnes VMFS, vCenter Server utilise des
filtres de stockage par dfaut. Les filtres vous aident viter une corruption du stockage en extrayant
uniquement les priphriques de stockage, ou LUN, pouvant tre utiliss pour une opration particulire. Les
LUN non conformes ne sont pas affichs pour la slection. Vous pouvez mettre hors tension les filtres pour
afficher tous les LUN.
Avant d'apporter des modifications aux filtres des LUN, contactez l'quipe de support de VMware. Vous
pouvez mettre hors tension les filtres uniquement si vous avez d'autres moyens d'empcher une corruption
des LUN.
134
VMware, Inc.
Procdure
1
Dans vSphere Client, slectionnez [Administration] > [Paramtres vCenter Server] .
Dans la liste des paramtres, slectionnez [Paramtres avancs] .
Dans la zone de texte [Touche] , entrez une cl.

Touche
Nom du filtre
config.vpxd.filter.vmfsFilter
Filtre VMFS
config.vpxd.filter.rdmFilter
Filtre RDM
config.vpxd.filter.SameHostAndTra
nsportsFilter
Filtre d'hte et de transports identique
config.vpxd.filter.hostRescanFilter
Filtre de ranalyse d'hte

REMARQUE Si vous dsactivez le filtre de ranalyse de l'hte, vos htes
continuent d'excuter une ranalyse chaque fois que vous prsentez un
nouveau LUN un hte ou un cluster.
Dans la zone de texte [Valeur] , tapez Faux pour la cl spcifie.
Cliquez sur [OK] .

Vous n'avez pas besoin de redmarrer le systme vCenter Server.
Filtrage du stockage de vCenter Server

vCenter Server fournit des filtres de stockage pour vous aider viter la corruption des priphriques de
stockage ou des dgrations de performances pouvant tre provoques par une utilisation non prise en charge
des LUN. Ces filtres sont disponibles par dfaut.
Tableau 9-2. Filtres de stockage
Nom du filtre
Description
Touche
Filtre VMFS
limine les priphriques de stockage, ou LUN, qui

sont dj utiliss par une banque de donnes VMFS ou
un hte gr par vCenter Server. Les LUN ne
s'affichent pas comme des candidats au formatage
avec une autre banque de donnes VMFS ou pour une
utilisation en tant que RDM.
config.vpxd.filter.vmfsFilter
Filtre RDM
limine les LUN dj rfrencs par un RDM sur un

hte gr par vCenter Server. Les LUN ne s'affichent
pas comme des candidats au formatage avec VMFS ou
pour une utilisation par un RDM diffrent.
Si vos machines virtuelles doivent accder au mme
LUN, celles-ci doivent partager le mme fichier de
mappage RDM. Pour plus d'informations sur ce type
de configuration, voir Configuration d'un cluster de
basculement et du service de cluster de Microsoft.
config.vpxd.filter.rdmFilter
VMware, Inc.
135
Tableau 9-2. Filtres de stockage (suite)

Nom du filtre
Description
Touche
Filtre d'hte identique

et de transports
limine les LUN inligibles pour une utilisation

comme extensions de banque de donnes VMFS en
raison d'incompatibili d'hte ou de stockage. Vous
empche d'ajouter les LUN suivants comme
extensions :
n LUN non exposs tous les htes qui partagent la
banque de donnes VMFS d'origine.
n LUN utilisant un type de stockage diffrent de
celui utilis par la banque de donnes d'origine.
Par exemple, vous ne pouvez pas ajouter une
extension Fibre Channel une banque de donnes
VMFS sur un priphrique de stockage local.
config.vpxd.filter.SameHostAndTransportsFilter
Filtre de ranalyse
d'hte
Ranalyse automatiquement et met niveau les

banque de donnes VMFS aprs que vous avez
effectu des oprations de gestion de banque de
donnes. Ce filtre aide fournir une vue cohrente de
toutes les banque de donnes VMFS sur tous les htes
grs par vCenter Server.
REMARQUE Si vous prsentez un nouveau LUN un
hte ou un cluster, les htes excutent
automatiquement une ranalyse que le filtre de
ranalyse d'hte soit activ ou non.
config.vpxd.filter.hostRescanFilter
136
VMware, Inc.
Mappage de priphrique brut
10
Le mappage de priphrique brut (RDM) fournit un mcanisme permettant une machine virtuelle d'accder
directement un LUN sur le sous-systme de stockage physique (Fibre Channel ou iSCSI uniquement).
Les rubriques suivantes contiennent des informations sur les RDM et fournissent des instructions sur la
manire de crer et de grer des RDM.
n
propos du mappage de priphrique brut , page 137
Caractristiques du mappage de priphrique brut , page 141
Gestion des LUN mapps , page 143
propos du mappage de priphrique brut

Le RDM est un fichier de mappage dans un volume VMFS spar qui agit comme un proxy pour un
priphrique de stockage physique brut. Le RDM permet une machine virtuelle d'accder directement au
priphrique de stockage et de l'utiliser. Le RDM contient des mtadonnes pour la gestion et la redirection
de l'accs au disque vers le priphrique physique.
Le fichier vous donne certains des avantages de l'accs direct au priphrique physique tout en conservant les
avantages du disque virtuel dans VMFS. En consquence, il associe la capacit de gestion de VMFS l'accs
au priphrique brut.
Les RDM peuvent tre dcrits comme le mappage d'un priphrique brut dans une banque de donnes, le
mappage d'un LUN systme ou le mappage d'un fichier du disque vers un volume de disque physique. Tous
ces termes se rapportent au RDM.
Figure 10-1. Mappage de priphrique brut
Virtuel
machine
lit,
crit
ouvre
Volume VMFS
fichier de mappage
VMware, Inc.
adresse
rsolution
priphrique mapp
137
Bien que VMware recommande d'utiliser les banque de donnes VMFS pour la plus grande partie du stockage
sur disque virtuel, dans certains cas, vous pouvez utiliser des LUN bruts ou des disques logiques situs sur
un SAN.
Par exemple, vous pouvez utiliser des LUN bruts avec des RDM dans les situations suivantes :
n
Lorsque le snapshot du SAN ou d'autres applications en couche sont excuts dans la machine virtuelle.
Le RDM permet des systmes de dchargement volutifs l'aide de fonctions inhrentes au SAN.
Dans tout scnario de mise en clusters MSCS qui parcourt les htes physiques (clusters virtuel virtuel
ainsi que clusters physique virtuel). Dans ce cas, les donnes du cluster et les disques quorum doivent
configurs comme des RDM plutt que comme des fichiers sur un VMFS partag.
Considrez un RDM comme un lien symbolique d'un volume VMFS vers un LUN brut. Le mappage fait
apparatre les LUN comme des fichiers dans un volume VMFS. LE RDM, et non le LUN brut, est rfrenc
dans la configuration de la machine virtuelle. Le RDM contient une rfrence au LUN brut.
En utilisant le RDM, vous pouvez :
n
Utiliser vMotion pour migrer des machines virtuelles l'aide de LUN bruts.
Ajouter des LUN bruts aux machines virtuelles l'aide de vSphere Client.
Utiliser les fonctions du systme de fichiers telles que le verrouillage des fichiers distribus, les
autorisations et les noms.
Deux modes de compatibilit sont disponibles pour les RDM :

n
Le mode de compatibilit virtuelle permet un RDM d'agir exactement comme un fichier de disque virtuel,
y compris l'utilisation des snapshots.
Le mode de compatibilit physique permet un accs direct au priphrique SCSI pour les applications
ayant besoin d'un niveau de contrle infrieur.
Avantages du mappage de priphrique brut

Un RDM fournit un certain nombre d'avantages, mais il ne doit pas tre utilis dans tous les cas. Gnralement,
les fichiers de disque virtuel sont prfrables la capacit de gestion du RDM. Cependant, si vous avez besoin
de priphriques bruts, vous devez utiliser le RDM.
Le RDM offre plusieurs avantages.
Noms persistants
conviviaux
Fournit un nom convivial pour un priphrique mapp. Lorsque vous utilisez

un RDM, il est inutile de se rapporter au priphrique par son nom de
priphrique. Vous l'appelez par le nom du fichier de mappage, par exemple :
/vmfs/volumes/monVolume/monRpertoireVM/myonDisqueBrut.vmdk
138
Rsolution dynamique
de nom
Stocke des informations uniques d'identification pour chaque priphrique

mapp. VMFS associe chaque RDM son priphrique SCSI actuel, quelles que
soient les modifications dans la configuration physique du serveur, en raison
des modifications matrielles de l'adaptateur, des modifications de chemin, de
la relocalisation du priphrique, etc.
Verrouillage des fichiers

distribus
Permet d'utiliser le verrouillage distribu VMFS pour les priphriques SCSI

bruts. Le verrouillage distribu sur un RDM permet d'utiliser en toute scurit
un LUN brut partag sans perdre de donnes lorsque deux machines virtuelles
sur des serveurs diffrents essaient d'accder au mme LUN.
Autorisations de fichier
Permet les autorisations de fichier. Les autorisations de fichier de mappage sont

appliques au moment de l'ouverture du fichier pour protger le volume
mapp.
VMware, Inc.
Chapitre 10 Mappage de priphrique brut
Oprations du systme
de fichiers
Permet d'utiliser les utilitaires du systme de fichiers pour travailler avec un

volume mapp l'aide du fichier de mappage comme proxy. La plupart des
oprations valides pour un fichier ordinaire peuvent tre appliques au fichier
de mappage et sont rediriges pour fonctionner sur un priphrique mapp.
Snapshots
Permet d'utiliser les snapshots de machine virtuelle sur un volume mapp. Les
snapshots ne sont pas disponibles lorsque le RDM est utilis en mode de
compatibilit physique.
vMotion
Permet de migrer une machine virtuelle avec vMotion. Le fichier de mappage

agit comme un proxy pour permettre vCenter Server de migrer la machine
virtuelle l'aide du mme mcanisme que celui qui existe pour la migration
des fichiers du disque.
Figure 10-2. vMotion pour une machine virtuelle utilisant le mappage de
priphrique brut
Hte 1
Hte 2
VMotion
VM1
VM2
Volume VMFS
fichier de mappage
adresse
rsolution
priphrique mapp
VMware, Inc.
139
Agents de gestion du
SAN
Permet d'excuter certains agents de gestion du SAN l'intrieur d'une

machine virtuelle. De mme, tout logiciel ayant besoin d'accder un
priphrique l'aide de commandes SCSI spcifiques au matriel peut tre
excut dans une machine virtuelle. Ce type de logiciel est appel logiciel bas
sur cible SCSI. Lorsque vous utilisez les agents de gestion du SAN, slectionnez
un mode de compatibilit physique pour le RDM.
Virtualisation d'ID de
port N (NPIV)
Permet d'utiliser la technologie NPIV qui autorise un port unique Fibre

Channel HBA s'enregistrer sur l'ensemble Fibre Channel l'aide de plusieurs
noms de port mondiaux (WWPN). Ainsi, le port HBA a la forme de ports
virtuels multiples, chacun ayant son propre ID et un nom de port virtuel. Les
machines virtuelles peuvent ensuite appeler chacun de ces ports virtuels et les
utiliser pour tout le trafic RDM.
REMARQUE Vous ne pouvez utiliser le NPIV qu'avec les machines virtuelles
dotes de disques RDM.
VMware travaille avec les fournisseurs de logiciel de gestion de stockage pour garantir que leur logiciel
fonctionne correctement dans des environnements incluant ESXi. Certaines applications de ce type sont :
n
Logiciel de gestion du SAN
Logiciel de gestion des ressources de stockage (SRM)
Logiciel de snapshot
Logiciel de rplication
De tels logiciels utilisent un mode de compatibilit physique pour les RDM afin que le logiciel puisse accder
aux priphriques directement.
Divers produits de gestion s'excutent mieux de manire centralise (non pas sur la machine ESX), tandis que
d'autres s'excutent bien sur les machines virtuelles. VMware ne certifie pas ces applications, ni ne fournit de
matrice de compatibilit. Pour savoir si une application de gestion du SAN est prise en charge dans un
environnement ESXi, contactez le fournisseur du logiciel de gestion du SAN.
Limitations du mappage de priphrique brut

Certaines limitations existent lorsque vous utilisez les RDM.
n
Non disponible pour les priphriques de traitement par blocs sur certains priphriques RAID : le RDM
utilise un numro de srie pour identifier le priphrique mapp. Comme les priphriques de traitement
par blocs et certains priphriques RAID connexion directe n'exportent pas de numros de srie, ils ne
peuvent pas tre utiliss avec les RDM.
Disponible avec les volumes VMFS-2 et VMFS-3 uniquement : le RDM ncessite le format VMFS-2 ou
VMFS-3. Dans ESXi, le systme de fichiers VMFS-2 est en lecture seule. Mettez-le niveau VMFS-3 pour
utiliser les fichiers que VMFS-2 stocke.
Aucun snapshot dans le mode de compatibilit physique : si vous utilisez un RDM en mode de
compatibilit physique, vous ne pouvez pas utiliser un snapshot avec le disque. Le mode de compatibilit
physique permet la machine virtuelle de grer son propre snapshot ou de mettre en miroir des oprations.
Les snapshots sont disponibles en mode virtuel.
140
Aucun mappage de partition : le RDM ncessite que le priphrique mapp soit un LUN entier. Le
mappage vers une partition n'est pas pris en charge.
VMware, Inc.
Caractristiques du mappage de priphrique brut

Un RDM est un fichier de mappage spcial dans un volume VMFS qui gre les mtadonnes pour son
priphrique mapp. Le fichier de mappage est prsent au logiciel de gestion comme un fichier de disque
ordinaire, disponible pour les oprations fichier-systme habituelles. Pour la machine virtuelle, la couche de
visualisation du stockage prsente le priphrique mapp comme un priphrique SCSI.
Le contenu cl des mtadonnes du fichier de mappage comprend l'emplacement du priphrique mapp
(rsolution de nom), l'tat de verrouillage du priphrique mapp, les autorisations, etc.
Modes de compatibilit physique et virtuel du RDM

Vous pouvez utiliser les RDM en mode de compatibilit virtuelle ou en mode de compatibilit physique. Le
mode virtuel spcifie la virtualisation totale du priphrique mapp. Le mode physique spcifie une
virtualisation SCSI minimale du priphrique mapp, permettant une plus grande flexibilit pour le logiciel
de gestion du rseau SAN.
En mode virtuel, VMkernel envoie uniquement READ et WRITE au priphrique mapp. Le priphrique
mapp apparat pour le systme d'exploitation invit exactement comme un fichier de disque virtuel dans un
volume VMFS. Les caractristiques relles du matriel sont masques. Si vous utilisez un disque brut en mode
virtuel, vous pouvez vous rendre compte des avantages du VMFS tels que le verrouillage avanc du fichier
pour la protection des donnes et les snapshots pour la rationalisation des processus de dveloppement. Le
mode virtuel est galement plus compatible au sein du matriel de stockage que le mode physique et prsente
le mme comportement qu'un fichier de disque virtuel.
En mode physique, VMkernel transmet toutes les commandes SCSI au priphrique, sans aucune exception :
la commande REPORT LUN est virtualise afin que VMkernel puisse isoler le LUN pour la machine virtuelle
propritaire. Sinon, toutes les caractristiques physiques du matriel sous-jacent sont exposes. Le mode
physique est utilis pour excuter les agents de gestion du SAN et d'autres logiciels bass sur cible SCSI dans
la machine virtuelle. Le mode physique permet galement une mise en cluster virtuel physique pour une
disponibilit rentable.
Rsolution dynamique de nom

Le fichier RDM prend en charge la rsolution dynamique de nom lorsqu'un chemin vers un priphrique brut
change.
VMFS identifie de manire unique tous les priphriques de stockage mapps, et l'identification est stocke
dans ses structures de donnes internes. Toute modification au chemin vers un priphrique brut, telle qu'une
dfaillance de commutateur Fibre Channel ou l'ajout d'un nouvel HBA, peut modifier le nom du priphrique.
La rsolution dynamique de nom rsout ces modifications et associe automatiquement le priphrique
d'origine son nouveau nom.
VMware, Inc.
141
Mappage de priphrique brut sur des clusters de machine virtuelle

Utilisez un RDM avec les clusters de machine virtuelle qui doivent accder au mme LUN brut pour les
scnarios de reprise. La configuration est identique celle d'un cluster de machine virtuelle accdant au mme
fichier de disque virtuel, mais un RDM remplace le fichier de disque virtuel.
Figure 10-3. Accs partir des machines virtuelles en clusters
Hte 3
Hte 4
VM3
VM4
accs partag
fichier de mappage
adresse
rsolution
mapp
priphrique
Volume VMFS
Comparaison des modes d'accs disponibles du priphrique SCSI

Les mthodes d'accs un priphrique de stockage SCSI comprennent un fichier de disque virtuel sur une
banque de donnes VMFS, un RDM de mode virtuel et un RDM de mode physique.
Pour vous aider choisir parmi les modes d'accs disponibles pour les priphriques SCSI, Tableau 10-1 donne
une brve comparaison des fonctions disponibles avec les diffrents modes.
Tableau 10-1. Fonctions disponibles dans les disques virtuels et les mappages de priphrique brut
Fonctions ESXi
Fichier de disque
virtuel
RDM mode virtuel
RDM mode physique
Commandes SCSI transmises
Non
Non
Oui
REPORT LUN n'est pas
transmis
Prise en charge vCenter Server
Oui
Oui
Oui
Snapshots
Oui
Oui
Non
Verrouillage distribu
Oui
Oui
Oui
Mettre en cluster
Cluster dans une bote

uniquement
Cluster dans une bote et

cluster entre botes
Cluster physique virtuel
Logiciel bas sur cible SCSI
Non
Non
Oui
VMware recommande d'utiliser des fichiers de disque virtuel pour le type cluster dans une bote de mise en
cluster. Si vous envisagez de reconfigurer vos clusters cluster dans une bote en clusters cluster-accross-thebox, utilisez les RDM de mode virtuel pour les clusters cluster dans une bote.
142
VMware, Inc.
Gestion des LUN mapps

Vous pouvez utiliser vSphere Client pour mapper un LUN de rseau SAN sur une banque de donnes et grer
les chemins vers votre LUN mapp.
Les outils supplmentaires pour grer les LUN mapps et leurs RDM comprennent l'utilitaire vmkfstools et
d'autres commandes utilises avec vSphere CLI. Vous pouvez utiliser l'utilitaire vmkfstools pour effectuer de
nombreuses oprations identiques disponibles via vSphere Client.
Cration de machines virtuelles avec des RDM

Quand vous donnez votre machine virtuelle un accs direct un LUN de rseau SAN brut, vous crez un
fichier de mappage (RDM) qui rside sur une banque de donnes VMFS et pointe vers le LUN. Bien que le
fichier de mappage possde l'extension.vmdk comme un fichier de disque virtuel standard, le fichier RDM
contient seulement les informations de mappage. Les donnes relles de disque virtuel sont stockes
directement sur le LUN.
Vous pouvez crer le RDM comme un disque initial pour une nouvelle machine virtuelle ou l'ajouter une
machine virtuelle existante. Lors de la cration du RDM, vous spcifiez le LUN mapper et la banque de
donnes sur laquelle mettre le RDM.
Procdure
1
Suivez toutes les tapes requises pour crer une machine virtuelle personnalise.
Dans la page Choisir disque, slectionnez [Mappage de priphriques bruts] , puis cliquez sur
[Suivant] .
Dans la liste des disques du SAN ou des LUN, slectionnez un LUN auquel votre machine virtuelle accde
directement.
Slectionnez une banque de donnes pour le fichier de mappage RDM.

Vous pouvez placer le fichier RDM sur la banque de donnes o rside votre fichier de configuration de
machine virtuelle ou en slection une autre.
REMARQUE Pour utiliser vMotion pour les machines virtuelles avec NPIV activ, assurez-vous que les
fichiers RDM des machines virtuelles sont situs dans la mme banque de donnes. Vous ne pouvez pas
effectuer Storage vMotion ou vMotion entre des banque de donnes lorsque NPIV est activ.
VMware, Inc.
Slectionnez un mode de compatibilit.

Option
Description
Physique
Permet au systme d'exploitation invit d'accder directement au matriel.

La compatibilit physique est utile si vous utilisez des applications prenant
en charge les SAN sur la machine virtuelle. Cependant, les machines
virtuelles sous tension utilisant des RDM et configures pour la compatibilit
physique ne peuvent pas tre migres si la migration suppose de copier le
disque. Ces machines virtuelles ne peuvent pas tre clones, ni clones en
modle.
Virtuel
Permet au RDM de se comporter comme s'il tait un disque virtuel, afin que
vous puissiez utiliser des fonctions telles que la prise de snapshots, le
clonage, etc.
Slectionnez un nud de priphrique virtuel.
143
Si vous slectionnez le mode Indpendant, choisissez l'une des options suivantes.

Option
Description
Persistent (Persistant)
Les changements sont immdiatement et dfinitivement crits sur le disque.
Non permanent
Les modifications apportes au disque sont ignores la mise hors tension

ou au rtablissement du snapshot.
Dans la page Prt terminer Nouvelle machine virtuelle, vrifiez vos slections.
10
Cliquez sur [Terminer] pour terminer votre machine virtuelle.
Gestion des chemins pour un LUN brut mapp

Vous pouvez grer les chemins pour les LUN bruts mapps.
Procdure
1
Connectez-vous en tant qu'administrateur ou en tant que propritaire de la machine virtuelle laquelle

le disque mapp appartient.
Slectionnez la machine virtuelle dans le panneau d'inventaire.
Dans l'onglet [Matriel] , slectionnez [Disque dur] , puis cliquez sur [Grer les chemins] .
Utilisez la bote de dialogue Grer les chemins pour activer ou mettre hors tension vos chemins, dfinir
la rgle de chemins multiples et indiquer le chemin prfr.
Pour plus d'informations sur la gestion des chemins, voir Utilisation des chemins multiples avec ESXi ,
page 122.
144
VMware, Inc.
Scurit
VMware, Inc.
145
146
VMware, Inc.
Scurit pour systmes ESXi
11
ESXi est dvelopp avec une priorit de scurit renforce. VMware garantit la scurit de l'environnement
ESXi et entoure l'architecture systme d'un niveau lev de scurit.
n
Architecture ESXi et fonctions de scurit , page 147
Ressources de scurit et informations , page 154
Architecture ESXi et fonctions de scurit

Les composants et l'architecture globale d'ESXi sont conus pour garantir la scurit du systme ESXi entier.
Sous l'angle de la scurit, ESXi contient trois composants principaux : la couche de virtualisation, les machines
virtuelles et la couche rseau virtuelle.
Figure 11-1 prsente ces composants.
Figure 11-1. Architecture ESXi
ESXi
virtuel
machine
VMware
Virtualisation
Couche (VMkernel)
CPU
VMware, Inc.
mmoire
virtuel
machine
virtuel
machine
virtuel
machine
Virtuel
Mise en rseau
Couche
rseau de matriel
carte
stockage
147
Scurit et couche de virtualisation

VMware a conu la couche de virtualisation (appele VMkernel) pour l'excution des machines virtuelles. Cette
couche contrle les composants matriels que les htes utilisent et planifie l'allocation des ressources
matrielles sur les diffrentes machines virtuelles. VMkernel est totalement ddi l'excution des machines
virtuelles et n'est pas utilis pour d'autres fonctions. Par consquent, son interface est strictement limite
l'API requise pour la gestion des machines virtuelles.
ESXi offre une protection VMkernel supplmentaire pour les fonctions suivantes :
Durcissement de la
mmoire
Le noyau ESXi, les applications utilisateur et les composants excutables

(pilotes et bibliothques, par exemple) se trouvent des emplacements
mmoire alatoires, non prvisibles. Cette fonction, associe aux protections
mmoire des microprocesseurs, rend plus difficile l'utilisation de la mmoire
par un code malveillant des fins d'exploitation des vulnrabilits.
Intgrit du noyau
Grce la signature numrique, l'intgrit et l'authenticit des modules, pilotes

et applications sont les mmes que si ces lments taient chargs par
VMkernel. Cette signature permet ESXi d'identifier les fournisseurs des
modules, pilotes ou applications concerns, et de vrifier s'ils sont dots d'une
certification VMware.
TPM (Trusted Platform

Module)
Ce module est un lment matriel qui reprsente le coeur d'une plateforme

matrielle, et qui permet d'obtenir l'attestation de processus de dmarrage, de
stockage de cls cryptographique et de protection A chaque dmarrage d'ESXi,
TPM mesure la valeur VMkernel utilise par ESXi et la consigne dans l'un des
registres PCR (Platform Configuration Register). Les mesures TPM sont ensuite
communiques vCenter Server, au moment o l'hte est ajout au systme
vCenter Server.
Vous pouvez utiliser TPM avec des solutions tierces pour fournir l'image ESXi
une protection base sur la stratgie contre les menaces suivantes :
n
Corruption de l'image stocke
Certaines sortes de sabotage
Mises jour non prvues ou non autorises et autres types de

modifications
Activez le lancement dynamique de VMkernel l'aide de TPM, grce l'option

de configuration avance enableTboot de vSphere Client. Elle porte le nom de
Dynamic Root of Trust for Measurement (DRTM). Par dfaut, l'utilisation de
DRTM pour la mesure de VMkernel est dsactive.
REMARQUE Si le module TPM est prsent sur un systme mais dsactiv dans
le BIOS, le message d'erreur suivant est susceptible de s'afficher : Error loading
TPM (erreur lors du chargement de TPM). Il s'agit d'un comportement normal ;
vous pouvez ignorer ce message d'erreur.
148
VMware, Inc.
Chapitre 11 Scurit pour systmes ESXi
Scurit et machines virtuelles

Les machines virtuelles sont les conteneurs dans lesquels sont excuts les systmes d'exploitation invits et
les applications. Ds la conception, toutes les machines virtuelles VMware sont isoles les unes des autres.
Cette isolation permet l'excution en toute scurit de plusieurs machines virtuelles malgr le partage de
composants matriels. Ces machines affichent la fois une bonne capacit d'accs aux composants matriels
et des performances ininterrompues.
Mme si un utilisateur possde des droits d'administrateur d'accs au systme d'exploitation invit d'une
machine virtuelle, il ne peut pas contourner cette couche d'isolation pour accder une autre machine virtuelle
sans possder les autorisations explicitement accordes par l'administrateur systme ESXi. Avec l'isolation des
machines virtuelles, en cas de dfaillance d'un systme d'exploitation invit, les autres machines virtuelles de
l'hte continuent de fonctionner. La panne du systme d'exploitation invit n'affecte pas :
n
La capacit des utilisateurs accder aux autres machines virtuelles
La capacit des machines virtuelles oprationnelles accder aux ressources dont elles ont besoin
Les performances des autres machines virtuelles
Chaque machine virtuelle est isole des autres machines virtuelles excutes sur le mme quipement. Bien
que les machines virtuelles partagent des ressources physiques (unit centrale, mmoire ou dispositifs d'E/S,
par exemple), un systme d'exploitation invit de machine virtuelle ne peut pas dtecter les autres units
virtuelles, comme illustr dans la Figure 11-2.
Figure 11-2. Isolation des machines virtuelles
Machine virtuelle
app
app
app
app
app
Systme d'exploitation
Ressources de la machine virtuelle
CPU
SCSI
contrleur
mmoire
souris
disque
CD/DVD
rseau et
cartes vido
clavier
VMkernel s'interpose entre les ressources physiques ; par ailleurs, tous les accs aux composants matriels
s'effectuent via VMkermel ; les machines virtuelles ne peuvent donc pas contourner ce niveau d'isolation.
Une machine physique communique avec les autres machines d'un rseau via l'utilisation d'un adapteur
rseau. De la mme faon, une machine virtuelle communique avec les autres machines virtuelles du mme
hte via un commutateur virtuel. Une machine virtuelle communique galement avec le rseau physique (y
compris avec les machines virtuelles situes sur d'autres htes ESXi) via un adapteur rseau physique, comme
l'illustre la Figure 11-3.
VMware, Inc.
149
Figure 11-3. Mise en rseau virtuel via l'utilisation de commutateurs virtuels

ESXi
Machine virtuelle
virtuel
Mise en rseau
carte
Machine virtuelle
virtuel
Mise en rseau
carte
VMkernel
Virtuel
Mise en rseau
Couche
Commutateur virtuel
relie des machines
virtuelles entre elles
Matriel - carte rseau
relie des machines virtuelles au
rseau physique
Mise en rseau physique
Les caractristiques suivantes s'appliquent l'isolation de machines virtuelles au sein d'un contexte rseau :
n
Si une machine virtuelle ne partage pas de commutateur virtuel avec une autre machine virtuelle, elle est
totalement isole des rseaux virtuels de l'hte.
Si aucun adapteur rseau physique n'est configure pour une machine virtuelle, celle-ci est totalement
isole des rseaux physiques.
Si vous utilisez les mmes mesures de scurit (pare-feu, logiciel anti-virus, notamment) pour assurer la
protection d'une machine virtuelle d'un rseau que celles destines protger une machine physique, la
machine virtuelle bnficie du mme niveau de scurit que la machine physique.
Vous pouvez renforcer la protection des machines virtuelles via la configuration de rservations de ressources
et de limites sur l'hte. Par exemple, grce aux contrles de ressources dtaills disponibles dans ESXi, vous
pouvez configurer une machine virtuelle afin qu'elle puisse systmatiquement recevoir 10 % minimum des
ressources en unit centrale de l'hte, mais sans jamais excder 20 %.
Les rservations et limites de ressources protgent les machines virtuelles contre toute diminution de
performances rsultant de la consommation excessive, par une autre machine virtuelle, des ressources
matrielles partages. Par exemple, si l'une des machines virtuelles d'un hte subit une attaque de dni de
service (DoS), la limite de ressource applique cette machine vite que les autres machines virtuelles ne soient
affectes par la capture d'une quantit importante de ressouces matrielles. De la mme faon, la rservation
de ressources applique chaque machine virtuelle permet, en cas de forte demande de ressources manant
de la machine virtuelle cible de l'attaque DoS, de prserver suffisamment de ressources sur les autres machines
virtuelles pour leur permettre de continuer fonctionner.
Par dfaut, ESXi impose une rservation de ressources via l'application d'un algorithme de distribution qui
rpartit les ressources hte disponibles de faon quitable entre les diffrentes machines virtuelles, tout en
conservant un certain pourcentage de ressources en vue de leur utilisation par les autres composants systme.
Ce comportement par dfaut offre une protection naturelle efficace contre les attaques de type DoS et DDoS
(Distributed Denial of Service). Vous pouvez dfinir les rservations et limites de ressources individuellement,
ce qui permet de personnaliser le comportement par dfaut pour obtenir une distribution diffrencie au sein
de la configuration de machines virtuelles.
150
VMware, Inc.
Scurit et couche rseau virtuelle

La couche de rseau virtuelle inclut des cartes rseau virtuelles et des commutateurs virtuels. ESXi utilise la
couche rseau virtuelle pour les communications entre les machines virtuelles et leurs utilisateurs. Par ailleurs,
les htes utilisent cette couche pour communiquer avec les SAN iSCSI, les espaces de stockage NAS, entre
autres.
Les mthodes utilises pour scuriser un rseau de machines virtuelles dpendent du systme d'exploitation
invit install, de la prsence ou non d'un environnement scuris, ainsi que d'un certain nombre d'autres
facteurs. Les commutateurs virtuels offrent un niveau de protection lev lorsqu'ils sont utiliss avec d'autres
mesures de scurit (installation de pare-feu, notamment).
ESXi prend galement en charge les rseaux VLAN IEEE 802.1q, que vous pouvez utiliser pour renforcer la
protection du rseau de machines virtuelles ou la configuration de stockage. Les VLAN permettent de
segmenter un rseau physique : ainsi, deux machines du mme rseau physique peuvent s'envoyer
mutuellement des paquets ou en recevoir (sauf s'ils se trouvent sur le mme rseau VLAN).
Cration d'une zone dmilitarise (DMZ) rseau sur un hte ESXi

La cration d'une zone dmilitarise (DMZ) rseau sur un hte est un exemple d'utilisation des fonctions
d'isolation et de mise en rseau virtuel d' ESXi.
Figure 11-4 illustre cette configuration.
Figure 11-4. DMZ configure sur un hte ESXi
ESXi
Machine virtuelle 1 Machine virtuelle 2
serveur de pare-feu
serveur Web
commutateur virtuel 1
rseau de matriel
carte 1
Mise en rseau externe
Machine virtuelle 3
serveur d'applications
Machine virtuelle 4
serveur de pare-feu
rseau de matriel
carte 2
Mise en rseau interne
Dans cet exemple, quatre machines virtuelles sont configures en vue de crer une zone dmilitarise virtuelle
sur le commutateur virtuel 2 :
n
la machine virtuelle 1 et la machine virtuelle 4 sont quipes d'un pare-feu et sont connectes des
adaptateurs virtuels via des commutateurs virtuels. Ces deux machines virtuelles font l'objet d'un
multihbergement.
La machine virtuelle 2 est excute en tant que serveur Web, tandis que la machine virtuelle 3 est excute
en tant que serveur d'applications. Ces deux machines virtuelles font l'objet d'un hbergement mono.
Le serveur Web et le serveur d'applications occupent la DMZ entre les deux pare-feu. Le passage entre ces
deux lments est le commutateur virtuel 2, qui connecte les pare-feu aux serveurs. Ce commutateur ne possde
pas de connexion directe aux lments situs hors de la zone dmilitarise ; il est isol du trafic externe via les
deux pare-feu.
VMware, Inc.
151
D'un point de vue oprationnel, le trafic externe Internet entre dans la machine virtuelle 1 via l'adaptateur
rseau 1 (achemin par le commutateur virtuel 1) ; il est alors vrifi par le pare-feu install sur cette machine.
Si le pare-feu autorise le trafic, celui-ci est achemin vers le commutateur virtuel situ au sein de la zone
dmilitarise (commutateur virtuel 2). Puisque le serveur Web et le serveur d'applications sont galement
connects ce commutateur, ils peuvent traiter des requtes externes.
Le commutateur virtuel 2 est galement connect la machine virtuelle 4. Cette machine virtuelle permet de
bnficier d'un pare-feu entre la DMZ et le rseau interne de l'entreprise. Ce pare-feu filtre les paquets en
provenance du serveur Web et du serveur d'applications. Si un paquet est vrifi, il est achemin vers
l'adaptateur rseau 2 via le commutateur virtuel 3. L'adaptateur rseau 2 est connect au rseau interne de
l'entreprise.
Lorsque vous crez une DMZ sur un seul hte, vous pouvez utiliser des pare-feu assez lgers. Dans cette
configuration, une machine virtuelle ne peut pas exercer un contrle direct sur une autre machine virtuelle, ni
accder sa mmoire ; toutefois, toutes les machines virtuelles restent connectes via un rseau virtuel. Or, ce
rseau peut tre utilis pour la propagation de virus ou tre la cible d'autres types d'attaques. La scurit des
machines virtuelles dans la zone dmilitarise revient donc sparer les machines physiques connectes au
mme rseau.
Cration de rseaux multiples sur un hte ESXi unique

Le systme ESXi a t conu pour vous permettre de connecter certains groupes de machines virtuelles au
rseau interne, ainsi que d'autres groupes au rseau externe, et enfin d'autres groupes aux deux rseaux, le
tout sur le mme hte. Cette capacit est une extension de l'isolation de machines virtuelles ; elle est associe
une optimisation de la planification d'utilisation des fonctions de rseau virtuel.
Figure 11-5. Rseaux externes, rseaux internes et DMZ configure sur un hte ESXi unique
ESXi
Mise en rseau externe
Mise en rseau interne
DMZ
VM 2
interne
utilisateur
VM 3
interne
utilisateur
VM 4
interne
utilisateur
VM 1
FTP
serveur
VM 5
interne
utilisateur
VM 6
pare-feu
serveur
VM 7
Web
serveur
VM 8
pare-feu
serveur
rseau physique
adaptateurs
Externe
Mise en rseau 1
Interne
Externe
Interne
Mise en rseau 2 Mise en rseau
Mise
2 en rseau 1
Dans Figure 11-5, l'administrateur systme a configur un hte dans trois zones diffrentes de machine
virtuelle : sur le serveur FTP, dans les machines virtuelles et dans la zone dmilitarise (DMZ). Chacune de
ces zones a une fonction spcifique.
Serveur FTP
152
La machine virtuelle 1 est configure avec logiciel FTP et sert de zone de

rtention des donnes envoyes de et vers des ressources extrieures
(formulaires et collatraux localiss par un fournisseur, par exemple).
VMware, Inc.
Cette machine virtuelle est associe un rseau externe uniquement. Elle

possde son propre commutateur virtuel et sa propre carte de rseau physique,
qui lui permettent de se connecter au rseau externe 1. Ce rseau est rserv
aux serveurs utiliss par l'entreprise pour la rception de donnes issues de
sources externes. Par exemple, l'entreprise peut utiliser le rseau externe 1 pour
recevoir un trafic FTP en provenance de leurs fournisseurs, et pour permettre
ces derniers d'accder aux donnes stockes sur des serveurs externes via
FTP. Outre la machine virtuelle 1, le rseau externe 1 sert les serveurs FTP
configurs sur diffrents htes ESXi du site.
La machine virtuelle 1 ne partage pas de commutateur virtuel ou de carte de
rseau physique avec les machines virtuelles de l'hte ; par consquent, les
autres machines virtuelles ne peuvent pas acheminer de paquets de et vers le
rseau de la machine virtuelle 1. Cette restriction vite les intrusions, qui
ncessitent l'envoi de trafic rseau la victime. Plus important encore : un pirate
ne peut pas exploiter la vulnrabilit naturelle du protocole FTP pour accder
aux autres machines virtuelles de l'hte.
Machines virtuelles
internes
Les machines virtuelles 2 5 sont rserves une utilisation interne. Ces

machines virtuelles traitent et stockent les donnes confidentielles des
entreprises (dossiers mdicaux, jugements ou enqutes sur la fraude, par
exemple). Les administrateurs systmes doivent donc leur associer un niveau
maximal de protection.
Elles se connectent au rseau interne 2 via leur propre commutateur virtuel et
leur propre carte rseau. Le rseau interne 2 est rserv une utilisation interne
par le personnel appropri (responsables de dossiers d'indemnisation ou
juristes internes, par exemple).
Les machines virtuelles 2 5 peuvent communiquer entre elles via le
commutateur virtuel ; elles peuvent aussi communiquer avec les machines
virtuelles du rseau interne 2 via la carte rseau physique. En revanche, elles
ne peuvent pas communiquer avec des machines externes. Comme pour le
serveur FTP, ces machines virtuelles ne peuvent pas acheminer des paquets
vers ou les recevoir depuis les rseaux des autres machines virtuelles. De la
mme faon, les autres machines virtuelles de l'hte ne peuvent pas acheminer
des paquets vers ou les recevoir depuis les machines virtuelles 2 5.
DMZ
Les machines virtuelles 6 8 sont configures en tant que zone dmilitarise

(DMZ) ; le groupes marketing les utilise pour publier le site Web externe de
l'entreprise.
Ce groupes de machines virtuelles est associ au rseau externe 2 et au rseau
interne 1. L'entreprise utilise le rseau externe 2 pour les serveurs Web qui
hbergent le site Web de l'entreprise et d'autres outils Web destins des
utilisateurs externes. Le rseau interne 1 est utilis par le service marketing
pour publier le contenu du site Web de l'entreprise, pour effectuer des
tlchargements et pour grer des services tels que des forums utilisateur.
Puisque ces rseaux sont spars du rseau externe 1 et du rseau interne 2, et
que les machines virtuelles n'ont pas de point de contact partag
(commutateurs ou adaptateurs), il n'y a aucun risque d'attaque de ou vers le
serveur FTP ou le groupes de machines virtuelles internes.
Grce l'isolation des machines virtuelles, la bonne configuration des commutateurs virtuels et la sparation
des rseaux, l'administrateur systme peut inclure les trois zones de machines virtuelles sur le mme hte ESXi
et tre rassur quant l'absence de violations de donnes ou de ressources.
VMware, Inc.
153
L'entreprise met en oeuvre l'isolation au sein des groupes de machines virtuelles via l'utilisation de plusieurs
rseaux internes et externes, et via la sparation des commutateurs virtuels et des adaptateurs rseau physiques
de chaque groupes.
Aucun des commutateurs virtuels ne fait le lien entre les diffrentes zones de machines virtuelles ;
l'administrateur systme peut donc liminer tout risque de fuite de paquets d'une zone l'autre. Au niveau
de sa conception mme, un commutateur virtuel ne peut pas transmettre directement des paquets vers un
autre commutateur virtuel Pour acheminer des paquets d'un commutateur virtuel vers un autre, les conditions
suivantes doivent tre runies :
n
Les commutateurs virtuels doivent tre connects au mme rseau local physique.
Les commutateurs virtuels doivent se connecter une machine virtuelle commune, qui peut tre utilise
pour la transmission de paquets.
Or, aucune de ces situations ne se vrifie dans l'exemple de configuration. Si les administrateurs systme
souhaitent vrifier l'absence de chemin commun de commutateur virtuel, ils peuvent rechercher les ventuels
points de contact partags via l'examen de la disposition des commutateurs rseau dans vSphere Client.
Pour protger les ressources des machines virtuelles, l'administrateur systme diminue le risque d'attaque DoS
et DDoS en configurant une rservation de ressources, ainsi qu'une limite applicable chaque machine
virtuelle. Il renforce la protection de l'hte ESXi et des machines virtuelles en installant des pare-feu aux
extrmits de la zone dmilitarise (DMZ), en vrifiant que l'hte est protg par un pare-feu physique et en
configurant les ressources de stockage rseau de telle sorte qu'elles bnficient toutes de leur propre
Ressources de scurit et informations

Pour obtenir des informations complmentaires sur la scurit, consultez le site Web de VMware.
Tableau 11-1 rpertorie les rubriques lies la scurit et indique l'emplacement des informations
complmentaires correspondantes.
Tableau 11-1. Ressources de scurit VMware disponibles sur le Web
154
Rubrique
Ressources
Politique de scurit VMware, alertes de scurit

actualises, tlchargements de scurit et
discussions sur des thmes lis la scurit
http://www.vmware.com/security/
Politique de l'entreprise en matire de rponse

scuritaire
http://www.vmware.com/support/policies/security_response.html
VMware s'engage vous aider maintenir un environnement scuris.
Dans ce cadre, les problmes de scurit sont corrigs rapidement. La
politique VMware en matire de rponse scuritaire fait tat de notre
engagement li la rsolution d'ventuelles vulnrabilits de nos
produits.
Politique de support logiciel tiers
http://www.vmware.com/support/policies/
VMware prend en charge un grand nombre de systmes de stockage et
d'agents logiciels (tels que les agents de sauvegarde ou les agents de
gestion systme). Vous trouverez la liste des agents, outils et autres
logiciels ESXi dans la
rubriquehttp://www.vmware.com/vmtn/resources/ des guides de
compatibilit ESXi.
Il existe sur le march un nombre de produits et de configurations tel
quel VMware ne peut pas tous les tester. Si un produit ou une
configuration spcifique ne figure pas dans l'un des guides de
compatibilit, contactez le Support technique, qui pourra vous aider
rsoudre les problmes rencontrs ; en revanche, il ne pourra pas vous
garantir que ce produit ou cette configuration peut tre utilis. Vous
devez toujours valuer les risques de scurit lis aux produits ou aux
configurations non pris en charge.
Certification des produits VMware
http://www.vmware.com/security/certifications/
VMware, Inc.
Tableau 11-1. Ressources de scurit VMware disponibles sur le Web (suite)

Rubrique
Ressources
Information gnrale sur la virtualisation et la

scurit
Centre virtuel de ressources techniques de scurit VMware
Standards de scurit et de conformit, ainsi que

solutions partenaires et contenu dtaill sur la
virtualisation et la conformit
http://www.vmware.com/go/compliance/
Informations sur la technologie de protection de

machines virtuelles VMsafe, incluant une liste de
solutions partenaires
http://www.vmware.com/go/vmsafe/
VMware, Inc.
http://www.vmware.com/go/security/
155
156
VMware, Inc.
Scurisation d'une configuration ESXi
12
Vous pouvez prendre des mesures pour promouvoir un environnement scuris pour vos htes ESXi, vos
machines virtuelles et vos SAN iSCSI. Prenez en compte la planification de la configuration rseau du point
de vue de la scurit et les mesures que vous pouvez prendre pour protger les composants de votre
configuration des attaques.
n
Scurisation du rseau avec des pare-feu , page 157
Scurisation des machines virtuelles avec des VLAN , page 164
Scurisation des ports de commutateurs virtuels , page 168
Scurit du protocole Internet , page 170
Scurisation du stockage iSCSI , page 173
Scurisation du rseau avec des pare-feu

Les administrateurs de scurit utilisent des pare-feu pour protger le rseau ou les composants slectionns
dans le rseau des intrusions.
Les pare-feu contrlent l'accs aux priphriques dans leur primtre en fermant toutes les voies de
communication, except pour celles que l'administrateur dsigne explicitement ou implicitement comme
autorises. Les voies, ou ports, que les administrateurs ouvrent dans le pare-feu autorisent le trafic entre les
priphriques sur les diffrents cts du pare-feu.
ESXi ne comprend pas de pare-feu car il excute un ensemble limit de services bien connus et empche l'ajout
d'autres services. Avec de telles restrictions, les facteurs ncessitant un pare-feu sont rduits de manire
importante. Aucun pare-feu n'est intgr dans ESXi. Vous devez dployer un ensemble de technologies de
scurit adaptes vos besoins. Par exemple, vous pouvez dcider d'installer un pare-feu pour filtrer le trafic
entrant et sortant sur le segment de rseau sur lequel vous avez install ESXi.
Dans un environnement de machines virtuelles, vous pouvez planifier la disposition des pare-feu entre les
composants.
n
Les machines virtuelles telles que les htes vCenter Server et les htes ESXi.
Une machine virtuelle et une autre (par exemple, entre une machine virtuelle agissant en tant que serveur
Web externe et une machine virtuelle connecte votre rseau interne de socit).
Une machine physique et une machine virtuelle, notamment lorsque vous placez un pare-feu entre un
adapteur rseau physique et une machine virtuelle.
VMware, Inc.
157
La manire dont vous utilisez des pare-feu dans une configuration ESXi dpend de la manire dont vous
planifiez l'utilisation du rseau et du niveau de scurit dont certains composants ont besoin. Par exemple, si
vous crez un rseau virtuel o chaque machine virtuelle est ddie l'excution d'une suite de tests de
rfrence diffrents pour le mme service, le risque d'accs non autoris d'une machine virtuelle une autre
est minime. Par consquent, une configuration o des pare-feu sont prsents entre les machines virtuelles n'est
pas ncessaire. Cependant, pour empcher l'interruption d'un test excut sur un hte externe, vous devez
dfinir la configuration afin qu'un pare-feu soit prsent au point d'entre du rseau virtuel pour protger tout
l'ensemble de machines virtuelles.
Pare-feux pour configurations avec vCenter Server

Si vous accdez aux htes ESXi via vCenter Server, vous protgez gnralement vCenter Server avec un parefeu. Ce pare-feu fournit une protection de base votre rseau.
Un pare-feu peut se trouver entre les clients et vCenter Server. vCenter Server et les clients peuvent se trouver
galement derrire un pare-feu, en fonction de votre dploiement. Le point principal est de s'assurer qu'un
pare-feu soit prsent sur ce que vous considrez tre un point d'entre pour le systme.
Si vous utilisez vCenter Server, vous pouvez installer des pare-feu n'importe quel emplacement prsent dans
Figure 12-1. En fonction de votre configuration, vous pouvez ne pas avoir besoin de tous les pare-feu de
l'illustration, ou vous pouvez avoir besoin de pare-feu d'autres emplacements. Par ailleurs, votre
configuration peut comprendre des modules facultatifs, tels que VMware vCenter Update Manager, non
reprsents. Reportez-vous la documentation pour plus d'informations sur les configurations de pare-feu
spcifiques aux produits tels que Update Manager.
Pour obtenir la liste complte des ports TCP et UDP, y compris ceux pour VMware vMotion et Tolrance
aux pannes VMware, voir Ports TCP et UDP pour l'accs de gestion , page 163.
158
VMware, Inc.
Chapitre 12 Scurisation d'une configuration ESXi
Figure 12-1. Exemple de configuration rseau vSphere et flux de trafic

22
427
443
902
902 (UDP)
903
2050 - 2250
5989
8042 - 8045
SSH
SLPv2
HTTPS
xinetd/vmware-authd
mise niveau de statut ESX/ESXi
xinetd/vmware-authd-mks
HA
transactions CIM
HA
rseau tiers
outil de gestion
vSphere
Web Access
vSphere
Client
Port 443
pare-feu
vCenter Server
Ports 427, 443,

902, 903
Ports 22, 427,

443, 902,
903
Ports 443,
902, 5989
Port 443
pare-feu
902
UDP
902
UDP
Ports 443, 902,

2050-2250,
et 8042-8045
pare-feu
ESXi
ESX
stockage
Les rseaux configurs avec vCenter Server peuvent recevoir des communications via vSphere Client ou des
clients de gestion rseau tiers utilisant SDK pour communiquer avec l'hte. En fonctionnement normal, vCenter
Server coute les donnes de ses htes grs et de ses clients sur les ports indiqus. vCenter Server suppose
galement que ses htes grs coutent les donnes de vCenter Server sur les ports indiqus. Si un pare-feu
est prsent entre l'un de ces lments, vous devez vous assurer que le pare-feu a des ports ouverts pour prendre
en charge le transfert des donnes.
Vous pouvez galement inclure des pare-feu un grand nombre d'autres points d'accs du rseau, en fonction
de la manire dont vous envisagez d'utiliser le rseau et du niveau de scurit ncessaire aux diffrents
priphriques. Slectionnez les emplacements de vos pare-feu en fonction des risques de scurit que vous
avez identifis pour votre configuration rseau. Vous trouverez ci-aprs une liste des emplacements de parefeu commune aux implmentations ESXi. De nombreux emplacements de la liste et prsents dans Figure 12-1
sont facultatifs.
n
Entre vSphere Client ou un client de gestion rseau tiers et vCenter Server.
Si vos utilisateurs accdent aux machines virtuelles via vSphere Client, entre vSphere Client et l'hte ESXi.
Cette connexion vient en plus de la connexion entre vSphere Client et vCenter Server et elle ncessite un
port diffrent.
Entre vCenter Server et les htes ESXi.
Entre les htes ESXi de votre rseau. Bien que le trafic entre les htes soit gnralement considr comme
scuris, vous pouvez ajouter des pare-feu entre eux si vous vous inquitez sur les dfaillances de scurit
de machine machine.
VMware, Inc.
159
Si vous ajoutez des pare-feu entre les htes ESXi et envisagez de migrer les machines virtuelles entre les
serveurs, faites un clonage ou utilisez vMotion. Vous devez galement ouvrir des ports dans les pare-feu
qui divisent l'hte source des htes cibles afin que la source et les cibles puissent communiquer.
Entre les htes ESXi et le stockage rseau tel que le stockage NFS et iSCSI. Ces ports ne sont pas spcifiques
VMware et vous pouvez les configurer en fonction des spcifications de votre rseau.
Pare-feux pour configurations sans vCenter Server

Si vous connectez des clients directement votre rseau ESXi au lieu d'utiliser vCenter Server, la configuration
de votre pare-feu est assez simple.
Vous pouvez installer des pare-feu n'importe quel emplacement indiqu dans Figure 12-2.
REMARQUE En fonction de votre configuration, vous pouvez ne pas avoir besoin de tous les pare-feu de
l'illustration, ou vous pouvez avoir besoin de pare-feu des emplacements non reprsents.
Figure 12-2. Configuration du pare-feu pour les rseaux ESXi grs directement par un client
rseau tiers
outil de gestion
vSphere Client
Port 902
Port 903
Port 443
pare-feu
Ports 902, 2050-2250,

8000, 8042-8045,
8100, 8200
pare-feu
ESX
ESXi
stockage
Les rseaux configurs sans vCenter Server reoivent des communications par l'intermdiaire des mmes types
de clients que si vCenter Server tait prsent : vSphere Client ou les clients de gestion de rseau tiers. Les
besoins du pare-feu sont en majeure partie identiques, mais il y a plusieurs diffrences cls.
160
Tout comme pour les configurations comprenant vCenter Server, assurez-vous qu'un pare-feu est prsent
pour protger votre couche ESXi ou, en fonction de votre configuration, vos clients et votre couche ESXi.
Ce pare-feu fournit une protection de base votre rseau. Les ports du pare-feu que vous utilisez sont
identiques ceux que vous utiliseriez si vCenter Server tait prsent.
La licence pour ce type de configuration fait partie du module ESXi que vous installez sur chacun des
htes. Comme la licence rside sur le serveur, un serveur de licences distinct n'est pas ncessaire. Un parefeu entre le serveur de licences et le rseau ESXi n'est donc pas ncessaire.
VMware, Inc.
Connexion vCenter Server via un pare-feu

Le port que vCenter Server utilise pour couter le transfert de donnes de son client est le port 443. Si un parefeu se trouve entre vCenter Server et ses clients, vous devez configurer une connexion au travers de laquelle
vCenter Server peut recevoir des donnes partir des clients.
Pour permettre vCenter Server de recevoir des donnes de vSphere Client, ouvrez le port 443 dans le parefeu pour permettre le transfert de donnes de vSphere Client vers vCenter Server. Contactez l'administrateur
systme du pare-feu pour plus d'informations sur la configuration des ports dans un pare-feu.
Si vous utilisez vSphere Client et que vous ne souhaitiez pas utiliser le port 443 comme port pour la
communication client vCenter Server, vous pouvez passer sur un autre port en modifiant les paramtres
vCenter Server dans vSphere Client. Pour en savoir plus sur la manire de modifier ces paramtres, voir le
Guide d'administration du centre de donnes VMware vSphere.
Connexion la console de la machine virtuelle via un pare-feu

Lorsque vous connectez votre client des htes ESXi via vCenter Server ou utilisez une connexion directe
l'hte, certains ports sont requis pour la communication utilisateur et administrateur avec les consoles des
machines virtuelles. Ces ports prennent en charge diffrentes fonctions client, communiquent avec diffrentes
couches sur ESXi et utilisent diffrents protocoles d'authentification.
Port 902
Il s'agit du port que vCenter Server considre comme disponible pour la

rception des donnes provenant de l'hte ESXi. vSphere Client utilise ce port
pour fournir une connexion pour les activits de la souris, du clavier, de l'cran
(MKS) du systme d'exploitation invit sur les machines virtuelles. C'est par ce
port que les utilisateurs interagissent avec les systmes d'exploitation et les
applications invits de la machine virtuelle. Le port 902 est le port que vSphere
Client considre comme disponible pour l'interaction avec les machines
virtuelles.
Le port 902 connecte vCenter Server l'hte via le dmon agr VMware
(vmware-authd). Ce dmon multiplexe les donnes du port 902 au destinataire
appropri pour le traitement. VMware ne prend pas en charge la configuration
d'un port diffrent pour cette connexion.
Port 443
vSphere Client et SDK utilisent ce port pour envoyer des donnes aux htes
grs par vCenter Server. Par consquent, vSphere Client et SDK, s'ils sont
connects directement un hte ESXi, utilisent ce port pour prendre en charge
toutes les fonctions de gestion relatives au serveur et ses machines virtuelles.
Le port 443 est le port que les clients considrent comme disponible lors de
l'envoi de donnes l'hte ESXi. VMware ne prend pas en charge la
configuration d'un port diffrent pour ces connexions.
Le port 443 connecte les clients l'hte ESXi via le SDK. vmware-hostd
multiplexe les donnes du port 443 au destinataire appropri pour le
traitement.
Figure 12-3 prsente les relations entre les fonctions de vSphere Client, les ports et les processus ESXi.
VMware, Inc.
161
Figure 12-3. Utilisation des ports pour les communications client avec ESXi
vSphere Client
machine virtuelle
fonctions de gestion
machine virtuelle
console
Port 443
pare-feu
Port 903
ESXi
vmware-hostd
vmware-authd
Si un pare-feu se trouve entre votre systme vCenter Server et l'hte gr par vCenter Server, ouvrez les ports
443 et 903 dans le pare-feu pour permettre le transfert des donnes aux htes ESXi partir de vCenter Server
et aux htes ESXi partir de vSphere Client.
Pour plus d'informations sur la configuration des ports, consultez l'administrateur systme du pare-feu.
Connexion des htes ESXi via les pare-feu

Si un pare-feu se trouve entre deux htes ESXi et que vous souhaitiez autoriser des transactions entre les htes
ou utiliser vCenter Server pour effectuer des activits source ou cible, telles que du trafic VMware High
Availability (HA), une migration, un clonage ou vMotion, vous devez configurer une connexion par laquelle
les htes grs peuvent recevoir des donnes.
Pour configurer une connexion pour recevoir des donnes, ouvrez des ports dans les plages suivantes :
n
902 (migration serveur serveur et trafic d'approvisionnement)
20502250 (pour le trafic HA)
8000 (pour vMotion)
8042-8045 (pour le trafic HA)
Consultez l'administrateur systme du pare-feu pour plus d'informations sur la configuration des ports.
Configuration des ports pare-feu pour les services pris en charge et les agents
de gestion
Vous devez configurer les pare-feu dans votre environnement pour accepter les services pris en charge les plus
courants.
Bien que l'ESXi n'ait pas de pare-feu, vous devez configurer d'autres pare-feu dans votre environnement pour
accepter les services
Les services et agents suivants sont gnralement prsents dans un environnement vSphere :
162
client NFS (service non scuris)
Client NTP
client logiciel iSCSI
VMware, Inc.
serveur HTTP CIM (service non scuris)
serveur HTTPS CIM
client Syslog
REMARQUE La liste peut voluer. Par consquent, il se peut que certains services et agents ne soient pas
rpertoris dans la liste. Vous pouvez tre invit effectuer des activits supplmentaires pour configurer et
activer ces services.
Ports TCP et UDP pour l'accs de gestion

vCenter Server, les htes ESXi et d'autres composants rseau sont accessibles l'aide de ports TCP et UDP
prdtermins. Si vous grez des composants rseau partir de l'extrieur d'un pare-feu, vous pouvez tre
invit reconfigurer le pare-feu pour autoriser l'accs sur les ports appropris.
Tableau 12-1 rpertorie les ports TCP et UDP et l'objectif et le type de chaque port.
Tableau 12-1. Ports TCP et UDP
Port
Objectif
Type de trafic
80
Accs HTTP
Port Web TCP non scuris par dfaut gnralement utilis en association avec
le port 443 comme serveur frontal pour accder aux rseaux ESXi partir du Web.
Le port 80 redirige le trafic vers une page de destination HTTPS (port 443).
Gestion WS
TCP entrant
123
Client NTP
UDP sortant
427
Le client CIM utilise le Service Location Protocol, version 2 (SLPv2) pour

rechercher des serveurs CIM.
UDP entrant et
sortant
443
Accs HTTPS
Accs de vCenter Server aux htes ESXi
Port Web SSL par dfaut
Accs vSphere Client vCenter Server
Accs de vSphere Client aux htes ESXi
Gestion WS
Accs vSphere Client vSphere Update Manager
Accs vSphere Converter vCenter Server
TCP entrant
902
Accs de l'hte aux autres htes pour la migration et l'approvisionnement

Trafic d'authentification pour ESXi et trafic de la console distante (xinetd/
vmware-authd)
Accs vSphere Client aux consoles des machines virtuelles
Connexion (pulsation) de mise niveau d'tat (UDP) partir de ESXi vers vCenter
Server
TCP entrant, UDP

sortant
903
Trafic de la console distante gnr par l'accs utilisateur aux machines virtuelles
sur un hte spcifique ESXi.
TCP entrant
2049
Transactions provenant des priphriques de stockage NFS

Ce port est utilis sur l'interface VMkernel.
UDP entrant et
sortant
20502250
Trafic entre les htes ESXi pour VMware High Availability (HA) et EMC
Autostart Manager
TCP sortant, UDP

entrant et sortant
3260
Transactions vers les priphriques de stockage iSCSI

Ce port est utilis sur l'interface VMkernel.
TCP sortant
5900-5964
Protocole RFB qui est utilis par les outils de gestion tels que VNC
UDP entrant et
sortant
5989
Transactions XML CIM sur HTTPS
UDP entrant et
sortant
VMware, Inc.
163
Tableau 12-1. Ports TCP et UDP (suite)

Port
Objectif
Type de trafic
8000
Requtes de vMotion
UDP entrant et
sortant
80428045
Trafic entre les htes ESXi pour HA et EMC Autostart Manager
TCP sortant, UDP

entrant et sortant
8100, 8200
Trafic entre les htes ESXi pour Tolrance aux pannes VMware
TCP sortant, UDP

entrant et sortant
En plus des ports TCP et UDP, vous pouvez configurer d'autres ports en fonction de vos besoins. Vous pouvez
utiliser vSphere Client afin d'ouvrir les ports pour les services pris en charge comme NFS.
Scurisation des machines virtuelles avec des VLAN

Le rseau peut tre l'une des parties les plus vulnrables d'un systme. Votre rseau de machines virtuelles
ncessite autant de protection que votre rseau physique. Vous pouvez augmenter la scurit de votre rseau
de machines virtuelles de diffrentes manires.
Si votre rseau de machines virtuelles est connect un rseau physique, il peut tre soumis des dfaillances
du mme degr qu'un rseau constitu de machines physiques. Mme si le rseau de machines virtuelles est
isol de tout rseau physique, les machines virtuelles du rseau peuvent tre soumises des attaques d'autres
machines virtuelles du rseau. Les contraintes de scurisation des machines virtuelles sont souvent identiques
celles des machines physiques.
Les machines virtuelles sont isoles les unes des autres. Une machine virtuelle ne peut pas lire ou crire sur la
mmoire d'une autre machine virtuelle, accder ses donnes, utiliser ses applications, etc. Cependant, dans
le rseau, toute machine virtuelle ou groupes de machines virtuelles peut toujours tre la cible d'un accs non
autoris partir d'autres machines virtuelles et peut ncessiter une protection supplmentaire par des moyens
externes.
Vous pouvez ajouter ce niveau de scurit de diffrentes manires.
n
Ajout d'une protection par pare-feu votre rseau virtuel en installant et en configurant des pare-feu
hbergs sur hte sur certaines ou la totalit de ses machines virtuelles.
Pour une plus grand efficacit, vous pouvez configurer des rseaux Ethernet privs de machines virtuelles
ou des rseaux virtuels. Avec les rseaux virtuels, vous installez un pare-feu hberg sur hte sur une
machine virtuelle la tte du rseau virtuel. Cela sert de tampon de protection entre l'adaptateur rseau
physique et les machines virtuelles restantes du rseau virtuel.
L'installation d'un pare-feu hberg sur hte sur les machines virtuelles la tte des rseaux virtuels est
une bonne pratique de scurit. Cependant, comme les pare-feu hbergs sur hte peuvent ralentir les
performances, quilibrez vos besoins en scurit par rapport aux performances avant de dcider d'installer
des pare-feu hbergs sur hte sur des machines virtuelles ailleurs dans le rseau virtuel.
164
Conservation de diffrentes zones de machines virtuelles au sein d'un hte sur diffrents segments du
rseau. Si vous isolez des zones de machines virtuelles sur leurs propres segments de rseau, vous rduisez
les risques de fuite de donnes d'une zone de machines virtuelles la suivante. La segmentation empche
diverses menaces, y compris l'usurpation d'adresse ARP (Address Resolution Protocol), dans laquelle un
attaquant manipule la table ARP pour remapper les adresses MAC et IP, obtenant ainsi accs au trafic
rseau de et vers un hte. Les attaquants utilisent l'usurpation ARP pour gnrer des dnis de service,
pirater le systme cible et interrompre le rseau virtuel.
VMware, Inc.
La planification soigne de la segmentation rduit les chances de transmissions de paquets entre les zones
de machines virtuelles, ce qui empche les attaques de reniflement qui ncessitent l'envoi de trafic rseau
la victime. Par consquent, un attaquant ne peut pas utiliser un service non scuris sur une zone de
machines virtuelles pour accder aux autres zones de machines virtuelles de l'hte. Vous pouvez
implmenter la segmentation l'aide de l'une des deux approches suivantes, chacune d'entre elles ayant
des avantages diffrents.
n
Utilisez des adaptateurs rseau physiques spars pour des zones de machines virtuelles afin de
garantir que les zones sont isoles. Conserver des adaptateurs rseau physiques spars pour des
zones de machines virtuelles est probablement la mthode la plus scurise et moins susceptible de
subir une configuration incorrecte aprs la cration des segments initiaux.
Configurez des rseaux locaux virtuels (VLAN) pour protger votre rseau. Comme les VLAN
disposent de presque tous les avantages de scurit inhrents l'implmentation de rseaux spars
physiquement sans surcharge matrielle, ils offrent une solution viable pouvant vous conomiser les
cots de dploiement et d'entretien de priphriques, cblages, etc. supplmentaires.
Les VLAN sont un schma de rseau standard IEEE avec des mthodes de balisage spcifiques qui permettent
le routage des paquets uniquement vers les ports faisant partie du VLAN. S'ils sont configurs correctement,
les VLAN fournissent un moyen fiable pour protger un ensemble de machines virtuelles des intrusions
accidentelles et nuisibles.
Les VLAN vous permettent de segmenter un rseau physique afin que deux machines du rseau ne puissent
pas transmettre et recevoir des paquets moins de faire partie du mme VLAN. Par exemple, les
enregistrements de comptabilit et les transactions font partie des informations internes les plus sensibles d'une
entreprise. Dans une entreprise dont les employs des ventes, des expditions et de la comptabilit utilisent
tous des machines virtuelles sur le mme rseau physique, vous pouvez protger les machines virtuelles du
service de comptabilit en configurant des VLAN comme indiqu dans Figure 12-4.
Figure 12-4. Exemple de disposition de VLAN
Hte 1
vSwitch
Routeur
Hte 2
VM0
VM1
VM2
VM3
VM4
VM5
Diffusion
Domaine A
VM8
VLAN B
VLAN A
vSwitch
vSwitch
Commutateur 1
VM6
Hte 3
Diffusion
Domaine B
vSwitch
VM9
Commutateur 2
VM7
VM10
VM11
Hte 4
vSwitch
VM12
VLAN
B
VMware, Inc.
VM13
VLAN
A
VM14
VLAN
B
Plusieurs VLAN
sur le mme
commutateur virtuel
Diffusion
Domaines A et B
165
Dans cette configuration, tous les employs du service de comptabilit utilisent des machines virtuelles dans
un VLAN A et les employs des ventes utilisent des machines virtuelles dans VLAN B.
Le routeur transmet les paquets contenant les donnes de comptabilit aux commutateurs. Ces paquets sont
baliss pour une distribution sur le VLAN A uniquement. Par consquent, les donnes sont confines une
diffusion dans le domaine A et ne peuvent pas tre achemines pour une diffusion dans le domaine B moins
que le routeur ne soit configur pour le faire.
Cette configuration de VLAN empche les forces de vente d'intercepter les paquets destins au service de
comptabilit. Elle empche galement le service de comptabilit de recevoir des paquets destins au groupes
de ventes. Les machines virtuelles prises en charge par un seul commutateur virtuel peuvent se trouver sur
des VLAN diffrents.
Considrations relatives la scurit pour les VLAN

La manire dont vous configurez les VLAN pour scuriser des parties du rseau dpend de facteurs tels que
le systme d'exploitation invit et la faon dont votre quipement rseau est configur.
ESXi dispose d'une implmentation VLAN complte conforme IEEE 802.1q. VMware ne peut pas faire de
recommandations spcifiques sur la manire de configurer des VLAN, mais il existe des facteurs prendre en
compte lors de l'utilisation d'un dploiement VLAN dans le cadre de votre stratgie d'application de la scurit.
VLAN faisant partie d'une plus vaste implmentation de scurit

Les VLAN sont des moyens efficaces de contrler o et dans quelle mesure les donnes sont transmises sur le
rseau. Si un attaquant parvient accder au rseau, il est susceptible d'tre restreint au VLAN servant de
point d'entre, rduisant le risque encouru par le rseau dans sa globalit.
Les VLAN fournissent une protection uniquement par le fait qu'ils contrlent la manire dont les donnes sont
achemines aprs avoir travers les commutateurs et tre entres dans le rseau. Vous pouvez utiliser des
VLAN pour scuriser la couche 2 de votre architecture rseau (couche de liaison de donnes). Cependant, la
configuration des VLAN ne protge pas la couche physique de votre modle rseau ou tout autre couche.
Mme si vous crez des VLAN, fournissez une protection supplmentaire en scurisant votre matriel
(routeurs, hub, etc.) et en chiffrant les transmissions de donnes.
Les VLAN ne remplacent pas les pare-feu dans vos configurations de machines virtuelles. La plupart des
configurations rseau comprenant des VLAN incluent galement des pare-feu. Si vous incluez des VLAN dans
votre rseau virtuel, assurez-vous que les pare-feu que vous installez prennent en charge les VLAN.
Configuration correcte des VLAN

Une configuration incorrecte de l'quipement et des dfauts du matriel rseau, des microprogrammes ou des
logiciels risquent de crer un VLAN susceptible de subir des attaques VLAN Hopping .
Le VLAN hopping survient lorsqu'un attaquant avec accs autoris un VLAN cre des paquets qui simulent
des commutateurs physiques en transmettant des paquets un autre VLAN auquel l'attaquant n'est pas
autoris accder. La vulnrabilit ce type d'attaque provient gnralement d'un commutateur mal configur
pour un fonctionnement en VLAN natif, dans lequel le commutateur peut recevoir et transmettre des paquets
non marqus.
Pour empcher le VLAN hopping, conservez votre quipement niveau en installant les mises niveau
matrielles et des microprogrammes au fur et mesure de leur mise disposition. Par consquent, respectez
les recommandations des meilleures pratiques de votre fournisseur lorsque vous configurez votre quipement.
Les commutateurs virtuels VWware ne prennent pas en charge le concept de VLAN natif. Toutes les donnes
transmises ces commutateurs sont marques de manire adquate. Cependant, comme les autres
commutateurs du rseau peuvent tre configurs pour un fonctionnement en VLAN natif, les VLAN configurs
avec des commutateurs virtuels peuvent toujours tre vulnrables au VLAN hopping.
166
VMware, Inc.
Si vous envisagez d'utiliser des VLAN pour renforcer la scurit du rseau, dsactivez la fonction de VLAN
natif pour tous les commutateurs moins que vous n'ayez une raison imprative pour faire fonctionner les
VLAN en mode natif. Si vous devez utiliser un VLAN natif, reportez-vous aux consignes de configuration du
fournisseur pour cette fonction.
Protection des commutateurs virtuels et VLAN

Les commutateurs virtuels VMware assurent une protection contre certaines menaces la scurit du VLAN.
En raison de la manire dont certaines machines virtuelles sont conues, ils protgent les VLAN contre un
grand nombre d'attaques, dont un grand nombre implique le VLAN hopping.
Disposer de cette protection ne garantit pas que la configuration de vos machines virtuelles n'est pas vulnrable
d'autres types d'attaques. Par exemple, les commutateurs virtuels ne protgent pas le rseau physique contre
ces attaques : ils protgent uniquement le rseau virtuel.
Les commutateurs virtuels et les VLAN peuvent protger des types d'attaques suivants.
Saturation MAC
Saturation d'un commutateur avec des paquets contenant des adresses MAC
balises comme provenant de sources diffrentes. De nombreux commutateurs
utilisent une table de mmoire adressable par contenu (CAM) pour dtecter et
stocker l'adresse source de chaque paquet. Lorsque la table est pleine, le
commutateur peut passer dans un tat totalement ouvert dans lequel chaque
paquet entrant est diffus sur tous les ports, permettant l'attaquant de voir
tout le trafic du commutateur. Cet tat peut provoquer une fuite des paquets
sur les VLAN.
Bien que les commutateurs virtuels de VMware stockent la table d'adresses
MAC, ils n'obtiennent pas les adresses MAC du trafic observable et ne sont pas
vulnrables ce type d'attaque.
Attaques 802.1q et de
balisage ISL
Force un commutateur rediriger des cadres d'un VLAN un autre en amenant

le commutateur agir comme un tronon et diffuser le trafic aux autres
VLAN.
Les commutateurs virtuels de VMware n'effectuent pas le trononnage
dynamique requis pour ce type d'attaque et ne sont pas par consquent
vulnrables.
Attaques double
encapsulation
Survient lorsqu'un attaquant cre un paquet double encapsulation dans

lequel l'identifiant de VLAN dans la balise interne est diffrent de l'identifiant
de VLAN dans la balise externe. Pour des raisons de compatibilit descendante,
les VLAN natifs tent la balise externe des paquets transmis sauf s'ils sont
configurs pour ne pas le faire. Lorsque le commutateur d'un VLAN natif te
la balise externe, seule la balise interne reste et cette balise interne achemine le
paquet un VLAN diffrent de celui identifi par la balise externe maintenant
manquante.
Les commutateurs virtuels de VMware rejettent les cadres double
encapsulation qu'une machine virtuelle tente d'envoyer sur un port configur
pour un VLAN spcifique. Par consquent, ils ne sont pas vulnrables ce type
d'attaque.
Attaques de force brute

multidiffusion
Implique l'envoi d'un grand nombre de cadres multidiffusion un VLAN

connu presque simultanment pour surcharger le commutateur afin qu'il
autorise par erreur la diffusion de certains cadres sur d'autres VLAN.
Les commutateurs virtuels de VMware ne permettent pas aux cadres de quitter
leur domaine de diffusion correspondant (VLAN) et ne sont pas vulnrables
ce type d'attaque
VMware, Inc.
167
Attaques l'arbre
recouvrant
Spanning-Tree Protocol (STP) cible, qui est utilis pour contrler le pontage
entre des parties du LAN. L'attaquant envoie des paquets Bridge Protocol Data
Unit (BPDU) qui tentent de modifier la topologie du rseau, en se dfinissant
comme le pont racine. En tant que pont racine, l'attaquant peut renifler le
contenu des cadres transmis.
Les commutateurs virtuels de VMware ne prennent pas en charge STP et ne
sont pas vulnrables ce type d'attaque.
Attaques trame
alatoire
Implique l'envoi d'un grand nombre de paquets dans lesquels les adresses de
source et de destination restent identiques, mais dans lesquels les zones sont
modifies alatoirement en longueur, type ou contenu. L'objectif de cette
attaque est de forcer les paquets tre rachemins par erreur vers un VLAN
diffrent.
Les commutateurs virtuels de VMware ne sont pas vulnrables ce type
d'attaque.
Comme de nouvelles menaces de scurit continuent se dvelopper, ne considrez pas cela comme une liste
exhaustive des attaques. Vrifiez rgulirement les ressources de scurit de VMware sur le Web pour en savoir
plus sur la scurit, les alertes de scurit rcentes et les tactiques de scurit de VMware.
Scurisation des ports de commutateurs virtuels

Tout comme pour les adaptateurs rseau physiques, un adaptateur rseau virtuel peut envoyer des cadres qui
semblent provenir d'une machine diffrente ou emprunter l'identit d'une autre machine afin de pouvoir
recevoir des cadres rseau destins cette machine. Par consquent, tout comme les adaptateurs rseau
physiques, un adaptateur rseau virtuel peut tre configur afin de recevoir des cadres destins d'autres
machines.
Lorsque vous crez un commutateur virtuel pour votre rseau, vous ajoutez des groupes de ports pour imposer
une configuration des rgles pour les machines virtuelles et les systmes de stockage relis au commutateur.
Vous crez des ports virtuels via vSphere Client.
Dans le cadre de l'ajout d'un port ou d'un groupes de ports un commutateur virtuel, vSphere Client configure
un profil de scurit pour le port. Vous pouvez utiliser ce profil de scurit pour garantir que ESXi empche
les systmes d'exploitation invits de ses machines virtuelles d'emprunter l'identit d'autres machines sur le
rseau. Cette fonction de scurit est implmente afin que le systme d'exploitation invit responsable de
l'emprunt d'identit ne dtecte pas que l'emprunt d'identit a t empch.
Le profil de scurit dtermine le niveau de puissance avec lequel vous appliquez la protection contre l'emprunt
d'identit et les attaques d'interception sur les machines virtuelles. Pour utiliser correctement les paramtres
du profil de scurit, vous devez comprendre les bases du contrle des transmissions par les adaptateurs rseau
virtuels et la manire dont les attaques sont bloques ce niveau.
Chaque adaptateur rseau virtuel a sa propre adresse MAC qui lui est attribue lors de la cration de
l'adaptateur. Cette adresse est appele adresse MAC initiale. Bien que l'adresse MAC initiale puisse tre
reconfigure partir de l'extrieur du systme d'exploitation invit, elle ne peut pas tre modifie par le systme
d'exploitation invit. Par ailleurs, chaque adaptateur dispose d'une adresse MAC effective qui filtre le trafic
rseau entrant avec une adresse MAC de destination diffrente de l'adresse MAC effective. Le systme
d'exploitation invit est responsable de la dfinition de l'adresse MAC effective et fait gnralement
correspondre l'adresse MAC effective l'adresse MAC initiale.
Lors de l'envoi de paquets, un systme d'exploitation place gnralement l'adresse MAC effective de son propre
adaptateur rseau dans la zone de l'adresse MAC source du cadre Ethernet. Il place galement l'adresse MAC
pour l'adaptateur rseau rcepteur dans la zone d'adresse MAC de destination. L'adaptateur rcepteur accepte
les paquets uniquement lorsque l'adresse MAC de destination dans le paquet correspond sa propre adresse
MAC effective.
168
VMware, Inc.
Lors de la cration, l'adresse MAC effective de l'adaptateur rseau et l'adresse MAC initiale sont identiques.
Le systme d'exploitation de la machine virtuelle peut remplacer l'adresse MAC effective par une autre valeur
tout moment. Si un systme d'exploitation modifie l'adresse MAC effective, son adaptateur rseau reoit le
trafic rseau destin la nouvelle adresse MAC. Le systme d'exploitation peut envoyer des cadres avec une
adresse MAC source usurpe tout moment. Cela signifie qu'un systme d'exploitation peut bloquer les
attaques nuisibles sur les priphriques dans un rseau en empruntant l'identit d'un adaptateur rseau que
le rseau rcepteur autorise.
Vous pouvez utiliser des profils de scurit de commutateur virtuel sur les htes ESXi pour vous protger
contre ce type d'attaque en dfinissant trois options. Si vous modifiez un paramtre par dfaut pour un port,
vous devez modifier le profil de scurit en ditant les paramtres du commutateur virtuel dans vSphere Client.

Le paramtre pour l'option [Modifications d'adresse MAC] affecte le trafic qu'une machine virtuelle reoit.
Lorsque cette option est dfinie sur [Accepter] , ESXi accepte les demandes de modification de l'adresse MAC
effective en une adresse diffrente de l'adresse MAC initiale.
Lorsque cette option est dfinie sur [Rejeter] , ESXi n'honore pas les demandes de modification de l'adresse
MAC effective en une adresse diffrente de l'adresse MAC initiale, qui protge l'hte contre l'emprunt
d'identit MAC. Le port que l'adaptateur virtuel a utilis pour envoyer la demande est dsactiv et l'adaptateur
virtuel ne reoit plus de cadres jusqu' ce que l'adresse MAC effective soit remplace par l'adresse MAC initiale.
Le systme d'exploitation invit ne dtecte pas que le changement d'adresse MAC n'a pas t honor.
REMARQUE L'initiateur iSCSI repose sur la capacit obtenir les modifications d'adresse MAC de certains types
de stockage. Si vous utilisez iSCSI ESXi et avez un stockage iSCSI, dfinissez l'option [Modifications d'adresse
MAC] sur [Accepter] .
Dans certaines situations, vous pouvez avoir un besoin lgitime d'attribuer la mme adresse MAC plusieurs
adaptateurs, par exemple, si vous utilisez l'quilibrage de la charge rseau Microsoft en mode monodiffusion.
Lorsque l'quilibrage de la charge rseau Microsoft est utilis en mode multidiffusion standard, les adaptateurs
ne partagent pas les adresses MAC.
Les paramtres de changement des adresses MAC affectent le trafic sortant d'une machine virtuelle. Les
modifications d'adresse MAC surviennent si l'metteur est autoris les faire, mme si vSwitches ou une
machine virtuelle rceptrice ne permet pas les changements d'adresses MAC.
Le paramtre pour l'option [Transmissions forces :] affecte le trafic transmis partir d'une machine virtuelle.
Lorsque cette option est dfinie sur [Accepter] , ESXi ne compare pas les adresses MAC sources et les adresses
MAC effectives.
Pour se protger d'un emprunt d'identit MAC, vous pouvez dfinir cette option sur [Rejeter] . Si vous
effectuez cette opration, l'hte compare l'adresse MAC source tant transmise par le systme d'exploitation
avec l'adresse MAC effective pour son adaptateur pour voir si elles correspondent. Si les adresses ne
correspondent pas, ESXi rejette le paquet.
Le systme d'exploitation invit ne dtecte pas que son adaptateur de rseau virtuel ne peut pas envoyer de
paquets l'aide de l'adresse MAC usurpe. L'hte ESXi intercepte les paquets avec des adresses usurpes avant
leur livraison, et le systme d'exploitation invit peut supposer que les paquets sont rejets.
VMware, Inc.
169
Fonctionnement en mode promiscuit

Le mode promiscuit limine le filtrage de rception que l'adaptateur de rseau virtuel effectuerait afin que le
systme d'exploitation invit reoive tout le trafic observ sur le rseau. Par dfaut, l'adaptateur de rseau
virtuel ne peut pas fonctionner en mode promiscuit.
Bien que le mode promiscuit puisse tre utile pour le suivi de l'activit rseau, c'est un mode de
fonctionnement non scuris, car les adaptateurs en mode promiscuit ont accs aux paquets, mme si certains
de ces paquets sont reus uniquement par un adaptateur rseau spcifique. Cela signifie qu'un administrateur
ou un utilisateur racine dans une machine virtuelle peut potentiellement voir le trafic destin d'autres
systmes d'exploitation htes ou invits.
REMARQUE Dans certaines situations, vous pouvez avoir une raison lgitime de configurer un commutateur
virtuel pour fonctionner en mode promiscuit, par exemple, si vous excutez un logiciel de dtection des
intrusions rseau ou un renifleur de paquets.
Scurit du protocole Internet

La scurit du protocole Internet (IPsec) scurise les communications IP provenant de et arrivant sur l'hte.
Les htes ESXi supportent IPsec avec IPv6.
Lorsque vous configurez IPsec sur un hte, vous activez l'authentification et le chiffrement des paquets entrants
et sortants. Le moment et la manire de chiffrer le trafic IP dpend de la manire dont vous configurez les
associations de scurit du systme et les stratgies de scurit.
Une association de scurit dtermine comment le systme chiffre le trafic. Lorsque vous crez une association
de scurit, vous spcifiez la source et la destination, les paramtres de chiffrement, un nom pour l'association
de scurit.
Une stratgie de scurit dtermine le moment auquel le systme doit chiffrer le trafic. La stratgie de scurit
comprend les informations de source et de destination, le protocole et la direction du trafic chiffrer, le mode
(transport ou tunnel) et l'association de scurit utiliser.
Ajout d'une association de scurit

Ajoutez une association de scurit pour dfinir des paramtres de chiffrement pour le trafic IP associ.
Vous pouvez ajouter une association de scurit l'aide de vSphere CLI. Pour plus d'informations sur
l'utilisation de vSphere CLI, voir le Guide d'installation et script de l'interface de ligne de commande vSphere et le
Rfrence de l'interface de ligne de commande vSphere.
Procdure
1
Utilisez la commande vicfg-ipsec --add-sa.
Dfinissez l'adresse source l'aide de --sa-src adresse source.
Dfinissez l'adresse de destination l'aide de --sa-dst adresse destination.
Choisissez le mode, soit transport ou tunnel l'aide du mode --sa-mode .
Indiquez l'index des paramtres de scurit l'aide de --spi index des paramtres de scurit.
L'index des paramtres de scurit identifie l'association de scurit l'hte. Ce doit tre un hexadcimal
avec un prfixe 0x. Chaque association de scurit que vous crez doit disposer d'une combinaison unique
de protocole et d'index de paramtres de scurit.
170
VMware, Inc.
Choisissez l'algorithme de chiffrement l'aide de --ealgo algorithme de chiffrement.

n
3des-cbc
aes128-cbc
null ne fournit aucun chiffrement
Choisissez la cl de chiffrement l'aide de --ealgo cl de chiffrement.

Vous pouvez entrer des cls en tant que texte ASCII ou en tant qu'hexadcimal avec un prfixe 0x.
Choisissez l'algorithme d'authentification, hmac-sha1 ou hmac-sha2-256 l'aide de --ialgo

authentication algorithm.
Fournissez la cl d'authentification l'aide de --ealgo cl d'authentification.

Vous pouvez entrer des cls en tant que texte ASCII ou en tant qu'hexadcimal avec un prfixe 0x.
10
Fournissez un nom l'association de scurit l'aide de nom.
Exemple 12-1. Exemple de commande de nouvelle association de scurit

L'exemple suivant contient des sauts de ligne supplmentaires pour des raisons de lisibilit.
vicfg-ipsec --add-sa
--sa-src 3ffe:501:ffff:0::a
--sa-dst 3ffe:501:ffff:0001:0000:0000:0000:0001
--sa-mode transport
--spi 0x1000
--ealgo 3des-cbc
--ekey 0x6970763672656164796c6f676f336465736362636f757432
--ialgo hmac-sha1
--ikey 0x6970763672656164796c6f67736861316f757432
sa1
Suppression d'une association de scurit

Vous pouvez supprimer une association de scurit de l'hte ESXi.
Vous pouvez supprimer une association de scurit l'aide de vSphere CLI. Pour plus d'informations sur
l'utilisation de vSphere CLI, voir le Guide d'installation et script de l'interface de ligne de commande vSphere et le
Rfrence de l'interface de ligne de commande vSphere.
Prrequis
Assurez-vous que l'association de scurit que vous souhaitez utiliser n'est pas actuellement utilise. Si vous
essayez de supprimer une association de scurit en cours d'utilisation, l'opration de suppression choue.
Procdure
u
Utilisez la commande vicfg-ipsec --remove-sa security association name.
Liste des associations de scurit disponibles

ESXi peut fournir une liste de toutes les associations de scurit disponibles pour l'utilisation par les rgles de
scurit. Cette liste inclut les associations de scurit cres par l'utilisateur et les associations de scurit que
VMkernel a installes l'aide d'Internet Key Exchange.
Vous pouvez obtenir une liste des associations de scurit disponibles l'aide de vSphere CLI. Pour plus
d'informations sur l'utilisation de vSphere CLI, voir le Guide d'installation et script de l'interface de ligne de
commande vSphere et le Rfrence de l'interface de ligne de commande vSphere.
VMware, Inc.
171
Procdure
u
Utilisez la commande vicfg-ipsec -l.
ESXi affiche une liste de toutes les associations de scurit disponibles.
Cration d'une rgle de scurit

Crez une rgle de scurit pour dterminer le moment auquel utiliser les paramtres d'authentification et de
chiffrement dfinis dans une association de scurit.
Vous pouvez ajouter une rgle de scurit l'aide de vSphere CLI. Pour plus d'informations sur l'utilisation
de vSphere CLI, voir le Guide d'installation et script de l'interface de ligne de commande vSphere et le Rfrence de
l'interface de ligne de commande vSphere.
Prrequis
Avant de crer une rgle de scurit, ajoutez une association de scurit avec les paramtres d'authentification
et de chiffrement appropris.
Procdure
1
Utilisez la commande vicfg-ipsec --add-sp.
Dfinissez l'adresse IP source et la longueur de prfixe l'aide de --sp-src adresse source.
Dfinissez l'adresse de destination et la longueur de prfixe l'aide de --sp-dst adresse destination.
Dfinissez le port source l'aide de --src-port port.

Le port source doit tre un nombre compris entre 0 et 65 535.
Dfinissez le port de destination l'aide de --dst-port port.

Le port de destination doit tre un nombre compris entre 0 et 65 535.
Choisissez le protocole de couche suprieure l'aide de --ulproto protocole.

n
tcp
udp
icmp6
toutes
Choisissez la direction, in ou out, dans laquelle vous souhaitez surveiller le trafic l'aide de --dir
direction.
172
Dfinissez l'action prendre lorsque le trafic avec les paramtres spcifis est rencontr l'aide de --action
action.
Option
Description
aucune
Ne faites rien.
discard
Ne permettez pas l'entre ou la sortie de donnes.
ipsec
Utilisez les informations d'authentification et de chiffrement fournies dans

l'association de scurit pour dterminer si les donnes proviennent d'une
source de confiance.
Choisissez le mode, soit tunnel ou transport l'aide de --sp-mode mode.
10
Dfinissez l'association de scurit pour cette rgle de scurit utiliser l'aide de --sa-name nom
association de scurit.
11
Dfinissez le nom de la rgle de scurit l'aide de nom.
VMware, Inc.
Exemple 12-2. Exemple de commande de nouvelle rgle de scurit

L'exemple suivant contient des sauts de ligne supplmentaires pour des raisons de lisibilit.
vicfg-ipsec --add-sp
--sp-src 2001:db8:1::/64
--sp-dst 2002:db8:1::/64
--src-port 23
--dst-port 25
--ulproto tcp
--dir out
--action ipsec
--sp-mode transport
--sa-name sa1
sp1
Suppression d'une rgle de scurit

Vous pouvez supprimer une rgle de scurit de l'hte ESXi.
Vous pouvez supprimer une rgle de scurit l'aide de vSphere CLI. Pour plus d'informations sur l'utilisation
de vSphere CLI, voir le Guide d'installation et script de l'interface de ligne de commande vSphere et le Rfrence de
l'interface de ligne de commande vSphere.
Prrequis
Assurez-vous que la rgle de scurit que vous souhaitez utiliser n'est pas actuellement utilise. Si vous essayez
de supprimer une rgle de scurit en cours d'utilisation, l'opration de suppression choue.
Procdure
u
Utilisez la commande vicfg-ipsec --remove-sp security policy name.
Liste des rgles de scurit disponibles

ESXi peuvent fournir une liste de toutes les rgles de scurit de l'hte.
Vous pouvez obtenir une liste des rgles de scurit disponibles l'aide de vSphere CLI. Pour plus
d'informations sur l'utilisation de vSphere CLI, voir le Guide d'installation et script de l'interface de ligne de
commande vSphere et la Rfrence de l'interface de ligne de commande vSphere.
Procdure
u
Utilisez la commande vicfg-ipsec -L.
ESXi affiche une liste de toutes les rgles de scurit disponibles.
Scurisation du stockage iSCSI

Le stockage que vous configurez pour un hte ESXi peut comprendre un ou plusieurs rseaux de zone de
stockage (SAN) utilisant iSCSI. Lorsque vous configurez iSCSI sur un hte ESXi, vous pouvez prendre plusieurs
mesures pour rduire les risques de scurit.
iSCSI est un moyen d'accder aux priphriques SCSI et d'changer des enregistrements de donnes l'aide
du protocole TCP/IP sur un port rseau plutt que via une connexion directe un priphrique SCSI. Dans les
transactions iSCSI, des blocs de donnes SCSI brutes sont encapsuls dans des enregistrements iSCSI et
transmis au priphrique demandant ou l'utilisateur.
VMware, Inc.
173
Les SAN iSCSI vous permettent d'utiliser efficacement les infrastructures Ethernet existantes pour permettre
aux htes ESXi d'accder aux ressources de stockage qu'ils peuvent partager de manire dynamique. Les SAN
iSCSI offrent une solution de stockage conomique pour les environnements reposant sur un pool de stockage
pour servir de nombreux utilisateurs. Comme pour tout systme en rseau, vos SAN iSCSI peuvent tre soumis
des dfaillances de scurit.
REMARQUE Les contraintes et les procdures de scurisation d'un SAN iSCSI sont semblables celles des
adaptateurs iSCSI matriels que vous pouvez utiliser avec les htes ESXi et celles des iSCSI configurs
directement via l'hte ESXi.
Scurisation des priphriques iSCSI via l'authentification

Un moyen permettant de scuriser les priphriques iSCSI des intrusions indsirables consiste demander
que l'hte ESXi, ou l'initiateur, soit authentifi par le priphrique iSCSI, ou la cible, chaque fois que l'hte
tente d'accder aux donnes sur le LUN cible.
L'objectif de l'authentification est de prouver que l'initiateur a le droit d'accder une cible, droit accord
lorsque vous configurez l'authentification.
ESXi ne prend pas en charge Kerberos, Secure Remote Protocol (SRP) ou les mthodes d'authentification par
cl publique d'iSCSI. Par ailleurs, il ne prend pas en charge l'authentification IPsec et le chiffrement.
Utilisez vSphere Client pour dterminer si l'authentification est effectue et pour configurer la mthode
d'authentification.
Activation du CHAP (Challenge Handshake Authentification Protocol) pour les SAN

iSCSI
Vous pouvez configurer le SAN iSCSI pour utiliser l'authentification CHAP.
Dans l'authentification CHAP, lorsque l'initiateur contacte une cible iSCSI, la cible envoie une valeur d'ID
prdfinie et une valeur alatoire, ou cl, l'initiateur. L'initiateur cre une valeur de hachage sens unique
qu'il envoie la cible. La valeur de hachage contient trois lments : une valeur d'ID prdfinie, la valeur
alatoire que la cible envoie et une valeur prive, ou secret CHAP, que l'initiateur et la cible partagent. Lorsque
la cible reoit la valeur de hachage de l'initiateur, elle cre sa propre valeur de hachage en utilisant les mmes
lments et la compare la valeur de hachage de l'initiateur. Si les rsultats correspondent, la cible authentifie
l'initiateur.
ESXi prend en charge l'authentification CHAP unidirectionnelle et bidirectionnelle pour l'iSCSI. En
authentification CHAP unidirectionnelle, la cible authentifie l'initiateur, mais l'initiateur n'authentifie pas la
cible. En authentification CHAP bidirectionnelle, un niveau de scurit supplmentaire permet l'initiateur
d'authentifier la cible.
ESXi prend en charge l'authentification CHAP au niveau de l'adaptateur, lorsqu'un seul jeu d'informations
d'authentification peut tre envoy de l'hte vers toutes les cibles. Il prend galement en charge
l'authentification CHAP par cible, qui vous permet de configurer des informations d'authentification
diffrentes pour atteindre un perfectionnement plus important de la cible.
Voir Configurer des paramtres CHAP pour des cartes iSCSI , page 103 pour plus d'informations sur
l'utilisation de CHAP.
174
VMware, Inc.
Dsactivation de l'authentification SAN iSCSI

Vous pouvez configurer le SAN iSCSI pour fonctionner sans authentification. Les communications entre
l'initiateur et la cible sont toujours authentifies de manire rudimentaire, car les priphriques cibles iSCSI
sont gnralement configurs pour communiquer avec des initiateurs spcifiques uniquement.
Choisir de ne pas imposer une authentification plus contraignante peut tre pertinent si votre stockage iSCSI
doit tre hberg un seul emplacement et si vous devez crer un rseau ddi ou un VLAN pour prendre en
charge tous vos priphriques iSCSI. La configuration iSCSI est scurise, car elle est isole de tout accs non
autoris, tout comme un SAN Fibre Channel l'est.
En rgle gnrale, dsactivez l'authentification uniquement si vous souhaitez risquer une attaque au SAN iSCSI
ou rsoudre des problmes provenant d'erreurs humaines.
Voir Configurer des paramtres CHAP pour des cartes iSCSI , page 103 pour plus d'informations sur
l'utilisation de CHAP.
Protection d'un SAN iSCSI

Lorsque vous planifiez la configuration iSCSI, prenez des mesures pour optimiser la scurit globale de votre
SAN iSCSI. Votre configuration iSCSI prsente le mme niveau de scurit que votre rseau IP. Par consquent,
en appliquant de bonnes normes de scurit lors de la configuration de votre rseau, vous aidez la protection
de votre stockage iSCSI.
Vous trouverez ci-dessous des suggestions spcifiques pour appliquer de bonnes normes de scurit.
Protection des donnes transmises

Le premier risque de scurit dans les SAN iSCSI est qu'un attaquant puisse renifler les donnes de stockage
transmises.
Prenez des mesures supplmentaires pour empcher les attaquants de voir aisment les donnes iSCSI. Ni
l'adaptateur iSCSI du matriel, ni l'initiateur iSCSI de l'hte ESXi ne chiffre les donnes qu'ils transmettent vers
les cibles et obtiennent de celles-ci, rendant ainsi les donnes plus vulnrables aux attaques par renifflage.
Permettre vos machines virtuelles de partager des commutateurs virtuels et des VLAN avec votre
configuration iSCSI expose potentiellement le trafic iSCSI une mauvaise utilisation par un attaquant de
machine virtuelle. Afin de garantir que les intrus ne peuvent pas couter les transmissions iSCSI, assurez-vous
qu'aucune des machines virtuelles ne peut voir le rseau de stockage iSCSI.
Si vous utilisez un adaptateur iSCSI matriel, vous pouvez effectuer cette opration en vous assurant que
l'adaptateur iSCSI et l'adaptateur de rseau physique ESXi ne sont pas connects par inadvertance en dehors
de l'hte pour partager un commutateur ou un autre lment. Si vous configurez iSCSI directement via l'hte
ESXi, vous pouvez effectuer cette opration en configurant le stockage iSCSI via un commutateur virtuel
diffrent de celui utilis par vos machines virtuelles, comme indiqu dans Figure 12-5.
VMware, Inc.
175
Figure 12-5. Stockage iSCSI sur un commutateur virtuel spar
En plus de protger le SAN iSCSI en lui attribuant un commutateur virtuel, vous pouvez configurer votre SAN
iSCSI avec son propre VLAN pour amliorer les performances et la scurit. Le placement de votre
configuration iSCSI sur un VLAN spar garantit qu'aucun priphrique autre que l'adaptateur iSCSI n'a de
visibilit sur les transmissions au sein du SAN iSCSI. Par consquent, aucun blocage rseau provenant d'autres
sources ne peut interfrer avec le trafic iSCSI.
Scurisation des ports iSCSI

Lorsque vous excutez des priphriques iSCSI, l'hte ESXi n'ouvre pas de port coutant les connexions rseau.
Cette mesure rduit les chances qu'un intrus puisse pntrer dans l'hte ESXi par des ports disponibles et
prenne le contrle de l'hte. Par consquent, l'excution iSCSI ne prsente pas de risques de scurit
supplmentaires sur le ct hte ESXi de la connexion.
Tout priphrique cible iSCSI que vous excutez doit disposer d'un ou plusieurs ports TCP ouverts pour
couter les connexions iSCSI. Si des vulnrabilits de scurit existent dans le logiciel du priphrique iSCSI,
vos donnes peuvent courir un risque en raison d'un dfaut ESXi. Pour rduire ce risque, installez tous les
correctifs de scurit que le fournisseur de votre quipement de stockage fournit et limitez le nombre de
priphriques connects au rseau iSCSI.
176
VMware, Inc.
Authentification et gestion
d'utilisateurs
13
ESXi gre l'authentification des utilisateurs et prend en charge les autorisations de groupes et d'utilisateurs.
Par ailleurs, vous pouvez chiffrer des connexions SDK et au vSphere Client.
n
Scuriser ESXi via l'authentification et les autorisations , page 177
propos des utilisateurs, des groupes, des autorisations et des rles , page 178
Travailler avec des utilisateurs et groupes sur des htes ESXi , page 182
Chiffrement et certificats de scurit pour ESXi , page 187
Scuriser ESXi via l'authentification et les autorisations

Lorsqu'un utilisateur du vSphere Client ou de vCenter Server se connecte l'hte ESXi, une connexion est
tablie avec le processus d'agent hte de VMware. Le processus se sert des mots de passe et noms d'utilisateur
pour effectuer une authentification.
ESXi authentifie les utilisateurs qui accdent aux htes ESXi l'aide de SDK ou du vSphere Client. L'installation
par dfaut d'ESXi utilise une base de donnes de mots de passe locale pour l'authentification.
Figure 13-1 montre un exemple basique d'authentification des transactions par ESXi depuis le vSphere Client.
REMARQUE Les transactions CIM utilisent galement l'authentification par ticket en se connectant avec le
processus vmware-hostd.
Figure 13-1. Authentification des communications du vSphere Client avec ESXi
vSphere Client
fonctions de gestion
console
nom d'utilisateur/mot de passe

authentification
ESXi
vmware-hostd
VMware, Inc.
177
Les transactions d'authentification ESXi avec des clients de gestion rseau tiers sont aussi des transactions
directes avec le processus vmware-hostd.
Pour garantir que l'authentification fonctionne efficacement pour votre site, effectuez des tches basiques telles
que la configuration d'utilisateurs, groupes, autorisations et rles, la configuration d'attributs utilisateurs,
l'ajout de vos propres certificats et l'utilisation ventuelle de SSL.
propos des utilisateurs, des groupes, des autorisations et des rles

vCenter Server et les htes ESXi emploient le nom d'utilisateur, le mot de passe et les autorisations pour
authentifier l'accs d'un utilisateur ou autoriser des activits. Vous pouvez contrler l'accs des htes, clusters,
banque de donnes, pools de ressources, groupes de ports rseau et machines virtuelles en attribuant des
autorisations.
L'accs un hte ESXi et ses ressources est accord lorsqu'un utilisateur connu disposant des autorisations
adquates ouvre une session sur l'hte avec un mot de passe correct. vCenter Server utilise une approche
similaire lorsqu'il dcide d'accorder l'accs un utilisateur.
vCenter Server et les htes ESXi refusent l'accs dans les circonstances suivantes :
n
Un utilisateur non rpertori dans la liste d'utilisateurs tente d'ouvrir une session.
Un utilisateur saisit le mauvais mot de passe.
Un utilisateur fait partie de la liste mais ne dispose pas des autorisations attribues.
Un utilisateur ayant russi ouvrir une session tente d'effectuer des oprations pour lesquelles il ne
possde pas les autorisations.
Lors de la gestion des htes ESXi et de vCenter Server, vous devez prvoir la gestion de types d'utilisateur et
d'autorisations spcifiques. ESXi et vCenter Server utilisent des ensembles de privilges ou des rles pour
contrler les oprations que peuvent excuter les groupes ou utilisateurs individuels. Des rles prdfinis sont
fournis, mais vous pouvez galement en crer de nouveaux. Vous pouvez grer plus facilement des utilisateurs
en leur attribuant des groupes. Lorsque vous appliquez un rle un groupes, tous les utilisateurs de ce groupes
hritent du rle.
Les sujets de cette section s'appliquent aux utilisateurs et groupes de travail locaux. Vous pouvez galement
utiliser Active Directory pour grer les utilisateurs et groupes pour ESXi.
Comprendre les utilisateurs

Un utilisateur est un individu autoris ouvrir une session sur un hte ESXi ou sur vCenter Server.
Les utilisateurs ESXi entrent dans deux catgories : ceux qui peuvent accder l'hte via vCenter Server et
ceux qui peuvent y accder en ouvrant directement une session de l'hte depuis le vSphere Client, un client
tiers, ou une invite de commande.
Utilisateurs de vCenter
Server autoriss
Les utilisateurs autoriss pour vCenter Server sont ceux inclus dans la liste de
domaine Windows rfrence par vCenter Server ou la liste d'utilisateurs
locaux de Windows dans l'hte vCenter Server.
Vous ne pouvez pas utiliser vCenter Server pour crer, supprimer ou modifier
manuellement des utilisateurs. Vous devez utiliser les outils pour grer votre
domaine Windows. Les changements que vous effectuez s'appliquent
vCenter Server. Toutefois, l'interface utilisateur ne vous fournit pas de liste
d'utilisateurs passer en revue.
Utilisateurs accs
direct
178
Les utilisateurs autoriss travailler directement sur un hte ESXi sont ajouts
la liste d'utilisateurs internes par un administrateur systme.
VMware, Inc.
Chapitre 13 Authentification et gestion d'utilisateurs
Un administrateur peut effectuer plusieurs activits de gestion pour ces

utilisateurs, comme par exemple modifier les mots de passe, les adhsions aux
groupes, les autorisations, ou encore ajouter et supprimer des utilisateurs.
La liste d'utilisateurs que ESXi gre localement se distingue des utilisateurs connus par vCenter Server, ces
derniers tant des utilisateurs Windows locaux ou faisant partie du domaine Windows. Mme si la liste semble
contenir des utilisateurs communs (par exemple, un utilisateur appel devuser), traitez ces utilisateurs
sparment. Si vous ouvrez une session vCenter Server en tant que devuser, vous disposez peut-tre d'une
autorisation pour afficher et supprimer des fichiers depuis une banque de donnes ; ce n'est peut-tre pas le
cas si vous ouvrez une session de l'hte ESXi en tant que devuser. Si l'authentification Active Directory a t
configure sur l'hte, les mmes utilisateurs du domaine Windows connus par vCenter Server seront
disponibles sur l'hte ESXi.
En raison de la confusion cause par les noms doubles, contrlez la liste d'utilisateurs vCenter Server avant de
crer des utilisateurs de l'hte ESXi pour viter les doublons. Pour contrler les utilisateurs de vCenter Server,
consultez la liste de domaine Windows.
Comprendre les groupes

Un groupes est un ensemble d'utilisateurs partageant plusieurs rgles et autorisations. Lorsque vous assignez
des autorisations un groupes, tous les utilisateurs du groupes en hritent, et vous n'tes pas oblig d'utiliser
les profils d'utilisateurs individuellement.
En tant qu'administrateur, choisissez comment structurer les groupes afin d'atteindre vos objectifs de scurit
et d'utilisation. Par exemple, trois membres de l'quipe commerciale travaillent mi-temps des jours
diffrents, et vous souhaitez qu'ils partagent une machine virtuelle unique mais qu'ils n'utilisent pas les
machines virtuelles appartenant aux directeurs commerciaux. Dans ce cas, vous pouvez crer un groupes
appel SalesShare incluant les trois membres de l'quipe et donner l'autorisation de groupes afin d'interagir
avec un seul objet, la machine virtuelle partage. Ils ne peuvent effectuer aucune action sur les machines
virtuelles des directeurs commerciaux.
Les listes de groupes dans vCenter Server et un hte ESXi sont issues des mmes sources que les listes de leurs
utilisateurs respectifs. Les listes de groupes dans vCenter Server proviennent de la liste utilisateurs locaux ou
d'un quelconque domaine approuv, et les listes de groupes pour un hte ESXi proviennent de la liste
d'utilisateurs locaux ou de tout domaine Windows approuv.
Comprendre les conditions d'un mot de passe

Par dfaut, ESXi applique des conditions pour les mots de passe utilisateur.
Lorsque vous crez un mot de passe, composez-le d'un mlange de caractres de quatre classes diffrentes :
des lettres minuscules, des lettres majuscules, des chiffres et des caractres spciaux tels qu'un caractre de
soulignement ou un tiret.
Votre mot de passe doit tre conforme aux conditions de longueur suivantes.
n
Le mot de passe comportant des caractres d'une ou deux classes doit contenir au moins huit caractres.
Le mot de passe comportant des caractres de trois classes doit contenir au moins sept caractres.
Le mot de passe comportant des caractres des quatre classes doit contenir au moins six caractres.
REMARQUE Un caractre en majuscule au dbut d'un mot de passe ne compte pas dans le nombre de classes
de caractres utilises. Un chiffre la fin d'un mot de passe ne compte pas dans le nombre de classes de
caractres utilises.
Vous pouvez aussi vous servir d'une phrase de passe, qui est une phrase compose d'au moins trois mots,
ayant une longueur de 8 40 caractres chacun.
VMware, Inc.
179
Exemple 13-1. Exemple de mots de passe

Les candidats de mot de passe suivants rpondent aux exigences d'ESXi.
n
xQaTEhbU : Contient huit caractres provenant de deux classes de caractres.
xQaT3pb : Contient sept caractres provenant de trois classes de caractres.
xQaT3# : Contient six caractres provenant de quatre classes de caractres.
Les candidats de mot de passe suivants ne rpondent pas aux exigences d'ESXi.
n
Xqat3hb : Commence par un caractre majuscule, rduisant ainsi le nombre effectif de classes de caractres
deux. Huit caractres sont ncessaires lorsque vous n'utilisez que deux classes de caractres.
xQaTEh2 : Se termine par un chiffre, rduisant ainsi le nombre effectif de classes de caractres deux.
Huit caractres sont ncessaires lorsque vous n'utilisez que deux classes de caractres.
Comprendre les autorisations

Pour ESXi et vCenter Server, les autorisations sont dfinies en tant que rles d'accs et sont constitues d'un
utilisateur et du rle assign l'utilisateur pour un objet, tel qu'une machine virtuelle ou un hte ESXi.
La capacit de la plupart des utilisateurs du vCenter Server et d'ESXi manipuler les objets associs l'hte
est limite. Les utilisateurs disposant du rle administrateur ont des autorisations et droits d'accs complets
sur tous les objets virtuels tels que des banque de donnes, des htes, des machines virtuelles et des pools de
ressources. Par dfaut, le rle Administrateur est accord l'utilisateur racine. Si vCenter Server gre l'hte,
vpxuser est galement un utilisateur Administrateur.
La liste de privilges est la mme pour ESXi et vCenter Server, et vous utilisez la mme mthode pour configurer
des autorisations.
Vous pouvez crer des rles et configurer des autorisations via une connexion directe l'hte ESXi. Ces tches
tant largement excutes dans vCenter Server, consultez le guide d'administration du centre de donnes VMware
vSphere pour plus d'informations sur l'utilisation des autorisations et rles.
Attribuer des autorisations l'utilisateur racine

Les utilisateurs racines peuvent uniquement effectuer des actions sur l'hte ESXi auquel ils sont spcifiquement
connects.
Pour des raisons de scurit, vous ne souhaitez peut-tre pas utiliser l'utilisateur racine dans le rle
Administrateur. Dans ce cas, vous pouvez modifier les autorisations aprs l'installation afin que l'utilisateur
racine ne dispose plus des privilges administratifs ou vous pouvez supprimer entirement les autorisations
d'accs de l'utilisateur racine via le vSphere Client, comme indiqu dans le Guide d'administration de centre de
donnes VMware vSphere. Si vous procdez ainsi, vous devez d'abord crer une autre autorisation au niveau de
la racine dont l'utilisateur assign diffre de celui du rle Administrateur.
L'assignation du rle Administrateur un utilisateur diffrent vous permet de maintenir la scurit travers
la traabilit. vSphere Client enregistre toutes les actions que l'utilisateur du rle Administrateur initialise
comme vnements, et vous fournit une piste d'audit. Si tous les administrateurs ouvrent une session en tant
qu'utilisateur racine, vous ne pouvez pas savoir quel administrateur a effectu une action. Si vous crez
plusieurs autorisations au niveau de la racine (chacune tant associe un groupes d'utilisateurs ou utilisateur
diffrent) vous pouvez suivre les actions de chaque administrateur ou groupes administratif.
Aprs avoir cr un autre utilisateur Administrateur, vous pouvez assigner un rle diffrent l'utilisateur
racine. Pour grer l'hte via vCenter Server, le nouvel utilisateur que vous avez cr doit disposer des privilges
Administrateurs complets sur l'hte.
REMARQUE Les commandes vicfg n'effectuent pas de contrle d'accs. Par consquent, mme si vous limitez
les privilges de l'utilisateur racine, cela n'affecte pas ce que l'utilisateur peut faire avec les commandes
d'interface de ligne de commande.
180
VMware, Inc.
Comprendre les autorisations de vpxuser

L'autorisation de vpxuser est utilise par le vCenter Server pour grer les activits de l'hte. vpxuser est cr
lorsqu'un hte ESXi est reli au vCenter Server.
vCenter Server possde des privilges Administrateur sur l'hte qu'il gre. Par exemple, vCenter Server peut
transfrer des machines virtuelles vers/depuis des htes et effectuer les changements de configuration requis
pour prendre en charge des machines virtuelles.
L'administrateur vCenter Server peut excuter sur l'hte la majorit des tches de l'utilisateur racine, mais aussi
programmer des tches, utiliser des modles, etc. Cependant, l'administrateur vCenter Server ne peut pas
directement crer, supprimer ou modifier des utilisateurs et groupes pour des htes ESXi. Ces tches peuvent
uniquement tre excutes par un utilisateur disposant des autorisations Administrateur directement sur
chaque hte ESXi.
REMARQUE Vous ne pouvez pas grer vpxuser via Active Directory.
AVERTISSEMENT Ne modifiez en aucun cas vpxuser et ne changez pas ses autorisations. Dans le cas contraire,
vous risquez d'avoir des difficults utiliser des htes ESXi via vCenter Server.
Attribuer des autorisations l'utilisateur dcui

L'utilisateur dcui s'excute sur des htes et dispose des droits d'Administrateur. L'objectif principal de cet
utilisateur est de configurer des htes pour le mode verrouillage partir de la console directe.
Cet utilisateur agit en tant qu'agent pour la console directe et doit tre modifi ou utilis par des utilisateurs
interactifs.
AVERTISSEMENT Ne modifiez en aucun cas l'utilisateur dcui et ne changez pas ses autorisations. Dans le cas
contraire, vous risquez d'avoir des difficults utiliser l'hte ESXi via l'interface utilisateur local.
Comprendre les rles

vCenter Server et ESXi autorisent l'accs des objets uniquement aux utilisateurs qui disposent des
autorisations appropries. Lorsque vous assignez des autorisations de groupes ou d'utilisateur pour l'objet,
vous devez associer l'utilisateur ou groupes un rle. Un rle est un ensemble prdfini de privilges.
Les htes ESXi fournissent trois rles par dfaut, et vous ne pouvez pas modifier les privilges qui leur sont
associs. Chaque rle par dfaut suivant inclut les privilges du rle prcdent. Par exemple, le rle
Administrateur hrite des privilges du rle Lecture seule. Les rles que vous crez vous-mme n'hritent pas
des privilges des rles par dfaut.
Vous pouvez crer des rles et configurer des autorisations via une connexion directe l'hte ESXi. tant donn
que la plupart des utilisateurs crent des rles et configurent des autorisations dans vCenter Server, consultez le
Guide d'administration du centre de donnes VMware vSphere pour plus d'informations sur l'utilisation des
autorisations et rles.
Attribuer le rle aucun accs

Les utilisateurs assigns au rle aucun accs pour un objet ne peuvent en aucun cas afficher ou modifier l'objet.
Les nouveaux utilisateurs et groupes sont assigns ce rle par dfaut. Vous pouvez modifier le rle par objet.
Les autorisations d'utilisateur vpxuser et d'utilisateur racine sont les seuls utilisateurs non assigns au rle
Aucun accs par dfaut. Ils sont en revanche assigns au rle Administrateur. Vous pouvez entirement
supprimer les autorisations de l'utilisateur racine ou lui octroyer le rle Aucun accs du moment que vous
crez en premier lieu une autorisation de remplacement au niveau de la racine avec le rle Administrateur et
associez ce rle un autre utilisateur.
VMware, Inc.
181
Attribuer le rle Lecture seule

Les utilisateurs assigns aux rle Lecture seule pour un objet sont autoriss afficher l'tat et les dtails de
l'objet.
Grce ce rle, un utilisateur peut afficher les caractristiques d'une machine virtuelle, d'un hte et d'un pool
de ressources. L'utilisateur ne peut pas voir la console distance pour un hte. Toutes les actions via les menus
et barres d'outils ne sont pas autorises.
Attribuer le rle Administrateur

Les utilisateurs assigns au rle Administrateur pour un objet sont autoriss afficher et excuter toutes les
actions sur cet objet. Ce rle comprend galement toutes les autorisations inhrentes au rle Lecture seule.
Si vous disposez du rle Administrateur sur un hte ESXi, vous pouvez accorder des autorisations des
groupes et utilisateurs individuels sur cet hte. Si vous disposez du rle Administrateur dans vCenter Server,
vous pouvez accorder des autorisations tout groupes ou utilisateur inclus dans la liste de domaine Windows
rfrence par vCenter Server.
vCenter Server inscrit tout groupes ou utilisateur de domaine Windows slectionn via le processus
d'attribution des autorisations. Par dfaut, tous les utilisateurs membres du groupes d'administrateurs
Windows locaux sur vCenter Server reoivent les mmes droits d'accs que l'utilisateur assign au rle
Administrateur. Les utilisateurs membres du groupes Administrateurs peuvent ouvrir une session en tant
qu'individus et disposer d'un accs complet.
Les utilisateurs du groupe Active Directory ESX Admins reoivent automatiquement le rle d'Administrateur.
Pour des raisons de scurit, envisagez de supprimer le groupes Administrateurs Windows du rle
Administrateur. Vous pouvez modifier les autorisations aprs l'installation. Vous pouvez galement utiliser
le vSphere Client pour supprimer les autorisations d'accs du groupes Administrateurs Windows, mais vous
devez d'abord crer au niveau de la racine une autre autorisation avec un utilisateur diffrent assign au rle
Administrateur.
Accs l'interface utilisateur de console directe (DCUI)

Seuls les utilisateurs assigns au rle Administrateur peuvent se connecter la console directe. Pour autoriser
l'accs la console directe, ajoutez l'utilisateur au groupes d'administrateurs locaux.
Procdure
1
Ouvrez une session de l'hte avec le vSphere Client.
Cliquez sur l'onglet [Utilisateurs et groupes] , puis sur [Utilisateurs] .
Cliquez avec le bouton droit sur l'utilisateur, puis cliquez sur [Modifier] pour ouvrir la bote de dialogue
Modifier l'utilisateur.
partir du menu droulant [groupes] , slectionnez localadmin et cliquez sur [Ajouter] .
Cliquez sur [OK] .
Travailler avec des utilisateurs et groupes sur des htes ESXi

Si vous tes directement connect un hte ESXi via le vSphere Client, vous pouvez crer, modifier et
supprimer des utilisateurs et groupes. Ces utilisateurs ou groupes sont visibles dans vSphere Client chaque
fois que vous ouvrez une session de l'hte ESXi, mais ne sont pas disponibles lorsque vous ouvrez une session
du vCenter Server.
Les sujets de cette section s'appliquent aux utilisateurs et groupes de travail locaux. Vous pouvez galement
utiliser Active Directory pour grer les utilisateurs et groupes pour ESXi.
182
VMware, Inc.
Afficher, trier et exporter une liste d'utilisateurs et de groupes

Vous pouvez afficher, trier et exporter des listes d'utilisateurs et de groupes ESXi dans un fichier au format
HTML, XML, Microsoft Excel ou CSV.
Procdure
1
Cliquez sur l'onglet [Utilisateurs et groupes] , puis sur [Utilisateurs] ou [groupes] .
Dcidez comment vous voulez trier le tableau, puis masquez ou affichez les colonnes selon l'information
que vous souhaitez voir dans le fichier export.
n
Pour trier le tableau par n'importe quelle colonne, cliquez sur l'en-tte de colonne.
Pour afficher ou masquer les colonnes, cliquez avec le bouton droit sur les en-ttes de colonne et
slectionnez ou dslectionnez le nom de la colonne masquer.
Pour afficher ou masquer les colonnes, cliquez avec le bouton droit sur les en-ttes de colonne et
slectionnez ou dslectionnez le nom de la colonne masquer.
Cliquez avec le bouton droit n'importe o dans le tableau, puis cliquez sur [Exporter liste] pour ouvrir
la bote de dialogue Enregistrer sous.
Slectionnez un chemin d'accs et entrez un nom de fichier.
Slectionnez le type de fichier, puis cliquez sur [OK] .
Ajouter un utilisateur au tableau d'utilisateurs

Ajouter un utilisateur au tableau d'utilisateurs met niveau la liste d'utilisateurs interne conserve par ESXi.
Prrequis
Passez en revue les exigences de mot de passe dcrites dans Comprendre les conditions d'un mot de passe ,
page 179.
Procdure
1
Cliquez avec le bouton droit n'importe o dans le tableau d'utilisateurs, puis cliquez sur [Ajouter] pour
ouvrir la bote de dialogue Ajouter un nouvel utilisateur.
Saisissez un identifiant, un nom d'utilisateur, un ID d'utilisateur numrique (UID) et un mot de passe.

n
La saisie du nom d'utilisateur et de l'UID est facultative. Si vous n'indiquez pas d'UID, le vSphere
Client attribue le prochain UID disponible.
Crez un mot de passe qui rpond aux exigences de longueur et de complexit. L'hte contrle la
conformit du mot de passe l'aide du plug-in d'authentification par dfaut, pam_passwdqc.so. Si le
mot de passe n'est pas conforme, l'erreur suivante s'affiche : Une erreur gnrale du systme s'est
produite : mot de passe : Erreur de manipulation de jeton d'authentification.
Si vous avez bascul sur le plug-in d'authentification pam_cracklib.so, la conformit du mot de passe
n'est pas applique.
Pour ajouter l'utilisateur un groupes, slectionnez le nom du groupes dans le menu droulant
[groupes] , puis cliquez sur [Ajouter] .
Cliquez sur [OK] .
VMware, Inc.
183
Modifier les paramtres pour un utilisateur

Vous pouvez modifier l'ID utilisateur, le nom d'utilisateur, le mot de passe et les paramtres de groupes d'un
utilisateur. Vous pouvez galement accorder l'accs shell l'utilisateur.
Prrequis
Passez en revue les exigences de mot de passe dcrites dans Comprendre les conditions d'un mot de passe ,
page 179.
Procdure
1
Cliquez avec le bouton droit sur l'utilisateur, puis cliquez sur [Modifier] pour ouvrir la bote de dialogue
Modifier l'utilisateur.
Pour modifier l'ID de l'utilisateur, saisissez un UID d'utilisateur numrique dans la zone de texte
[UID] .
vSphere Client assigne l'UID lorsque vous crez l'utilisateur pour la premire fois. Dans la plupart des
cas, vous ne devez pas modifier cette attribution.
Entrer un nouveau nom d'utilisateur.
Pour modifier le mot de passe utilisateur, slectionnez [Changer mot passe] et entrez le nouveau mot de
passe.
n
Crez un mot de passe qui rpond aux exigences de longueur et de complexit. L'hte contrle la
conformit du mot de passe l'aide du plug-in d'authentification par dfaut, pam_passwdqc.so. Si le
mot de passe n'est pas conforme, l'erreur suivante s'affiche : Une erreur gnrale du systme s'est
produite : mot de passe : Erreur de manipulation de jeton d'authentification.
Si vous avez bascul sur le plug-in d'authentification pam_cracklib.so, la conformit du mot de passe
n'est pas applique.
Pour supprimer l'utilisateur d'un groupes, slectionnez le nom de groupes dans la bote [Appartenance
groupes] et cliquez sur [Supprimer] .
Cliquez sur [OK] .
Supprimer un utilisateur ou groupes

Vous pouvez supprimer un utilisateur ou groupes de l'hte ESXi.
AVERTISSEMENT Ne retirez pas l'utilisateur racine.
Si vous supprimez un utilisateur de l'hte, il perd les autorisations sur tous les objets de l'hte et ne peut plus
ouvrir une session.
REMARQUE Les utilisateurs qui ont ouvert une session et sont supprims du domaine gardent leurs autorisations
htes jusqu'au redmarrage de l'hte.
La suppression d'un groupes n'affecte pas les autorisations accordes individuellement aux utilisateurs de ce
groupes ou les autorisations accordes en tant qu'lment d'inclusion un autre groupes.
184
VMware, Inc.
Procdure
1
Cliquez sur l'onglet [Utilisateurs et groupes] , puis sur [Utilisateurs] ou [groupes] .
Cliquez avec le bouton droit sur l'utilisateur ou groupes que vous voulez supprimer, puis slectionnez
[Supprimer] .
Ajouter un groupes au tableau de groupes

Ajouter un groupes au tableau de groupes d'ESXi met niveau la liste de groupes interne conserve par l'hte.
Procdure
1
Cliquez sur l'onglet [Utilisateurs et groupes] , puis sur [groupes] .
Cliquez avec le bouton droit n'importe o dans le tableau de groupes, puis cliquez sur [Ajouter] pour
ouvrir la bote de dialogue Crer un nouveau groupes.
Tapez un nom de groupes et un ID de groupes numrique (GID) dans la zone de texte [ID groupes] .
La saisie du GID est facultative. Si vous ne spcifiez pas de GID, le vSphere Client attribue le prochain ID
de groupes disponible.
Pour chaque utilisateur que vous voulez ajouter comme membre du groupes, slectionnez le nom
d'utilisateur dans la liste et cliquez sur [Ajouter] .
Cliquez sur [OK] .
Ajouter ou supprimer des utilisateurs d'un groupes

Vous pouvez ajouter ou supprimer un utilisateur d'un groupes du tableau de groupes.
Procdure
1
Cliquez sur l'onglet [Utilisateurs et groupes] , puis sur [groupes] .
Cliquez avec le bouton droit sur le groupes modifier et slectionnez [Proprits] pour ouvrir la bote
de dialogue Modifier le groupes.
Pour supprimer l'utilisateur d'un groupes, slectionnez le nom de groupes dans la bote [Appartenance
groupes] et cliquez sur [Supprimer] .
Cliquez sur [OK] .
Configurer un hte pour utiliser un service d'annuaire

Vous pouvez configurer l'hte ESXi pour utiliser un service d'annuaire comme Active Directory afin de grer
les groupes de travail et les utilisateurs.
Prrequis
Vrifiez que vous avez install un domaine Active Directory. Reportez-vous la documentation de votre
serveur d'annuaire.
VMware, Inc.
185
Procdure
1
Assurez-vous que le nom d'hte d'ESXi est pleinement qualifi par le nom de domaine de la fort Active
Directory.
fully qualified domain name = host_name.domain_name
Synchronisez l'heure entre ESXi et le systme de service d'annuaire en utilisant votre mthode prfre.
Pour utiliser NTP, suivez les tapes suivantes.
Dans vSphere Client, slectionnez l'hte dans l'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Configuration de temps] .
Cliquez sur le lien [Proprits] en haut droite du panneau.
Dfinissez la date et l'heure.
Assurez-vous que les serveurs DNS que vous avez configurs pour l'hte peuvent retrouver les noms
d'hte des contrleurs Active Directory.
Vous pouvez utiliser la bote de dialogue de Configuration de Routage et vSphere Client DNS pour
modifier le nom de l'hte et les informations de serveur DNS pour l'hte.
a
Dans vSphere Client, slectionnez l'hte dans l'inventaire.
Cliquez sur l'onglet [Configuration] puis sur [DNS et routage] .
Cliquez sur le lien [Proprits] en haut droite du panneau pour accder la bote de dialogue
Configuration Routage et DNS.
Suivant
Joignez un domaine de service d'annuaire en utilisant le vSphere Client.
Ajouter un hte un domaine de service d'annuaire

Pour utiliser un service d'annuaire, vous devez joindre l'hte au domaine de service d'annuaire.
Vous pouvez entrer le nom de domaine de l'une des deux faons suivantes :
n
name.tld (par exemple, domain.com): Le compte est cr sous le rcipient par dfaut.
name.tld/container/path (par exemple, domain.com/OU1/OU2) : Le compte est cr sous une unit

d'organisation (OU) prcise.
Prrequis
Vrifiez que le vSphere Client est connect un systme de vCenter Server ou l'hte.
Procdure
186
Slectionnez un hte dans l'inventaire du vSphere Client et cliquez sur l'onglet [Configuration] .
Sous Logiciel, cliquez sur [Services d'authentification] et cliquez sur [Proprits] .
Dans la bote de dialogue Configuration des services d'annuaire, slectionnez le type d'authentification
dans le menu droulant.
Option
Description
Si vous choisissez Active Directory
Entrez un domaine sous la forme name.tld ou name.tld/container/path

et cliquez sur [Joindre le domaine] .
Si l'hte utilise dj un service

d'annuaire
Slectionnez [Quitter domaine] pour quitter le domaine et en rejoindre un

autre.
VMware, Inc.
Saisissez le nom d'utilisateur et mot de passe d'un utilisateur Active Directory autoris joindre l'hte au
domaine, puis cliquez sur [OK] .
Cliquez sur [OK] pour fermer la bote de dialogue Configuration des services d'annuaire.
Utiliser des profils d'hte pour appliquer des autorisations aux htes
Lorsque vous joignez un hte un domaine Active Directory, vous devez dfinir des rles sur l'hte pour un
utilisateur ou groupes dans ce domaine. Sinon, l'hte reste inaccessible aux groupes de travails et utilisateurs
Active Directory. Vous pouvez utiliser des profils d'hte afin de configurer un rle requis pour un utilisateur
ou groupes et appliquer le changement un ou plusieurs htes.
Prrequis
Vous devez possder un profil d'hte existant. Reportez-vous Cration d'un profil d'hte , page 214.
Vrifiez que les htes auxquels vous appliquez un profil sont en mode maintenance.
Procdure
1
l'aide du vSphere Client, slectionnez [Afficher] > [Gestion] > [Profils d'hte] .
Cliquez avec le bouton droit sur un profil d'hte existant et slectionnez [Modifier le profil] .
Dveloppez l'arborescence de profil, puis [Configuration de la scurit] .
Faites un clic avec le bouton droit sur le dossier [Rgles d'autorisation] , puis slectionnez [Ajouter
profil] .
Droulez le menu [Rgles d'autorisation] et slectionnez [Autorisation] .
Sur l'onglet [Dtails configuration] dans le volet droit, cliquez sur le menu droulant [Configurer une
autorisation] et slectionnez [Demander une rgle dautorisation] .
Entrez le nom d'un utilisateur ou groupes.

Utilisez le format DOMAIN\name, o DOMAIN reprsente le nom de domaine Active Directory et name le nom
de groupes ou d'utilisateur.
(Facultatif) Si vous avez saisi le nom d'un groupes (pas d'un utilisateur unique), cochez la case [Le nom
se rfre un groupes d'utilisateurs] .
Saisissez le nom du rle assign l'utilisateur ou groupes (gnralement Admin).

Le nom de rle est sensible la casse. Si c'est un rle systme, vous devez utiliser le nom de rle non
localis. Par exemple, pour le rle Administrateur, saisissez Admin. Pour le rle Lecture seule, saisissez
ReadOnly.
10
Cochez la case [Autorisation de propagation] , puis cliquez sur [OK] .
Suivant
1
Reliez le profil aux htes comme indiqu dans Attacher des entits partir de l'hte , page 218.
Appliquez le profil aux htes comme indiqu dans Appliquer un profil partir de l'hte , page 219.
Chiffrement et certificats de scurit pour ESXi

ESXi prend en charge SSL v3 et TLS v1, gnralement dsigns ici par SSL. Si SSL est activ, les donnes sont
prives, protges, et ne peuvent pas tre modifies en transit sans dtection.
Tout le trafic rseau est chiffr tant que vous n'avez pas modifi le service proxy Web afin d'autoriser un trafic
non chiffr pour le port.
VMware, Inc.
187
Le contrle de certificat de l'hte est activ par dfaut et les certificats SSL sont utiliss pour chiffrer le trafic
rseau. Nanmoins, ESXi utilise des certificats gnrs automatiquement, crs lors du processus d'installation
et stocks sur l'hte. Ces certificats sont uniques et permettent de commencer utiliser le serveur, mais ils ne
sont pas vrifiables et ne sont pas signs par une autorit de certification de confiance (CA). Ces certificats par
dfaut sont vulnrables aux ventuelles attaques de l'intercepteur.
Pour bnficier de tous les avantages du contrle des certificats, notamment si vous tentez d'utiliser des
connexions distance chiffres en externe, installez les nouveaux certificats signs par une autorit de
certification interne valide ou achetez un certificat auprs d'une autorit de scurit de confiance.
REMARQUE Si le certificat auto-sign est utilis, les clients reoivent un avertissement pour ce certificat. Pour
rsoudre ce problme, installez un certificat sign par une autorit de certification reconnue. Si des certificats
signs par une CA ne sont pas installs, toute communication entre vCenter Server et les clients vSphere est
chiffre via un certificat auto-sign. Ces certificats ne fournissent pas la scurit d'authentification requise dans
un environnement de production.
Activer le contrle de certificats et vrifier les empreintes htes

Pour empcher les attaques de l'intercepteur et bnficier entirement de la scurit fournie par les certificats,
le contrle de certificats est activ par dfaut. Vous pouvez vrifier que le contrle de certificats est activ dans
vSphere Client.
REMARQUE Les certificats vCenter Server sont conservs travers les mises niveau.
Procdure
1
Ouvrez une session sur un systme vCenter Server au moyen de vSphere Client.
Slectionnez [Administration] > [Paramtres vCenter Server] .
Cliquez sur [Paramtres SSL] dans le volet gauche et vrifiez que [Vrifier les certificats de l'hte] est
slectionn.
Si les htes requirent une validation manuelle, comparez les empreintes listes pour les htes aux
empreintes dans la console de l'hte.
Pour obtenir l'empreinte hte pour ESXi, utilisez la console directe.
a
Connectez-vous la console directe et appuyez sur F2 pour accder au menu de Personnalisation du

systme.
Slectionnez [Voir les informations de support] .

L'empreinte hte figure dans la colonne de droite.
Si l'empreinte correspond, cochez la case [Vrifier] ct de l'hte.

Les htes non slectionns sont dconnects aprs avoir cliqu sur [OK] .
Cliquez sur [OK] .
Gnrer de nouveaux certificats pour l'hte ESXi

L'hte ESXi gnre des certificats la premire fois que le systme dmarre. Dans certaines circonstances, vous
devrez peut-tre forcer l'hte gnrer de nouveaux certificats. En rgle gnrale, vous gnrez de nouveaux
certificats uniquement si vous changez le nom de l'hte ou supprimez accidentellement le certificat.
Procdure
188
Slectionnez [Rinitialiser les paramtres personnaliss] dans la console directe.
Redmarrez le systme pour rgnrer les certificats.
VMware, Inc.
Remplacer un certificat par dfaut par un certificat sign par une autorit de
certification
L'hte ESXi utilise des certificats gnrs automatiquement, crs lors du processus d'installation. Ces
certificats sont uniques et permettent de commencer utiliser le serveur, mais ils ne sont pas vrifiables et ne
sont pas signs par une autorit de certification approuve (CA).
L'utilisation de certificats par dfaut n'est peut-tre pas conforme aux rgles de scurit de votre organisation.
Si vous avez besoin d'un certificat d'une autorit de certification approuve, vous pouvez remplacer le certificat
par dfaut.
REMARQUE Si l'option Vrifier les certificats est active dans l'hte, le remplacement du certificat par dfaut
peut provoquer l'arrt de la gestion de l'hte par vCenter Server. Si le nouveau certificat n'est pas vrifiable
par vCenter Server, vous devez reconnecter l'hte l'aide du vSphere Client.
ESXi prend en charge uniquement les certificats X.509 pour chiffrer les informations de session envoyes sur
les connexions SSL entre les composants du serveur et du client.
Prrequis
Tous les transferts de fichiers et autres communications se produisent lors d'une session HTTPS scurise.
L'utilisateur servant authentifier la session doit possder le privilge Hte.Config.AdvancedConfig sur
l'hte. Pour plus d'informations sur les privilges ESXi, reportez-vous la section propos des utilisateurs,
des groupes, des autorisations et des rles , page 178.
Procdure
1
Utilisez la commande vifs pour stocker une copie des fichiers de cl et de certificat sur l'hte ESXi.
Le format de commande pour le certificat et la cl est respectivement :
vifs --server <hostname> --username <username> --put rui.crt /host/ssl_cert
vifs --server <hostname> --username <username> --put rui.key /host/ssl_key
Utilisez l'opration [Redmarrez les agents de gestion] via la console directe pour que les paramtres
soient pris en compte.
Charger un certificat et une cl l'aide d'un HTTPS PUT

En plus de la commande vifs, vous pouvez utiliser des applications tierces pour charger des certificats. Les
applications prennant en charge les oprations HTTPS PUT utilisent l'interface HTTPS incluse avec ESXi. Par
exemple, vous pouvez utiliser SeaMonkey Composer pour charger un certificat et une cl.
Procdure
1
Dans votre application de chargement, ouvrez le fichier.
Publiez le fichier l'un de ces emplacements.
VMware, Inc.
Pour les certificats, https://hostname/host/ssl_crt.
Pour les cls, https://hostname/host/sslkey.
Dans la console directe, utilisez l'opration Redmarrer les agents de gestion pour que les paramtres
soient effectifs.
189
Configurer les dlais d'attente SSL

Vous pouvez configurer les dlais d'attente SSL pour ESXi.
Des priodes d'attente peuvent tre dfinies pour deux types de connexions inactives :
n
Le paramtre Dlai d'attente de lecture s'applique aux connexions qui ont complt le processus de
ngociation SSL avec le port 443 d'ESXi.
Le paramtre Dlai d'expiration de ngociation s'applique aux connexions qui ont complt le processus
de ngociation SSL avec le port 443 d'ESXi.
Les dlais d'attente des deux connexions sont en millisecondes.

Les connexions inactives sont dconnectes aprs la priode d'attente. Par dfaut, les connexions SSL
totalement tablies ont un dlai d'attente d'infini.
Procdure
1
Utilisez la commande vifs pour obtenir une copie du fichier config.xml modifier.
Pour les systmes Linux, utilisez cette commande :
vifs --server hostname --username username --get /host/config.xml directory/config.xml
Pour les systmes Windows, utilisez cette commande :

vifs --server hostname --username username --get /host/config.xml directory\config.xml
Utilisez un diteur de texte pour ouvrir le fichier config.xml.
Saisissez la valeur <readTimeoutMs> en millisecondes.

Par exemple, pour rgler le dlai d'attente de lecture 20 secondes, saisissez la commande suivante :
<readTimeoutMs>20000</readTimeoutMs>
Saisissez la valeur <handshakeTimeoutMs> en millisecondes.

Par exemple, pour rgler le dlai d'expiration de ngociation 20 secondes, saisissez la commande
suivante :
<handshakeTimeoutMs>20000</handshakeTimeoutMs>
Enregistrez les modifications et fermez le fichier.
Utilisez la commande vifs pour stocker une copie du fichier config.xml sur l'hte ESXi.
vifs --server hostname --username username --put directory/config.xml /host/config.xml

vifs --server hostname --username username --put directory\config.xml /host/config.xml
190
Utilisez l'opration Redmarrer les agents de gestion via la console directe pour que les paramtres soient
effectifs.
VMware, Inc.
Exemple 13-2. Fichier de configuration

La section suivante du fichier /etc/vmware/hostd/config.xml indique o entrer les paramtres de dlai
d'attente SSL.
<vmacore>
...
<http>
<readTimeoutMs>20000</readTimeoutMs>
</http>
...
<ssl>
...
<handshakeTimeoutMs>20000</handshakeTimeoutMs>
...
</ssl>
</vmacore>
Modifier les paramtres proxy Web d'ESXi

Lorsque vous modifiez les paramtres proxy Web, vous devez prendre en compte plusieurs recommandations
de scurit utilisateur et de chiffrement.
REMARQUE Utilisez l'opration Redmarrer les agents de gestion via la console directe afin de redmarrer le
processus vmware-hostd aprs avoir modifi des rpertoires htes ou des mcanismes d'authentification.
n
Ne configurez pas de certificats l'aide d'expressions relatives au mot de passe. ESXi ne prend pas en
charge les expressions relatives au mot de passe, aussi connues comme cls chiffres. Si vous configurez
une expression relative au mot de passe, les processus ESXi ne peuvent pas correctement dmarrer.
Vous pouvez configurer le proxy Web afin qu'il recherche des certificats dans un emplacement autre que
celui par dfaut. Cette fonctionnalit s'avre utile pour les entreprises qui prfrent centraliser leurs
certificats sur une seule machine afin que plusieurs htes puissent les utiliser.
AVERTISSEMENT Si des certificats ne sont pas stocks localement sur l'hte (s'ils sont, par exemple, stocks
sur un partage NFS), l'hte ne peut pas accder ces certificats si ESXi perd la connectivit rseau. Par
consquent, un client se connectant l'hte ne peut pas participer un protocole de transfert SSL scuris
avec l'hte.
Pour prendre en charge le chiffrement de noms d'utilisateur, de mot de passe et de paquets, SSL est activ
par dfaut pour les connexions de vSphere Web services SDK. Si vous souhaitez configurer ces connexions
afin qu'elles ne chiffrent pas les transmissions, dsactivez SSL pour votre connexion vSphere Web Services
SDK en remplaant le paramtre de connexion HTTPS par HTTP.
Envisagez de mettre hors tension SSL uniquement si vous avez cr un environnement parfaitement fiable
pour ces clients, avec des pare-feu et des transmissions depuis/vers l'hte totalement isoles. La
dsactivation de SSL peut amliorer les performances car vous vitez le traitement requis pour l'excution
du chiffrement.
Pour vous protger contre les utilisations abusives des services ESXi, la plupart des services ESXi internes
sont uniquement accessibles via le port 443 (port utilis pour la transmission HTTPS). Le port 443 agit
comme proxy invers pour ESXi. Vous pouvez consulter la liste de services sur ESXi via une page d'accueil
HTTP, mais vous ne pouvez pas directement accder aux services de adaptateurs de stockage sans
autorisation.
VMware, Inc.
191
Vous pouvez modifier cette configuration afin que des services individuels soient directement accessibles
via des connexions HTTP. N'effectuez pas ce changement moins d'utiliser ESXi dans un environnement
parfaitement fiable.
n
192
Lorsque vous mettez vCenter Server niveau, le certificat est conserv.
VMware, Inc.
Modifier les paramtres de scurit pour un service proxy Web

Vous pouvez modifier la configuration de scurit afin que des services individuels soient directement
accessibles via des connexions HTTP.
Procdure
1
Utilisez la commande vifs pour obtenir une copie du fichier proxy.xml modifier.
vifs --server hostname --username username --get /host/proxy.xml directory/proxy.xml

vifs --server hostname --username username --get /host/proxy.xml directory\proxy.xml
AVERTISSEMENT Si ce fichier est modifi avec une configuration incorrecte, le systme risque d'entrer dans
un tat ingrable. Vous devez peut-tre effectuer une rinitialisation d'usine l'aide de la console directe.
2
Utilisez un diteur de texte pour ouvrir le fichier proxy.xml.

Le fichier comporte gnralement les lments suivants :
<ConfigRoot>
<EndpointList>
<_length>10</_length>
<_type>vim.ProxyService.EndpointSpec[]</_type>
<e id="0">
<_type>vim.ProxyService.LocalServiceSpec</_type>
<accessMode>httpsWithRedirect</accessMode>
<port>8309</port>
<serverNamespace>/</serverNamespace>
</e>
<e id="1">
<accessMode>httpAndHttps</accessMode>
<port>8309</port>
<serverNamespace>/client/clients.xml</serverNamespace>
</e>
<e id="2">
<port>12001</port>
<serverNamespace>/ha-nfc</serverNamespace>
</e>
<e id="3">
<_type>vim.ProxyService.NamedPipeServiceSpec</_type>
<pipeName>/var/run/vmware/proxy-mob</pipeName>
<serverNamespace>/mob</serverNamespace>
</e>
<e id="4">
<port>12000</port>
<serverNamespace>/nfc</serverNamespace>
</e>
VMware, Inc.
193
<e id="5">
<port>8307</port>
<serverNamespace>/sdk</serverNamespace>
</e>
<e id="6">
<_type>vim.ProxyService.NamedPipeTunnelSpec</_type>
<accessMode>httpOnly</accessMode>
<pipeName>/var/run/vmware/proxy-sdk-tunnel</pipeName>
<serverNamespace>/sdkTunnel</serverNamespace>
</e>
<e id="7">
<port>8308</port>
<serverNamespace>/ui</serverNamespace>
</e>
<e id="8">
<accessMode>httpsOnly</accessMode>
<port>8089</port>
<serverNamespace>/vpxa</serverNamespace>
</e>
<e id="9">
<port>8889</port>
<serverNamespace>/wsman</serverNamespace>
</e>
</EndpointList>
</ConfigRoot>
Modifiez les paramtres de scurit, si ncessaire.

Par exemple, vous voulez peut-tre modifier les entres pour les services utilisant HTTPS afin d'ajouter
l'option d'accs HTTP.
194
e id est un numro d'ID pour la balise de serveur ID XML. Les numros d'ID doivent tre uniques
dans la zone HTTP.
_type est le nom du service que vous transfrez.
accessmode reprsente les formes de communications autorises par le service. Les valeurs acceptes
sont notamment :
n
httpOnly : le service est uniquement accessible sur des connexions HTTP de texte brut.
httpsOnly : le service est uniquement accessible sur des connexions HTTPS.
httpsWithRedirect : le service est uniquement accessible sur des connexions HTTPS. Les requtes
sur HTTP sont rediriges sur l'URL HTTPS approprie.
httpAndHttps : le service est uniquement accessible sur des connexions HTTPS et HTTP.
port est le numro de port attribu au service. Vous pouvez assigner un numro de port diffrent au
service.
serverNamespace est l'espace de nom du serveur qui fournit ce service, par exemple /sdk ou /mob.
VMware, Inc.
Utilisez la commande vifs pour stocker une copie du fichier proxy.xml sur l'hte ESXi.
Pour Linux, utilisez cette commande :
vifs --server hostname --username username --put directory/proxy.xml /host/proxy.xml
Pour Windows, utilisez cette commande :

vifs --server hostname --username username --put directory\proxy.xml /host/proxy.xml
Utilisez l'opration Redmarrer les agents de gestion via la console directe pour que les paramtres soient
effectifs.
VMware, Inc.
195
196
VMware, Inc.
Meilleures pratiques en matire de

scurit et scnarios de scurit
14
Une srie de scnarios de dploiement ESXi a t labore pour permettre une utilisation optimale des fonctions
de scurit au sein de votre propre dploiement. Ces scnarios contiennent galement des recommandations
de base en matire de scurit. Elles vous seront utiles lors de la cration et de la configuration de machines
virtuelles.
n
Approches de scurit pour les dploiements ESXi classiques , page 197
Mode verrouillage ESXi , page 200
Recommandations destines aux machines virtuelles , page 204
Approches de scurit pour les dploiements ESXi classiques

Vous pouvez comparer les approches de scurit de diffrents types de dploiements, afin d'optimiser la
planification de la scurit applicable votre propre dploiement ESXi.
La complexit des dploiements ESXi est susceptible de varier considrablement en fonction de la taille de
votre entreprise, du mode de partage des donnes et des ressources avec le monde extrieur, du nombre de
centres de donnes, etc. Cependant, les rgles d'accs utilisateur, le partage des ressources et le niveau de
scurit se retrouvent dans tous les dploiements suivants.
Dploiement client unique

Dans un dploiement client unique, les htes ESXi appartiennent une seule entreprise et un seul centre
de donnes, et sont grs par ces derniers. Les ressources hte ne sont pas partages avec les utilisateurs
externes. Un administrateur de site gre les htes, qui sont excuts sur un certain nombre de machines
virtuelles.
Le dploiement client unique n'inclut pas d'administrateurs clients ; l'administrateur de site est le seul
responsable de la gestion des diffrentes machines virtuelles. L'entreprise affecte des administrateurs systme,
qui ne disposent pas de compte pour l'hte et ne peuvent donc pas accder aux outils ESXi tels que vCenter
Server, ou encore aux shells de ligne de commande de l'hte. Ces administrateurs systme ont accs aux
machines virtuelles via la console de la machine virtuelle : ils peuvent donc charger des logiciels et excuter
d'autres tches de maintenance sur les machines virtuelles.
Le Tableau 14-1 illustre le partage possible des composants utiliss et configurs pour l'hte.
VMware, Inc.
197
Tableau 14-1. Partage de composants au sein d'un dploiement client unique

Fonction
Configuration
Commentaires
Les machines virtuelles partagentelles le mme rseau physique ?
Oui
Configurez les machines virtuelles sur le mme rseau

physique.
Existe-t-il un partage VMFS ?
Oui
Tous les fichiers .vmdk rsident sur la mme partition VMFS.
Existe-t-il un engagement excessif de

la mmoire des machines virtuelles ?
Oui
Configurez une quantit totale de mmoire des machines

virtuelles gale celle de la mmoire physique.
Le Tableau 14-2 illustre la configuration possible des comptes d'utilisateur pour l'hte.
Tableau 14-2. Configuration de comptes d'utilisateur au sein d'un dploiement client unique
Catgorie d'utilisateur
Nombre total de comptes
Administrateurs de site
Administrateurs clients
Administrateurs systme
Utilisateurs
Le Tableau 14-3 indique le niveau d'accs de chaque utilisateur.

Tableau 14-3. Accs des utilisateurs au sein d'un dploiement client unique
Niveau d'accs
Administrateur de site
Administrateur systme
Accs racine?
Oui
Non
Cration et modification de machine virtuelle ?
Oui
Non
Accs aux machines virtuelles via la console ?
Oui
Oui
Dploiement limit clients multiples

Dans les dploiements limits clients multiples, les htes ESXi sont situs dans le mme centre de donnes
et sont utiliss pour la fourniture d'applications des clients multiples. L'administrateur du site est charg de
grer les htes ; ceux-ci sont excuts sur des machines virtuelles ddies aux clients. Les machines virtuelles
rattaches aux diffrents clients peuvent se trouver sur le mme hte, mais l'administrateur du site limite le
partage de ressources afin d'empcher les interactions non autorises.
Bien qu'il n'y ait qu'un seul administrateur de site, plusieurs administrateurs clients peuvent grer les machines
virtuelles rattaches leurs clients. Ce dploiement inclut galement des administrateurs systme de clients
qui ne possdent pas de compte ESXi, mais qui ont accs aux machines virtuelles via la console, et qui peuvent
donc charger des logiciels et excuter d'autres tches de maintenance sur les machines virtuelles.
Le Tableau 14-4 illustre le partage possible des composants utiliss et configurs pour l'hte.
Tableau 14-4. Partage de composants au sein d'un dploiement limit clients multiples
198
Fonction
Configuration
Commentaires
Les machines virtuelles partagentelles le mme rseau physique ?
Partage partiel
Placez les machines virtuelles de chaque client sur un rseau

physique diffrent. Tous les rseaux physiques sont
indpendants les uns des autres.
Non
Chaque client possde sa propre partition VMFS et les fichiers

de la machine virtuelle .vmdk rsident exclusivement sur cette
partition. Celle-ci peut s'tendre sur plusieurs LUN.
Existe-t-il un engagement excessif

de la mmoire des machines
virtuelles ?
Oui

VMware, Inc.
Chapitre 14 Meilleures pratiques en matire de scurit et scnarios de scurit
Le Tableau 14-5 illustre la configuration possible des comptes d'utilisateur pour l'hte ESXi.
Tableau 14-5. Configuration de comptes d'utilisateur au sein d'un dploiement limit clients multiples
10
Utilisateurs

Tableau 14-6. Accs des utilisateurs au sein d'un dploiement limit clients multiples
Niveau d'accs
Administrateur de
site
Administrateur
client
Administrateur
systme
Accs racine?
Oui
Non
Non
Cration et modification de machine virtuelle ?
Oui
Oui
Non
Accs aux machines virtuelles via la console ?
Oui
Oui
Oui
Dploiement ouvert clients multiples

Dans les dploiements ouverts clients multiples, les htes ESXi sont situs dans le mme centre de donnes
et sont utiliss pour la fourniture d'applications des clients multiples. L'administrateur du site est charg de
grer les htes ; ceux-ci sont excuts sur des machines virtuelles ddies aux clients. Les machines virtuelles
rattaches aux diffrents clients peuvent rsider sur le mme hte, mais les limitations de partage de ressources
sont moins nombreuses.
Bien qu'il n'y ait qu'un seul administrateur de site dans le cas d'un dploiement ouvert clients multiples,
plusieurs administrateurs clients peuvent grer les machines virtuelles rattaches leurs clients. Ce
dploiement inclut galement des administrateurs systme de clients qui ne possdent pas de compte ESXi,
mais qui ont accs aux machines virtuelles via la console, et qui peuvent donc charger des logiciels et excuter
d'autres tches de maintenance sur les machines virtuelles. Enfin, un groupes d'utilisateurs ne possdant pas
de compte peut utiliser les machines virtuelles pour l'excution de leurs applications.
Tableau 14-7 illustre le partage possible des composants utiliss et configurs pour l'hte.
Tableau 14-7. Partage de composants au sein d'un dploiement ouvert clients multiples
Fonction
Configuration
Commentaires
Les machines virtuelles partagent-elles

le mme rseau physique ?
Oui
Configurez les machines virtuelles sur le mme rseau

physique.
Oui
Les machines virtuelles peuvent partager des partitions

VMFS et leurs fichiers .vmdk peuvent rsider sur des
partitions partages. Mais les machines virtuelles ne
partagent pas de fichiers .vmdk.
Existe-t-il un engagement excessif de la

mmoire des machines virtuelles ?
Oui

Le Tableau 14-8 illustre la configuration possible des comptes d'utilisateur pour l'hte.
Tableau 14-8. Configuration de comptes d'utilisateur au sein d'un dploiement ouvert clients multiples
10
VMware, Inc.
199
Tableau 14-8. Configuration de comptes d'utilisateur au sein d'un dploiement ouvert clients multiples (suite)
Utilisateurs

Tableau 14-9. Accs des utilisateurs au sein d'un dploiement ouvert clients multiples
Niveau d'accs
Administrateur de
site
Administrateur
client
Administrateur
systme
Utilisateur
Accs racine ?
Oui
Non
Non
Non
Cration et modification de
machine virtuelle ?
Oui
Oui
Non
Non
Mode verrouillage ESXi

Pour augmenter le degr de scurit de vos htes ESXi, vous pouvez les placer en mode verrouillage.
Quand vous activez le mode verrouillage, aucun utilisateur autre que vpxuser n'a d'autorisations
d'authentification, ni ne peut excuter des oprations directement par rapport l'hte. Le mode verrouillage
force l'excution de toutes les oprations par vCenter Server.
Lorsqu'un hte est en mode verrouillage, vous ne pouvez pas excuter les commandes vCLI partir d'un
serveur d'administration, d'un script ou d'un vMA de l'hte. Les outils logiciels externes ne permettent pas
toujours de rcuprer des informations sur l'hte ESXi ou de les modifier.
REMARQUE L'utilisateur racine est toujours autoris ouvrir une session sur l'interface DCUI quand le mode
verrouillage est activ.
L'activation ou non du mode de verrouillage affecte les types d'utilisateurs autoriss accder aux services
d'hte, mais n'affecte pas la disponibilit de ces services. En d'autres mots, si le mode Support technique local,
le mode Support technique distance (SSH) ou l'interface utilisateur de la console directe (DCUI) sont activs,
ils continueront leur excution que l'hte soit ou non en mode verrouillage.
Vous pouvez activer le mode verrouillage l'aide de l'assistant Ajouter hte pour ajouter un hte ESXi
vCenter Server, en utilisant vSphere Client pour la gestion d'hte, ou encore l'aide de l'interface utilisateur
de la console directe.
REMARQUE Si vous activez ou dsactivez le mode verrouillage en utilisant l'interface utilisateur de la console
directe, les autorisations sont suspendues pour les utilisateurs et groupes sur l'hte. Pour conserver ces
autorisations, vous devez activer et dsactiver le mode verrouillage en utilisant vSphere Client connect
vCenter Server.
Le mode verrouillage n'est disponible que pour les htes ESXi qui ont t ajouts vCenter Server.
Comportement du mode verrouillage

Activer le mode verrouillage dtermine quels utilisateurs sont autoriss accder aux services htes.
Tableau 14-10 rpertorie les services utilisables par diffrents types d'utilisateurs quand l'hte fonctionne en
mode verrouillage, compars la situation o l'hte fonctionne en mode normal.
200
VMware, Inc.
Tableau 14-10. Comportement du mode verrouillage

Service
Mode normal
Mode verrouillage
vSphere WebServices API
Tous les utilisateurs, bass sur les

autorisations ESXi
vCenter seulement (vpxuser)
Fournisseurs CIM
Utilisateurs Root et utilisateurs Admin
vCenter seulement (ticket)
Interface utilisateur de console directe

(DCUI)
Utilisateurs Root
Support technique local (TSM)
Aucun utilisateur
Le mode Support technique distance

(SSH)
Aucun utilisateur
Activation du mode verrouillage l'aide de vSphere Client

Vous pouvez activer le mode verrouillage afin d'imposer l'apport des modifications de configuration via
vCenter Server. Vous pouvez galement activer ou mettre hors tension ce mode via la console directe.
Procdure
1
Slectionnez l'hte dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] puis cliquez sur [Profil de scurit] .
Cliquez sur le lien [Modifier] , situ en regard du mode verrouillage.

La bote de dialogue de mode verrouillage apparat.
Slectionnez [Activer le mode verrouillage] .
Cliquez sur [OK] .
Activation du mode verrouillage partir de l'interface utilisateur de console

directe
Vous pouvez activer le mode verrouillage depuis l'interface utilisateur de la console directe.
REMARQUE Si vous activez ou dsactivez le mode verrouillage en utilisant l'interface utilisateur de la console
directe, les autorisations sont suspendues pour les utilisateurs et groupes de travail sur l'hte. Pour conserver
ces autorisations, vous devez activer et dsactiver le mode verrouillage en utilisant vSphere Client connect
vCenter Server.
Procdure
u
VMware, Inc.
Basculez l'affichage de [Configurer le mode verrouillage] .
201
Utilisation des services de dpannage

Par dfaut, sous ESXi, les services de dpannage sont dsactivs. En cas de besoin, vous pouvez les activer.
Les services de dpannage peuvent tre activs et dsactivs, que l'hte fonctionne en mode verrouillage ou
non.
Support technique local
(TSM)
Vous pouvez activer ce service pour rsoudre les problmes localement.
Support technique
distance (SSH)
Vous pouvez activer ce service pour rsoudre les problmes distance.
Service d'interface
utilisateur de console
directe (DCUI)
Lorsque vous activez ce service en mode verrouillage, vous pouvez vous

connecter localement l'interface utilisateur console directe en tant
qu'utilisateur racine, puis mettre hors tension le mode verrouillage. Ensuite,
vous pouvez effectuer le dpannage du problme via une connexion directe
vSphere Client ou en activant le mode de support technique (TSM).
L'utilisateur racine et les utilisateurs ayant un rle d'administrateur peuvent accder aux services de
dpannage. Les utilisateurs du groupe Active Directory ESX Admins reoivent automatiquement le rle
d'administrateur.
REMARQUE N'activez pas les services de dpannage s'ils ne sont pas requis. Quand les services de dpannage
sont activs, toutes les personnes connectes ont un total contrle de l'hte.
Configurations du mode verrouillage

Vous pouvez activer ou dsactiver les services de dpannage pour crer diffrentes configurations de mode
verrouillage.
Tableau 14-11 rpertorie les services de dpannage activs pour trois configurations types.
AVERTISSEMENT Si vous avez perdu l'accs vCenter Server lors du fonctionnement en mode verrouillage total,
vous devez rinstaller ESXi pour retrouver l'accs l'hte.
Tableau 14-11. Configurations du mode verrouillage
Service
Configuration par dfaut
Configuration
recommande
Configuration verrouillage
total
Verrouillage
Dsactiv
Activ
Activ
Support technique local

(TSM)
Dsactiv
Dsactiv
Dsactiv
Mode Support technique

distance (SSH)
Dsactiv
Dsactiv
Dsactiv
Interface utilisateur de
console directe (DCUI)
Activ
Activ
Dsactiv
Configuration des services de dpannage l'aide de vSphere Client

Pour activer les services de dpannage, utilisez vSphere Client.
Procdure
202
Slectionnez l'hte dans le panneau d'inventaire.
VMware, Inc.
Cliquez sur l'onglet [Configuration] puis cliquez sur [Profil de scurit] .
Slectionnez un service dans la liste.

n
[Support technique local]
[Support technique distance (SSH)]
[IU de Direct Console]
Cliquez sur [Options] et slectionnez [Dmarrer et arrter manuellement] .
Slectionnez [Dmarrer] pour activer le service.
Cliquez sur [OK] .
(Facultatif) Dfinissez le dlai d'expiration applicable au mode de support technique.

Par dfaut, le dlai d'expiration du mode de support technique est 0 (dsactiv).
Le dlai d'expiration correspond au nombre de minutes pouvant s'couler avant que vous soyez oblig
de vous connecter, une fois TSM activ. Une fois ce dlai dpass, TSM est dsactiv si vous ne vous tes
pas connect.
REMARQUE Si vous avez ouvert une session au moment de l'expiration de ce dlai, elle restera ouverte.
Toutefois, TSM sera alors dsactiv, afin d'empcher d'autres utilisateurs de se connecter.
Slectionnez l'hte dans l'inventaire et cliquez sur l'onglet [Configuration] .
Sous Logiciel, slectionnez [Paramtres avancs] .
Dans la zone UserVars.TSMTimeOut, entrez la valeur de dlai d'expiration.
Cliquez sur [OK] .
Configuration des services de dpannage l'aide de l'interface utilisateur de

console directe
Pour activer les services de dpannage, utilisez l'interface utilisateur de console directe.
Procdure
1
Depuis l'interface utilisateur de console directe, appuyez sur la touche F2 pour accder au menu de
personnalisation du systme.
Slectionnez [Options de dpannage] et appuyez sur Entre.
Dans le menu des options de mode de dpannage, slectionnez un service de dpannage activer ou
mettre hors tension.
VMware, Inc.
[Le mode Support technique local]
[Le mode Support technique distance (SSH)]
203
Appuyez sur Entre pour activer ou mettre hors tension le service souhait.
(Facultatif) Dfinissez le dlai d'expiration applicable au mode de support technique.

Par dfaut, le dlai d'expiration du mode de support technique est 0 (dsactiv).
Le dlai d'expiration correspond au nombre de minutes pouvant s'couler avant que vous soyez oblig
de vous connecter, une fois TSM activ. Une fois ce dlai dpass, TSM est dsactiv si vous ne vous tes
pas connect.
REMARQUE Si vous avez ouvert une session au moment de l'expiration de ce dlai, elle restera ouverte.
Toutefois, TSM sera alors dsactiv, afin d'empcher d'autres utilisateurs de se connecter.
a
Dans le menu des options de mode de dpannage, slectionnez [Modifier le dlai de support
technique] et appuyez sur Entre.
Entrez le dlai d'expiration (en minutes).
Appuyez sur Entre.
Recommandations destines aux machines virtuelles

Plusieurs prcautions de scurit sont prendre dans le cadre de l'valuation de la scurit des machines
virtuelles et de leur administration.
Installation d'un logiciel anti-virus

Chaque machine virtuelle hberge un systme d'exploitation standard ; par consquent, vous pouvez la
protger contre les virus en installant un logiciel anti-virus. En fonction de votre utilisation habituelle de la
machine virtuelle, vous pouvez installer galement un pare-feu.
Planifiez l'excution de scan de virus, tout particulirement en cas de dploiement incluant un grand nombre
de machines virtuelles. Si vous scannez toutes les machines virtuelles simultanment, les performances des
systmes de votre environnement enregistreront une baisse importante.
Les pare-feu et les logiciels anti-virus peuvent exiger une grande quantit de virtualisation ; par consquent,
vous pouvez quilibrer ces deux mesures en fonction des performances souhaites au niveau des machines
virtuelles (et tout particulirement si vous pensez que vos machines virtuelles se trouvent dans un
environnement totalement scuris).
Limitation de l'exposition des donnes sensibles copies dans le Presse-papiers

Par dfaut, les oprations Copier et Coller sont dsactives dans ESXi, afin d'viter d'exposer les donnes
sensibles copies dans le Presse-Papiers.
Lorsque les oprations Copier et Coller sont actives sur une machine virtuelle utilisant VMware Tools, vous
pouvez copier et coller des donnes entre le systme d'exploitation invit et la console distante. Ds que la
fentre de la console s'affiche, les utilisateurs et les processus ne disposant pas de privilges d'accs et utilisant
la machine virtuelle peuvent accder au Presse-papiers de sa console. Si un utilisateur copie des informations
sensibles dans le Presse-papiers avant d'utiliser la console, il expose (involontairement) des donnes sensibles
au niveau de la machine virtuelle. Pour viter ce problme, les oprations Copier et Coller sont par dfaut
dsactives sur le systme d'exploitation invit.
En cas de besoin, vous pouvez activer ces oprations pour les machines virtuelles.
204
VMware, Inc.
Activation des oprations Copier et Coller entre le systme d'exploitation invit et

la console distante
Pour effectuer des oprations Copier et Coller entre le systme d'exploitation invit et la console distante, vous
devez activer ces oprations l'aide de vSphere Client.
Procdure
1
Ouvrez une session sur un systme vCenter Server l'aide de vSphere Client, et slectionnez une machine
virtuelle.
Slectionnez [Options] > [Avanc] > [Gnral] et cliquez sur [Paramtres de configuration] .
Cliquez sur [Ajouter ligne] et tapez les valeurs suivantes dans les colonnes de nom et de valeur.
Nom
Valeur
isolation.tools.copy.disable
false
isolation.tools.paste.disable
false
REMARQUE Ces options crasent les valeurs entres dans Panneau de configuration de VMware Tools, sur
le systme d'exploitation invit.
5
Cliquez sur [OK] pour fermer la bote de dialogue de paramtres de configuration, puis sur [OK] pour
fermer la bote de dialogue de proprits de machine virtuelle.
Redmarrez la machine virtuelle.
Retrait des priphriques matriels inutiles

Les utilisateurs et les processus ne disposant pas de privilges d'accs sur une machine virtuelle peuvent
connecter ou dconnecter des priphriques matriels (cartes rseau et lecteurs de CD-ROM, par exemple).
Par consquent, le retrait des priphriques matriels inutiles peut empcher la survenue d'attaques.
Les pirates peuvent utiliser ce moyen pour enfreindre la scurit des machines virtuelles, via diffrentes
mthodes. Par exemple, un pirate possdant un accs une machine virtuelle peut reconnecter un lecteur de
CD-ROM dconnect et accder aux informations sensibles figurant sur le support insr dans le lecteur ; il
peut galement dconnecter un adapteur rseau afin d'isoler la machine virtuelle de son rseau, entranant
une attaque de dni de service (DoS).
Il est recommand, pour des raisons de scurit, d'utiliser les commandes de l'onglet vSphere Client
[Configuration] pour supprimer tous les priphriques matriels inutiles. Cette mesure renforce la scurit
des machines virtuelles ; toutefois, elle n'est pas recommande si vous pensez devoir ultrieurement remettre
un priphrique inutilis en service.
Interdiction pour les utilisateurs ou les processus de machines virtuelles de

dconnecter les priphriques
Si vous ne souhaitez pas supprimer en permanence un priphrique, vous pouvez empcher un utilisateur ou
un processus de machine virtuelle de dconnecter ce priphrique du systme d'exploitation invit.
Procdure
1
VMware, Inc.
205
Slectionnez [Options] > [Options gnrales] et enregistrez le chemin qui s'affiche dans la zone de
texte [Fichier de configuration de la machine virtuelle] .
Utilisez la commande vifs pour obtenir une copie des fichiers de configuration de la machine virtuelle
l'emplacement que vous avez not tape 4.
Les fichiers de configuration des machines virtuelles se situent dans l'inventaire /vmfs/volumes/
datastore, o datastore correspond au nom du priphrique de stockage sur lequel rsident les fichiers de
la machine virtuelle. Par exemple, si le fichier de configuration de la machine virtuelle indiqu dans la
bote de dialogue des proprits de machine virtuelle est [vol1]vm-finance/vm-finance.vmx, utilisez la
commande suivante :
vifs --server hostname --username username --get /vmfs/volumes/vol1/vm-finance/vm-finance.vmx
directory/vm-finance.vmx
Utilisez un diteur de texte pour ajouter la ligne suivante au fichier .vmx file, o device_name correspond
au nom du priphrique protger (par exemple : ethernet1).
device_name.allowGuestConnectionControl = "false"
REMARQUE Par dfaut, Ethernet 0 est configur de faon empcher la dconnexion de priphriques. Le
seul motif de modification de cette configuration se prsente lorsqu'un administrateur prcdent a dfini
device_name.allowGuestConnectionControl sur true.
7
Utilisez vifs pour insrer la copie modifie du fichier l'emplacement que vous avez not tape 4.
vifs --server hostname --username username --put directory/vm-finance.vmx /vmfs/volumes/vol1/
vm-finance/vm-finance.vmx
Dans vSphere Client, cliquez avec le bouton droit sur la machine virtuelle et slectionnez [Powere
Off] .
10
Cliquez avec le bouton droit sur la machine virtuelle et slectionnez [Mettre sous tension] .
Limitation des oprations d'criture du systme d'exploitation invit dans la

mmoire de l'hte
Les processus du systme d'exploitation invit envoient des messages d'information l'hte ESXi via VMware
Tools. Si la quantit de donnes stockes sur l'hte pour ces messages tait illimite, ce flux de donnes
risquerait de favoriser les attaques de dni de service (DoS).
Les messages d'information envoys par les processus du systme d'exploitation invit sont appels setinfo
et contiennent gnralement des paires de donnes nom/valeur qui dfinissent les caractristiques des
machines virtuelles ou des identifiants stocks sur l'hte (comme par exemple ipaddress=10.17.87.224). La
taille du fichier de configuration contenant ces paires nom/valeur est limite 1 Mo : cela empche les pirates
de lancer des attaques de dni de service (DoS) via l'criture de logiciels imitant VMware Tools et le remplissage
de la mmoire de l'hte l'aide de donnes de configuration arbitraires, ce qui a pour effet de consommer
l'espace requis par les machines virtuelles.
Si vous avez besoin de plus de 1 Mo de stockage pour les paires nom/valeur, vous pouvez modifier la valeur
de ce paramtre. Vous pouvez galement empcher les processus du systme d'exploitation invit d'crire des
paires nom/valeur dans le fichier de configuration.
206
VMware, Inc.
Modification de la limite de mmoire variable du systme d'exploitation invit

Vous pouvez augmenter la limite de mmoire variable du systme d'exploitation invit si de grandes quantits
d'informations personnalises sont stockes dans le fichier de configuration.
Procdure
1
Si l'attribut de limite de taille n'y figure pas, vous devez l'ajouter.

a
Cliquez sur [Ajouter ligne] .
Dans la colonne de nom, tapez tools.setInfo.sizeLimit.
Dans la colonne de valeur, tapez Number of Bytes.
Si l'attribut de limite de taille existe, modifiez-le pour qu'il indique les limites appropries.
6
Interdiction d'envoi de messages de configuration l'hte par les processus du

systme d'exploitation invit
Vous pouvez empcher les invits d'crire des paires nom/valeur dans le fichier de configuration. Cette mesure
est approprie lorsque les systmes d'exploitation invits ne doivent pas tre autoriss modifier les
paramtres de configuration.
Procdure
1
Cliquez sur [Ajouter ligne] et tapez les valeurs suivantes dans les colonnes de nom et de valeur.
n
Dans la colonne de nom : isolation.tools.setinfo.disable
Dans la colonne de valeur : true
VMware, Inc.
207
Configuration des niveaux de journalisation applicables au systme

d'exploitation invit
Les machines virtuelles peuvent consigner des informations de dpannage dans un fichier journal stock sur
le volume VMFS. Les utilisateurs et les processus de la machine virtuelle peuvent effectuer un nombre trop
lev de consignations (intentionnellement ou accidentellement) ; de grandes quantits de donnes sont donc
incluses dans ce fichier journal. A terme, cela risque d'entraner une forte consommation sur le systme de
fichiers, jusqu' provoquer un dni de service.
Pour viter ce problme, vous pouvez modifier les paramtres de journalisation applicables aux systmes
d'exploitation invits des machines virtuelles. Ces paramtres peuvent limiter la taille totale des fichiers
journaux, ainsi que leur nombre. Normalement, un nouveau fichier journal est cr lors de chaque redmarrage
d'hte ; par consquent, le fichier peut devenir trs volumineux. Vous pouvez paramtrer une cration de
fichier journal plus frquente en limitant sa taille maximale. VMware recommande de sauvegarder 10 fichiers
journaux, avec une taille maximale de 100 Ko par fichier. En effet, ces valeurs sont suffisantes pour la collecte
des informations requises en cas de dbogage.
Lors de chaque entre dans le journal, la taille de ce dernier est vrifie. Si cette taille dpasse la limite fixe,
l'entre suivante sera enregistre dans un nouveau fichier journal. Ds que le nombre maximal de fichiers
journaux est atteint, le fichier le plus ancien est supprim. Une attaque de dni de service (DoS) ignorant ces
limites pourrait tre tente via l'enregistrement d'une norme entre de journal ; mais puisque la taille des
entres est limite 4 Ko, la taille d'un fichier journal ne peut jamais dpasser la limite configure de plus de
4 Ko.
Limitation du nombre et de la taille des fichiers journaux

Pour viter que les utilisateurs et les processus de machine virtuelle n'envoient massivement des messages
dans le fichier journal (ce qui risquerait d'entraner une attaque de dni de service), vous pouvez limiter le
nombre et la taille des fichiers journaux crs par ESXi.
Procdure
1
Slectionnez [Options] > [Options gnrales] et enregistrez le chemin qui s'affiche dans la zone de
texte [Fichier de configuration de la machine virtuelle] .
Utilisez la commande vifs pour obtenir une copie des fichiers de configuration de la machine virtuelle
l'emplacement que vous avez not tape 3.
Les fichiers de configuration des machines virtuelles se situent dans l'inventaire /vmfs/volumes/
datastore, o datastore correspond au nom du priphrique de stockage sur lequel rsident les fichiers de
la machine virtuelle. Par exemple, si le fichier de configuration de la machine virtuelle indiqu dans la
bote de dialogue des proprits de machine virtuelle est [vol1]vm-finance/vm-finance.vmx, utilisez la
commande suivante :
vifs --server hostname --username username --get /vmfs/volumes/vol1/vm-finance/vm-finance.vmx
directory/vm-finance.vmx
Pour limiter la taille du fichier journal, utilisez un diteur de texte pour ajouter la ligne suivante au
fichier .vmx ou la modifier (o maximum_size correspond la taille maximale du fichier, exprime en octets).
log.rotateSize=maximum_size
Par exemple, pour limiter la taille environ 100 Ko, entrez 100000.
208
VMware, Inc.
Pour limiter le nombre de fichiers journaux, utilisez un diteur de texte pour ajouter la ligne suivante au
fichier .vmx ou la modifier (o number_of_files_to_keep correspond au nombre de fichiers conservs par le
serveur).
log.keepOld=number_of_files_to_keep
Par exemple, pour conserver 10 fichiers journaux et commencer supprimer les plus anciens au fur et
mesure que de nouveaux fichiers sont crs, entrez 10.
7
Utilisez vifs pour insrer la copie modifie du fichier l'emplacement que vous avez not tape 3.
vifs --server hostname --username username --put directory/vm-finance.vmx /vmfs/volumes/vol1/
vm-finance/vm-finance.vmx
Dsactivation de la journalisation pour le systme d'exploitation invit

Si vous choisissez de ne pas consigner les informations de dpannage dans un fichier journal de machine
virtuelle stock sur le volume VMFS, vous pouvez mettre hors tension la journalisation.
Si vous dsactivez la journalisation pour le systme d'exploitation invit, vous devez savoir que vous ne
pourrez peut-tre pas disposer des informations de fichier journal requises pour le dpannage. Par ailleurs, si
la journalisation a t dsactive, VMware n'assure pas de support technique pour les problmes survenant
sur les machines virtuelles.
Procdure
1
Ouvrez une session sur un systme vCenter Server l'aide de vSphere Client, puis slectionnez la machine
virtuelle souhaite dans l'inventaire.
Cliquez sur l'onglet [Options] et, dans la liste des options sous Avanc, slectionnez [Gnral] .
Dans paramtres, dslectionnez [Activer journalisation] .
Cliquez sur [OK] pour fermer la bote de dialogue de proprits de machine virtuelle.
VMware, Inc.
209
210
VMware, Inc.
Profils d'hte
VMware, Inc.
211
212
VMware, Inc.
Gestion des profils d'hte
15
La fonction des profils d'hte cre un profil qui encapsule la configuration de l'hte et aide grer la
configuration de l'hte, surtout dans les environnements o un administrateur gre plus d'un hte ou d'un
cluster dans vCenter Server.
Les profils d'hte liminent la configuration par hte, manuelle ou par l'interface utilisateur de l'hte et
maintiennent l'uniformit et l'exactitude de configuration dans le centre de donnes en utilisant les rgles du
profil de l'hte. Ces rgles capturent le plan d'action d'une configuration connue et d'hte de rfrence valid
et utilisent ceci pour configurer la mise en rseau, le stockage, la scurit, et d'autres paramtres sur plusieurs
htes ou clusters. Vous pouvez alors vrifier un hte ou un cluster par rapport la configuration d'un profil
pour toutes les dviations.
n
Modle d'utilisation des profils d'hte , page 213
Accder la vue des profils d'hte , page 214
Cration d'un profil d'hte , page 214
Exporter un profil d'hte , page 215
Importer un profil d'hte , page 216
Modifier un profil d'hte , page 216
Gestion des profils , page 218
Vrification de la conformit , page 221
Modle d'utilisation des profils d'hte

Cette rubrique dcrit le processus d'utilisation des profils d'hte.
Vous devez avoir install vSphere avec au moins un hte correctement configur.
1
Installez et configurez l'hte qui sera utilis comme hte de rfrence.

Un hte de rfrence est l'hte partir duquel le profil est cr.
Crez un profil en utilisant l'hte de rfrence indiqu.
Attachez un hte ou un cluster au profil.
VMware, Inc.
213
Vrifiez la conformit de l'hte par rapport un profil. Cette opration garantit que l'hte continue tre
configur correctement.
Appliquez le profil de l'hte de rfrence aux autres htes ou clusters des htes.
REMARQUE Les profils d'hte sont pris en charge seulement pour les htes de VMware vSphere 4.0. Cette
fonction n'est pas pris en charge pour les htes VI 3.5 ou plus anciens. Si vous avez des htes VI de version 3.5
ou prcdente grs par votre vCenter Server 4.0, ce qui suit peut survenir si vous essayez d'utiliser des profils
d'hte pour ces htes :
n
Vous ne pouvez pas crer un profil d'hte qui utilise un hte VMware Infrastructure version 3.5 ou
prcdente comme hte de rfrence.
Vous ne pouvez pas appliquer un profil d'hte aux htes VI version 3.5 ou prcdente. La vrification de
conformit choue.
Pendant que vous attachez un profil d'hte un cluster mixte qui contient des htes VI de versions 3.5 ou
prcdente, la vrification de conformit pour ces htes choue.
En tant que fonction autorise de vSphere, les profils d'hte sont disponibles seulement quand la gestion des
licences approprie est en place. Si vous voyez des erreurs, veuillez-vous assurer que vous avez la gestion des
licences approprie de vSphere pour vos htes.
Si vous voulez que le profil d'hte utilise les services d'annuaire pour l'authentification, l'hte de rfrence doit
tre configur pour utiliser un service d'annuaire. Voir Configurer un hte pour utiliser un service
d'annuaire , page 185 pour plus d'informations.
Accder la vue des profils d'hte

La vue principale Profils d'hte rpertorie tous les profils disponibles. Les administrateurs peuvent galement
utiliser la vue principale Profils d'hte pour effectuer des oprations sur les profils des htes et configurer des
profils.
La vue principale Profils d'hte doit tre utilise par des administrateurs expriments qui souhaitent effectuer
des oprations sur les profils htes et configurer des options et des rgles avances. La plupart des oprations
telles que la cration de nouveaux profils, l'association d'entits et l'application de profils peuvent tre
effectues partir de la vue Htes et clusters.
Procdure
u
Slectionnez [Afficher] > [Gestion] > [Profils hte] .
Tous les profils existants sont numrs sur le ct gauche dans la liste des profils. Quand un profil est
slectionn partir de la liste de profil, les dtails de ce profil sont affichs droite.
Cration d'un profil d'hte

Vous crez un nouveau profil hte en utilisant la configuration de l'hte de rfrence indiqu.
Un profil d'hte peut tre cr partir de :
n
Vue principale de profil d'hte
menu contextuel de l'hte
Crer un profil d'hte dans la vue des profils d'hte

Vous pouvez crer un profil d'hte partir de la vue principale Profils d'hte avec la configuration d'un hte
existant.
Prrequis
Vous devez avoir une installation vSphere et au moins un hte correctement configur dans l'inventaire.
214
VMware, Inc.
Chapitre 15 Gestion des profils d'hte
Procdure
1
Dans la vue principale Profils d'hte, cliquez sur [Crer profil] .

L'assistant Crer profil s'affiche.
Slectionnez l'option pour crer un nouveau profil et cliquez sur [Suivant] .
Slectionnez l'hte utiliser pour crer le profil et cliquez sur [Suivant] .
Tapez le nom et la description du nouveau profil et cliquez sur [Suivant] .
Passez en revue les informations rcapitulatives du nouveau profil et cliquez sur [Terminer] pour
terminer la cration du profil.
Le nouveau profil apparat dans la liste de profil.
Crer un profil d'hte partir d'un hte

Vous pouvez crer un nouveau profil d'hte partir du menu contextuel de l'hte dans la vue d'inventaire
Htes et Clusters.
Prrequis
Vous devez avoir une installation vSphere et au moins un hte correctement configur dans l'inventaire.
Procdure
1
Dans la vue Hte et clusters, slectionnez l'hte que vous voulez dsigner comme l'hte de rfrence du
nouveau profil d'hte.
Cliquez avec le bouton droit sur l'hte et slectionnez [Profil hte] > [Crer profil partir de l'hte] .
L'assistant Crer profil partir de l'hte s'affiche.
Tapez le nom et la description du nouveau profil et cliquez sur [Suivant] .
Passez en revue les informations rcapitulatives du nouveau profil et cliquez sur [Terminer] pour
terminer la cration du profil.
Le nouveau profil apparat dans l'Onglet Rsum de l'hte.
Exporter un profil d'hte

Vous pouvez exporter un profil vers un fichier qui est dans le format de profil VMware (.vpf).
REMARQUE Lorsque le profil d'un hte est export, les mots de passe administrateur ne sont pas exports. C'est
une mesure de scurit et cela empche que les mots de passe administrateur soient exports en texte clair lors
de l'exportation du profil. Un message vous invitera saisir nouveau les valeurs du mot de passe aprs
l'importation du profil et l'attribution d'un mot de passe un hte.
Procdure
1
Sur la page principale Profils d'hte, slectionnez le profil exporter dans la liste de profil.
Cliquez avec le bouton droit sur le profil et slectionnez [Export. profil] .
Slectionnez l'emplacement et entrez le nom du fichier pour exporter le profil.
Cliquez sur [Enregistrer] .
VMware, Inc.
215
Importer un profil d'hte

Vous pouvez importer un profil partir d'un fichier dans le format de profil VMware (.vpf).
REMARQUE Lorsque le profil d'un hte est export, les mots de passe administrateur ne sont pas exports. C'est
une mesure de scurit et cela empche que les mots de passe administrateur soient exports en texte clair lors
de l'exportation du profil. Un message vous invitera saisir nouveau les valeurs du mot de passe aprs
l'importation du profil et l'attribution d'un mot de passe un hte.
Procdure
1
Dans la vue principale Profils d'hte, cliquez sur l'icne [Crer profil] .
L'assistant Crer profil s'affiche.
Slectionnez l'option pour importer un profil et cliquez sur [Suivant] .
Entrez et parcourez le fichier de Format de profil VMware pour importer et cliquez sur [Suivant] .
Entrez le nom et la description du profil import et cliquez sur [Suivant] lorsque vous avez temin.
Passez en revue les informations rcapitulatives du profil import et cliquez sur [Terminer] pour terminer
l'importation du profil.
Le profil import apparat dans la liste de profil.
Modifier un profil d'hte

Vous pouvez visualiser et modifier des rgles de profil d'hte, slection une rgle vrifier pour assurer la
conformit, et modifier le nom ou la description de la rgle.
Procdure
1
Dans la vue principale Profils d'hte, slectionnez le profil modifier dans la liste de profil.
Cliquez sur [Modifier Profil Hte] .
(Facultatif) Modifiez le nom ou la description du profil dans les champs en haut de l'diteur de profil.
Modifiez la rgle.
(Facultatif) Activez ou dsactivez la vrification de conformit de la rgle.
Cliquez sur [OK] pour fermer l'diteur de profil.
Modifier une rgle

Une rgle dcrit comment un paramtre spcifique de configuration devrait tre appliqu. L'diteur de profil
permet de modifier les rgles appartenant un profil d'hte spcifique.
Sur le ct gauche de l'diteur de profil, vous pouvez drouler le profil d'hte. Chaque profil d'hte se compose
de plusieurs sous-profils qui sont indiqus par le groupes fonctionnel pour reprsenter des instances de
configuration. Chaque sous-profil contient de nombreuses rgles et de vrifications de conformit qui dcrivent
la configuration approprie au profil.
Chaque rgle se compose d'une ou plusieurs options qui contient un ou plusieurs paramtres. Les paramtres
se composent d'une cl et d'une valeur. La valeur peut correspondre l'un des types de base, tel qu'un entier,
une chane, un groupes de chanes ou un groupes d'entiers.
Les sous-profils (et les rgles d'exemple et les vrifications de conformit) qui peuvent tre configurs sont :
216
VMware, Inc.
Tableau 15-1. Configurations de Sous-profil de profil d'hte

Configuration de Sous-Profil
Rgles d'exemple et Vrifications de conformit
Rservation de mmoire
Dfinissez la rservation de mmoire une valeur fixe.
Stockage
Configurez le stockage NFS.
Mise en rseau
Configurez un commutateur virtuel, les groupes de ports, la

vitesse NIC physique, les rgles de scurit et d'association
NIC, le commutateur distribu vNetwork et le port uplink
du commutateur distribu vNetwork.
Date et heure
Configurez paramtres de temps, fuseau horaire de serveur.
Pare-feu
Activez ou dsactivez un ensemble de rgles.
Scurit
Ajoutez un utilisateur ou un groupes d'utilisateurs,

dfinissez un mot de passe racine.
Service
Configurez les paramtres pour un service.
Avanc
Modifiez les options avances.
Procdure
1
Ouvrez l'diteur de profil pour le profil que vous souhaitez modifier.
Sur le ct gauche de l'diteur de profil, droulez le sous-profil jusqu' ce que vous atteigniez la rgle que
vous voulez modifier.
Slectionnez la rgle.
Sur le ct droit de l'diteur de profil, les options et les paramtres de rgle sont affichs dans l'onglet
Dtails de configuration.
Slectionnez une option de rgle partir du menu droulant et dfinissez son paramtre.
(Facultatif) Si vous modifiez une rgle, mais souhaitez revenir l'option par dfaut, cliquez sur [Revenir]
et l'option est rinitialise.
Activer la vrification de conformit

Vous pouvez dcider de vrifier la conformirt d'une rgle de profil d'hte.
Procdure
1
Ouvrez l'diteur de profil pour un profil et naviguez la rgle que vous souhaitez activer pour la
vrification de conformit.
Sur le ct droit de l'diteur de profil, slectionnez l'onglet [Dtails conformit] .
Activez la case cocher pour la rgle.

REMARQUE Si vous dsactivez la case cocher pour que cette rgle ne soit pas examine pour assurer la
conformit, les autres rgles qui sont actives pour la vrification de conformit seront quand mme
vrifies.
VMware, Inc.
217
Gestion des profils

Aprs avoir cr un profil d'hte, vous pouvez grer le profil en attachant un profil un hte ou un cluster
particulier, puis en appliquant ce profil sur l'hte ou le cluster.
Attachement d'entits
Les htes qui ont besoin d'tre configurs sont attachs un profil.
Les profils peuvent galement tre attachs un cluster. Pour qu'ils soient conformes, tous les htes dans un
cluster attach doivent tre configurs en fonction du profil. Les htes ne sont pas automatiquement configurs
en fonction du profil de l'hte associ au cluster lorsqu'il est ajout au cluster. Lorsqu'un hte est ajout un
cluster qui est associ un profil, l'hte est automatiquement associ au profil. Si le profil n'est pas appliqu
ou configur conformment ce qui est dfini dans le profil, cela provoquera l'chec de l'tat de conformit
pour le profil lors de la prochaine vrification de conformit. Vous corrigez cette erreur en appliquant le profil
l'hte.
Vous pouvez attacher un hte ou un cluster un profil partir de :
n
Vue principale Profils d'hte
Menu contextuel de l'hte
Menu contextuel du cluster
Onglet Conformit de profil du cluster
Attacher des entits partir de la vue des profils d'hte

Avant de pouvoir appliquer le profil une entit (hte ou cluster d'htes), vous devez attacher l'entit au profil.
Vous pouvez attacher un hte ou un cluster un profil partir de la vue principale Profils d'hte.
Procdure
1
Dans la vue principale Profils d'hte, slectionnez le profil auquel vous voulez ajouter l'attachement
partir de la liste de profil.
Cliquez sur l'icne [Joindre l'hte/le cluster] .
Slectionnez l'hte ou le cluster de la liste tendue et cliquez sur [Attacher] .

L'hte ou le cluster est ajout la liste Entits Attaches.
(Facultatif) Cliquez sur [Dtacher] pour supprimer un attachement partir d'un hte ou d'un cluster.
Cliquez sur [OK] pour fermer le dialogue.
Attacher des entits partir de l'hte

Avant de pouvoir appliquer le profil un hte, vous devez attacher l'hte au profil.
Vous pouvez attacher un profil un hte partir du menu contextuel de l'hte dans la vue d'inventaire Htes
et Clusters.
218
VMware, Inc.
Procdure
1
Dans la vue Hte et clusters, slectionnez l'hte auquel vous voulez attacher un profil.
Cliquez avec le bouton droit sur l'hte et slectionnez [Profil hte] > [Grer profil] .
REMARQUE Si aucun profil d'hte n'existe dans votre inventaire, un dialogue s'affiche demandant si vous
voulez crer et attacher l'hte ce profil.
Dans le dialogue Attach Profile, slectionnez le profil attacher l'hte et cliquez sur [OK] .
Le profil d'hte est mis niveau dans l'onglet [Rsum] de l'hte.
Application des profils

Pour amener un hte l'tat dsir comme spcifi dans le profil, appliquez le profil l'hte.
Vous pouvez appliquer un profil un hte partir de :
n
Vue principale Profils d'hte
Menu contextuel de l'hte
Onglet Conformit de profil du cluster
Appliquer un profil partir de la vue des profils d'hte

Vous pouvez appliquer un profil un hte partir de la vue principale Profils d'hte.
Prrequis
L'hte doit tre en mode maintenance avant qu'un profil ne lui soit appliqu.
Procdure
1
Dans la vue principale Profils d'hte, slectionnez le profil que vous voulez appliquer l'hte.
Slectionnez l'onglet [Htes et clusters] .

La liste des htes joints est affich sous Nom d'entit.
Cliquez sur [Appliquer le profil] .

Dans l'diteur de profil, vous pourriez tre invit entrer les paramtres requis pour appliquer le profil.
Entrez les paramtres et cliquez sur [Suivant] .
Continuer jusqu' ce que tous les paramtres ncessaires soient entrs.
Le statut de conformit est mis niveau.
Appliquer un profil partir de l'hte

Vous pouvez appliquer un profil un hte partir du menu contextuel de l'hte.
Prrequis
L'hte doit tre en mode maintenance avant d'tre appliqu un profil
Procdure
1
Dans la vue Hte et clusters, slectionnez l'hte auquel vous voulez appliquer un profil.
Cliquez avec le bouton droit sur l'hte et slectionnez [Profil hte] > [Appliquer le profil] .
Dans Profile Editor, entrez les paramtres et cliquez sur [Suivant] .
VMware, Inc.
219
Continuer jusqu' ce que tous les paramtres ncessaires soient entrs.
Le statut de conformit est mis niveau.
Changer l'hte de rfrence

La configuration de l'hte de rfrence est utilise pour crer le profil d'hte..
Vous pouvez effectuer cette tche partir de la vue principale Profils d'hte ou du menu contextuel de l'hte.
Prrequis
Le profil d'hte doit dj exister.
Procdure
1
Vous pouvez effectuer cette tche soit partir de la vue principale Profils d'hte ou partir de l'hte.
u
Dans la vue principale Profils d'hte, cliquez avec le bouton droit sur le profil dont vous souhaitez
modifier l'hte de rfrence et slectionnez [Changer l'hte de rfrence] .
Dans la vue Htes et Clusters, cliquez avec le bouton droit sur l'hte duquel vous voulez mettre
niveau les rfrences et slectionnez [Grer les profils] .
Le dialogue Detach or Change Host Profile s'affiche.

2
Dterminez si vous voulez dtacher le profil partir de l'hte ou du cluster ou modifiez l'hte de rfrence
du profil.
u
Cliquez sur [Dtacher] pour supprimer l'association entre l'hte et le profil.
Cliquez sur [Modifier] pour continuer la mise niveau de l'hte de rfrence du profil.
Si vous slectionnez [Modifier] ,le dialogue Attach Profile s'affiche. L'hte actuel auquel le profil fait
rfrence est affich comme [Hte rfrence] .
3
Augmentez la liste d'inventaire et slectionnez l'hte auquel vous voulez joindre le profil.
Cliquez sur [Mise niveau] .

L' [Hte rfrence] est mis niveau.
Cliquez sur [OK] .
L'onglet Rsum du profil d'hte numre l'hte de rfrence mis niveau.
220
VMware, Inc.
Grer les profils d'un cluster

Vous pouvez crer un profil, attacher un profil ou mettre niveau des htes de rfrence partir du menu
contextuel du cluster.
Procdure
u
Dans la vue Htes et Clusters, cliquez avec le bouton droit sur un cluster et slectionnez [Profil hte] >
[Grer profil] . Selon la configuration du profil d'hte, les rsultats sont les suivants :
Etat du profil et tche
Rsultat
Si le cluster n'est pas li un profil

d'hte et qu'aucun profil n'existe
dans l'inventaire, crez un profil.
a
b
Une bote de dialogue demande si vous voulez crer un profil et le lier

au cluster.
Si vous slectionnez [Oui] , l'assistant Crer un profil s'affiche.
Si le cluster n'est pas li un profil

d'hte et qu'un ou plusieurs profils
existent dans l'inventaire, liez un
profil.
a
b
Le dialogue Joindre le profil s'ouvre.

Slectionnez le profil associer au cluster et cliquez sur [OK.]
Si le cluster est dj li un profil

d'hte, dtachez le profil ou liez le
cluster un profil diffrent.
Dans la bote de dialogue, cliquez sur [Dtacher] pour dtacher le profil du

cluster ou sur [Modifier] pour lier un profil diffrent au cluster.
Mise niveau des profils partir de l'hte de rfrence

Si la configuration de l'hte (l'hte de rfrence) partir duquel un profil a t cr change, vous pouvez mettre
le profil niveau pour que sa configuration corresponde la configuration de l'hte de rfrence.
Une fois que vous crez un profil d'hte, des mises niveau incrmentielles risquent d'tre ncessaires pour
le profil. Vous pouvez le faire par l'intermdiaire de deux mthodes :
n
Faites les modifications de configuration sur l'hte de rfrence dans vSphere Client, puis mettez le profil
de l'hte de rfrence niveau. Les paramtres du profil existant sont mis niveau pour correspondre
ceux de l'hte de rfrence.
Mettez le profil niveau via l'diteur de profil.
Alors que la mise niveau du profil partir de l'diteur de profil est plus complte et donne plus d'options,
mettre le profil niveau partir de l'hte de rfrence permet de valider la configuration avant de la diffuser
sur les d'autres htes attachs au profil.
La mise niveau du profil partir de l'hte de rfrence est effectue dans la vue principale Profils d'hte.
Procdure
u
Dans la vue principale Profils d'hte, cliquez avec le bouton droit sur le profil que vous souhaitez mettre
niveau et slectionnez [Mise niveau profil depuis Hte Rfrence] .
Vrification de la conformit
Vrifier la conformit garantit que l'hte ou le cluster continue tre configur correctement.
Aprs la configuration d'un hte ou d'un cluster avec le profil de l'hte de rfrence, un changement manuel,
par exemple, peut survenir et rendre la configuration incorrecte. Vrifier la conformit sur une base rgulire
garantit que l'hte ou le cluster continue tre configur correctement.
VMware, Inc.
221
Vrification de conformit partir de la vue des profils d'hte

Vous pouvez vrifier la conformit d'un hte ou d'un cluster sur un profil partir de la vue principale Profils
d'hte.
Procdure
1
partir de la liste Profils d'hte, slectionnez le profil que vous voulez vrifier.
Dans l'onglet [Htes et clusters] , slection l'hte ou le cluster partir de la liste sous Nom Entit.
Cliquez sur [Vrifier la conformit maintenant] .

L'tat de conformit est mis niveau en Conforme, Inconnu, ou Non conforme.
Si l'tat de conformit est non conforme, vous pouvez appliquer l'hte au profil.
Vrification de conformit partir de l'hte

Aprs avoir attach un profil un hte, excutez une vrification de conformit partit du menu contextuel
de l'hte pour vrifier la configuration.
Procdure
1
Dans la vue Hte et clusters, slectionnez l'hte sur lequel vous voulez excuter la vrification de
conformit.
Cliquez avec le bouton droit sur l'hte et slectionnez [Profil hte] > [Contrler la conformit] .
L'tat de conformit de l'hte est affich dans l'onglet [Rsum] de l'hte.
Si l'hte n'est pas conforme, vous devez appliquer le profil l'hte.
Vrification de conformit du cluster

Un cluster peut tre vrifi pour la conformit avec un profil d'hte ou dans des conditions et des paramtres
spcifiques de cluster.
Procdure
222
Dans la vue Hte et clusters, slectionnez le cluster sur lequel vous voulez excuter la vrification de
conformit.
Dans l'onglet Conformit de profil, cliquez sur [Vrifier la conformit maintenant] pour vrifier la
conformit du cluster avec la fois le profil d'hte qui est attach ce cluster et aux conditions de cluster,
si applicable.
n
Le cluster est vrifi pour assurer la conformit aux paramtres spcifiques pour des htes dans le
cluster, tel que DRS, HA, et DPM. Par exemple, il peut vrifier si vMotion est activ. L'tat de
conformit pour les conditions de cluster est mis niveau. Cette vrification est effectue mme si un
profil d'hte n'est pas attach au cluster.
Si un profil d'hte est attach au cluster, le cluster est vrifi pour assurer la conformit au profil
d'hte. L'tat de conformit pour le profil d'hte est mis niveau.
(Facultatif) Cliquez sur [Description] ct des Conditions Cluster pour une liste des conditions de
cluster spcifiques.
(Facultatif) Cliquez sur [Description] ct des Profils d'hte pour une liste de vrifications de conformit
de profil d'hte spcifiques.
VMware, Inc.
(Facultatif) Cliquez sur [Modifier] pour modifier le profil d'hte qui est attach au cluster.
(Facultatif) Cliquez sur [Supprimer] pour dtacher le profil d'hte qui est attach au cluster.
Si le cluster n'est pas conforme, le profil doit tre appliqu sparment chaque hte dans le cluster.
VMware, Inc.
223
224
VMware, Inc.
Annexes
VMware, Inc.
225
226
VMware, Inc.
Annexe : Commandes de support technique ESXi
La plupart des commandes de cette annexe sont rserves l'utilisation de support technique et incluses
uniquement pour rfrence. Toutefois, dans quelques cas, ces commandes sont le seul moyen d'excuter une
tche de configuration pour l'hte. Aussi, si vous perdez la connexion votre hte, l'excution de certaines de
ces commandes via l'interface de ligne de commande peut tre votre unique recours (par exemple, si la mise
en rseau devient non fonctionnelle et l'accs au vSphere Client n'est par consquent pas disponible).
REMARQUE Si vous utilisez les commandes dans cette annexe, vous devez excuter la commande service mgmtvmware restart pour redmarrer le processus vmware-hostd et alerter le vSphere Client et d'autres outils de
gestion que la configuration a chang. En rgle gnrale, vitez d'excuter les commandes de cette annexe si
l'hte se trouve actuellement sous la gestion du vSphere Client ou de vCenter Server.
L'interface utilisateur graphique du vSphere Client fournit les moyens prfrs d'excution de tches de
configuration dcrites dans cette section. Vous pouvez utiliser cette rubrique pour connatre les commandes
du vSphere Client utiliser la place de ces commandes. Cette section propose un rsum des actions que
vous effectuez dans vSphere Client mais ne donne pas d'instructions compltes. Pour des dtails sur
l'utilisation des commandes et l'excution de tches de configuration via le vSphere Client, consultez l'aide en
ligne.
Tableau A-1 rpertorie les commandes de support technique fournies pour ESXi, rsume la fonction de chaque
commande et propose une alternative au vSphere Client. Vous pouvez effectuer la plupart des actions du
vSphere Client listes dans le tableau seulement aprs avoir slectionn un hte ESXi partir du panneau
d'inventaire et cliqu sur l'onglet [Configuration] . Ces actions sont prliminaires toute procdure voque
ci-dessous, sauf indication contraire.
VMware, Inc.
227
Tableau A-1. Commandes de support technique ESXi

Commande
Fonction de la commande et procdure du vSphere Client
esxcfg-advcfg
Configure les options avances pour ESXi.

Pour configurer les options avances dans vSphere Client, cliquez sur [Paramtres
avancs] . Lorsque la bote de dialogue Paramtres avancs s'ouvre, utilisez la liste
gauche pour slection le type de priphrique ou l'activit que vous souhaitez utiliser,
puis entrez les paramtres appropris.
228
esxcfg-dumppart
Configure une partition de diagnostic ou recherche des partitions de diagnostic

existantes.
Lorsque vous installez ESXi, une partition de diagnostic est cre pour stocker les
informations de dbogage dans l'ventualit d'une dfaillance systme. Vous n'avez
pas besoin de crer cette partition manuellement moins que vous ne dterminiez
qu'il n'existe aucune partition de diagnostic pour l'hte.
Vous pouvez effectuer les activits de gestion suivantes pour les partitions de
diagnostic dans vSphere Client :
n Dterminer s'il existe une partition de diagnostic : cliquez sur [Stockage] >
[Ajouter stockage] et vrifiez la premire page de l'assistant [Ajouter stockage]
pour voir si elle contient l'option [Diagnostic] . Si [Diagnostic] ne fait pas partie
des options, ESXi dispose dj d'une partition de diagnostic.
n Configurer une partition de diagnostic : cliquez sur [Stockage] > [Ajouter
stockage] > [Diagnostic] et voluez travers l'assistant.
esxcfg-info
Imprimez les informations sur l'tat de VMkernel et des divers sous-systmes du

rseau virtuel et le matriel de ressources de stockage.
vSphere Client ne propose pas de mthode pour imprimer ces informations, mais
vous pouvez en obtenir au travers des diffrents onglets et fonctions dans l'interface
utilisateur. Par exemple, vous pouvez contrler le statut de vos machines virtuelles
en consultant les informations dans l'onglet [Machines virtuelles] .
esxcfg-init
Effectue des routines d'initialisation interne. Cette commande est utilise dans le
processus d'amorce et ne doit en aucun cas tre employe. Cette commande peut
causer des problmes pour ESXi.
Il n'existe pas d'quivalent pour cette commande avec le vSphere Client.
esxcfg-module
Rgle les paramtres de pilote et modifie les pilotes charger durant le dmarrage.
Cette commande est utilise dans le processus d'amorce et elle est rserve
l'assistance technique de VMware. Ne lancez pas cette commande moins d'y tre
invit par un reprsentant de l'assistance technique de VMware.
Il n'existe pas d'quivalent pour cette commande avec le vSphere Client.
esxcfg-mpath
Configure les paramtres multichemins pour vos disques iSCSI ou Fibre Channel.
Afin de configurer les paramtres multichemins pour votre stockage dans vSphere
Client, cliquez sur [Stockage] . Slectionnez une banque de donnes ou un LUN
mapp et cliquez sur [Proprits] . Lorsque la bote de dialogue [Proprits]
apparat, slectionnez l'extension souhaite, si ncessaire. Cliquez ensuite sur
[Priphrique de domaine] > [Grer les chemins] et utilisez la bote de dialogue
[Grer les chemins] pour configurer les chemins.
esxcfg-nas
Gre les montages NFS. Vous utilisez cette commande pour crer ou dmonter une
banque de donnes NFS.
Pour consulter les banque de donnes NFS dans vSphere Client, cliquez sur
[Stockage > Banque de donnes] et parcourez la liste de banque de donnes. Vous
pouvez galement effectuer les activits suivantes depuis la vue [Stockage > Banque
de donnes] :
n Afficher les attributs d'une banque de donnes NFS : cliquez sur la banque de
donnes et consultez les informations sous [Dtails] .
n Crer une banque de donnes NFS : cliquez sur [Ajouter stockage] .
n Dmonter une banque de donnes NFS : cliquez sur [Supprimer] , ou cliquez
avec le bouton droit sur la banque de donnes dmonter et slectionnez
[Dmonter] .
VMware, Inc.
Annexe : Commandes de support technique ESXi
Tableau A-1. Commandes de support technique ESXi (suite)

Commande
Fonction de la commande et procdure du vSphere Client
esxcfg-nics
Imprime la liste de adaptateurs rseau physiques ainsi que les informations sur le
pilote, le priphrique PCI et l'tat de liaison de chaque carte d'interface rseau. Vous
pouvez aussi utiliser cette commande pour contrler le duplexage et la vitesse d'un
adapteur rseau physique.
Pour afficher les informations des adaptateurs rseau physiques de l'hte dans
vSphere Client, cliquez sur [Adaptateurs rseau] .
Pour modifier la vitesse et le duplexage d'un adapteur rseau physique dans vSphere
Client, cliquez sur [Mise en rseau] > [Proprits] pour tout commutateur virtuel
associ la carte rseau physique. Dans la bote de dialogue [Proprits] , cliquez
sur [Adaptateurs rseau] > [Modifier] et slectionnez la combinaison de duplex et
de vitesse.
esxcfg-resgrp
Restaure les paramtres de groupes de ressources et permet d'effectuer une gestion

de groupes de ressources basique.
Slectionnez un pool de ressources partir du panneau d'inventaire et cliquez sur
[Modifier les paramtres] dans l'onglet [Rsum] pour modifier les paramtres de
groupes de ressources.
esxcfg-route
Rgle ou rcupre l'itinraire de la passerelle VMkernel par dfaut, et ajoute,

supprime ou liste les itinraires statiques.
Pour afficher l'itinraire de la passerelle VMkernel par dfaut dans vSphere Client,
cliquez sur [DNS et routage] . Pour modifier l'itinraire par dfaut, cliquez sur
[Proprits] et mettez les informations niveau dans les deux onglets de la bote de
dialogue [DNS et configuration de routage] .
esxcfg-swiscsi
Configure votre carte iSCSI logiciel.

Pour configurer votre systme iSCSI logiciel dans vSphere Client, cliquez sur
[Adaptateurs de stockage] , slectionnez la carte iSCSI que vous souhaitez configurer
et cliquez sur [Proprits] . Utilisez la bote de dialogue [Proprits initiateur iSCSI]
pour configurer la carte.
esxcfg-scsidevs
Imprime un adapteur des priphriques de stockage VMkernel. Il n'existe pas

d'quivalent pour cette commande avec le vSphere Client.
esxcfg-vmknic
Cre et met niveau les paramtres VMkernel TCP/IP pour vMotion, NAS et iSCSI.
Pour configurer les connexions rseau de vMotion, NFS ou iSCSI dans vSphere Client,
cliquez sur [Gestion de rseaux > Ajouter gestion rseau] . Slectionnez [VMkernel]
et voluez travers l' [Assistant Ajouter rseau] . Dfinissez le masque de sousrseau, l'adresse IP et la passerelle par dfaut VMkernel l'tape [Paramtres de
connexion] .
Pour consulter vos paramtres, cliquez sur l'icne bleu gauche du port NFS, iSCSI
ou vMotion. Pour modifier l'un de ces paramtres, cliquez sur [Proprits] pour le
commutateur. Slectionnez le port dans la liste de la bote de dialogue [Proprits]
du commutateur et cliquez sur [Modifier] pour ouvrir la bote de dialogue
[Proprits] du port et modifier ses paramtres.
esxcfg-vswitch
Cre et met niveau les paramtres rseau de la machine virtuelle.

Pour configurer les connexions d'une machine virtuelle dans vSphere Client, cliquez
sur [Gestion de rseaux > Ajouter gestion rseau] . Slectionnez [Machine virtuelle]
et voluez travers l' [Assistant Ajouter rseau] .
Pour consulter vos paramtres, cliquez sur l'icne bleu gauche du port de la machine
virtuelle. Pour modifier l'un de ces paramtres, cliquez sur [Proprits] pour le
commutateur. Slectionnez le port dans la liste de la bote de dialogue [Proprits]
du commutateur et cliquez sur [Modifier] pour ouvrir la bote de dialogue
[Proprits] du port et modifier ses paramtres.
VMware, Inc.
229
230
VMware, Inc.
Index
Symboles
* chemin le plus proche 127
A
acclration matrielle
propos 130
avantages 131
exigences 131
dsactivation 131
tat 131
accs au stockage 87
accs de gestion, ports TCP et UDP 163
accs direct 178
activation, vrifications de conformit de rgle de
profil d'hte 217
Active Directory 185, 186
adaptateurs actifs 23
adaptateurs de stockage
affichage 89
consulter dans vSphere Client 88
copier des noms 89
Fibre Channel 94
adaptateurs en veille 23
adaptateurs iSCSI
logiciel 95
matriel 95
adaptateurs iSCSI matriels
dpendant 95
indpendant 95
ajouter un commutateur distribu
vNetwork 35
gestion 35
suppression 35
Adaptateurs rseau VMkernel, ajout 20, 36
adresse IP 29
adresse MAC
configuration 62, 63
gnration 63
statique 63
adresses de dcouverte dynamique 102
adresses de dcouverte statique 102
adresses IP 83
adresses MAC 56, 57
VMware, Inc.
ajout
groupes dvPort 31
stockage NFS 112
ajout d'un adapteur rseau VMkernel 20
Ajouter des utilisateurs dans des groupes 185
alias iSCSI 83
Architecture de stockage enfichable 122
Association de cartes rseau, dfinition 13
associations de scurit
ajout 170
disponible 171
liste 171
suppression 171
astrisque chemin le plus proche 127
attaques
802.1Q et balisage ISL 167
double encapsulation 167
force brute multidiffusion 167
l'arbre recouvrant 167
saturation MAC 167
trame alatoire 167
attaques 802.1Q et de balisage ISL 167
attaques double encapsulation 167
attaques trame alatoire 167
attaques de force brute multidiffusion 167
attributions de liaison montante 30
authentification
groupes 179
stockage iSCSI 174
utilisateurs 177, 178
vSphere Client pour ESXi 177
authentification CHAP 103, 174, 175
authentification daemon 177
authentification SAN iSCSI, dsactivation 175
autorisations
administrateur du vCenter Server 180
et privilges 180
prsentation 180
profils d'hte 187
utilisateur 180, 181
utilisateur racine 180
vpxuser 180
autorisations de l'utilisateur
dcui 181
vpxuser 181
231
B
baies de disques
actives/actives 128
actives/passives 128
baies de disques actives/actives 128
baies de disques actives/passives 128
baies de disques passives 128
bande passante
maximale 58, 59
moyenne 58, 59
bande passante maximale 5861
bande passante moyenne 58, 60, 61
banques de donnes
administration des duplications 119
affichage 91
ajout des domaines 118
augmentation de capacit 118
chemins 128
configuration sur des volumes NFS 112
consulter les proprits 92
cration sur un disque SCSI 110
dmontage 117
gestion 115
montage 120
NFS 84
actualisation 109
regroupesment 116
renommer 116
sur-abonnement du stockage 134
VMFS 84
banques de donnes NFS
dmontage 117
rfrentiels 112
banques de donnes VMFS
ajout des domaines 118
augmentation de capacit 118
configuration 110
cration 85
dmontage 117
modification des proprits 117
modifier des signatures 121
partage 86
resignature de copies 121
suppression 116
basculement 44, 45, 122
basculement de chemin, bas sur hte 125
blocage des ports, groupes dvPort 61
C
carte, virtuel 37
carte virtuelle, VMkernel 38
carte VMkernel 38
232
cartes de liaison montante

ajout 23
vNetwork 35
duplex 22
gestion 35
suppression 35
vitesse 22
cartes rseau
affichage 15, 30
vDS 35, 36
cartes rseau virtuelles, suppression 38
CDP 23, 24
certification, scurit 154
certificats
contrle 188
emplacement 187
fichier de certificat 187
fichier principal 187
gnrer nouveau 188
mettre hors tension SSL pour SDK de
vSphere 191
par dfaut 187
SSL 187
tlchargement 189
vCenter Server 187
certificats par dfaut, remplacer par des certificats
signs par une CA 189
certificats signs par une CA 189
changer les services proxy de l'hte 193
CHAP
dsactivation 106
mutuel 103
pour des initiateurs iSCSI 104
pour les cibles de dcouverte 105
pour les cibles statiques 105
unilatral 103
CHAP mutuel 103
CHAP unilatral 103
chemin prfr 127
chemins
dsactivation 130
prfrs 127
chemins de basculement, tat 127
chiffrement
activer et mettre hors tension SSL 187
certificats 187
pour le nom d'utilisateur, les mots de passe, les
paquets 187
cibles 81
CIM et ports de pare-feu 162
classes de caractres, mots de passe 179
cls, tlchargement 189
clusters, gestion des profils partir de 221
VMware, Inc.
Index
commandes esxcfg 227

commandes shell de dpannage 227
commutateur, vNetwork 37
ajouter un hte 28
carte rseau virtuelle 37
carte VMkernel 38
nouveau 27
tiers 26
Trames jumbo 65
commutateur standard vNetwork
affichage 15
configuration 22
configuration des ports 22
mise en forme du trafic 59
scurit de la couche 2 54
utilisation 17
Commutateur virtuel 26
commutateurs Cisco 23
commutateurs distribus vNetwork
adresse IP 29
ajout d'un adapteur rseau VMkernel 36
ajouter des htes 28
cartes rseau virtuelles 36
configuration 27
informations de contact admin 29
machines virtuelles 39
migration de machines virtuelles 39
mise niveau 30
MTU maximal 29
nom 29
nombre maximum de ports 29
paramtres 29
Protocole dcouverte Cisco 29
rgles diverses 62
commutateurs physiques, dpannage 75
commutateurs virtuels
attaques l'arbre recouvrant 167
attaques 802.1Q et de balisage ISL 167
attaques double encapsulation 167
attaques trame alatoire 167
attaques de force brute multidiffusion 167
et iSCSI 175
mode promiscuit 168
Modifications d'adresse MAC 168
saturation MAC 167
scnarios de dploiement 197
scurit 167
Transmissions forges 168
configuration
dcouverte dynamique 102
dcouverte statique 103
VMware, Inc.
RDM 143
stockage SCSI 110
connexion racine, autorisations 180
console directe, accs 182
copier et coller
activation pour les systmes d'exploitation
invits 205
systmes d'exploitation client 204
copies de banque de donnes, montage 120
couche de virtualisation, scurit 148
cration, profils d'hte 214, 215
D
dcui 181
dconnexion d'un priphrique, interdiction 205
dcouverte
adresse 102
dynamique 102
statique 103
dcouverte dynamique, configuration 102
dcouverte statique, configuration 103
dlais d'attente, SSL 190
dlestage de segmentation TCP 64
dpannage
groupes de ports 75
rseau 69, 75
dplacement de port actif, groupes dvPort 32
dploiements des fins de scurit
dploiement limit clients multiples 198
dploiement ouvert clients multiples 197,
199
dsactivation
authentification SAN iSCSI 175
journalisation pour les systmes d'exploitation
invits 207, 209
SSL pour SDK de vSphere 191
taille variable d'informations 207
dsactivation de chemins d'accs 130
dtection de basculement de rseau 45, 47, 49,
51
disques, format 133, 134
disques allous dynamiquement, cration 133
disques virtuels, formats 132
DMZ 152
DNS 62
dvPorts
bloqus 61
contrle 32
dtection de basculement de rseau 51
quilibrage de charge 51
tats 32
notifier les commutateurs 51
ordre de basculement 51
233
ports bloqus 62
proprits 33
rgles d'association et de basculement 51
rgles de formation du trafic 61
rgles de port 62
rgles de VLAN 53
retour arrire 51
dvUplink 27
E
empreintes, htes 188
quilibrage de charge 44, 45, 47, 49, 51
espace de stockage 132
ESXi, rfrence de commande 227
tat actuel du multivoie 128
tat du multivoie 128
tats, dvPorts 32
exportation
groupes d'hte 183
profils d'hte 215
utilisateurs d'hte 183
extensions
agrandissement 118
ajouter la banque de donnes 118
F
Fibre Channel 80
fichiers de journalisation
limitation de la taille 208
limitation du nombre 208
filtres de stockage
dsactivation 134
hte identique et transports 135
RDM 135
ranalyse de l'hte 135
VMFS 135
format de nom de port, groupes dvPort 32
formats de disque
approvisionn pais 132
approvisionn lger 132
NFS 111
FTP et ports de pare-feu 162
G
gnrer des certificats 188
gestion d'utilisateurs 177
gestion des chemins 122
groupes
propos 182
afficher des listes de groupes 183
ajouter des htes 185
ajouter des utilisateurs 185
authentification 179
234
autorisations et rles 178

exporter une liste de groupes 183
modification sur des htes 185
supprimer de l'hte 184
groupes de ports
dfinition 13
dpannage 75
retour arrire 47
utilisation 18
groupes de ports liaison prcoce 31
groupes de ports liaison tardive 31
groupes de ports de stockage IP, cration 20,
36
groupes dvPort
ajout 31
blocage des ports 61
dplacement de port actif 32
description 31
format de nom de port 32
liaison sur l'hte 32
nom 31
nombre de ports 31
paramtres de remplacement 32
rgles d'association et de basculement 49
rgles de formation du trafic 60
rinitialisation de la config la
dconnexion 32
retour arrire 49
type de groupes de ports 31
H
hte, rfrence 220
hte de rfrence 220
htes
vNetwork 28
ajouter des groupes 185
ajouter des utilisateurs 183
dploiements et scurit 197
empreintes 188
mmoire 206
HTTPS PUT, charger des certificats et cls 189
VMware, Inc.
Index
I
ID VLAN
primaire 33
secondaire 33
IDE 80
importation du profil d'hte 216
initiateurs iSCSI
configurer les paramtres avancs 108
configurer les paramtres CHAP 103
configurer CHAP 104
matriel 96
paramtres avancs 107
initiateurs iSCSI logiciels
activation 98
configuration 98
configurer des adresses de dcouverte 102
initiateurs iSCSI matriels
affichage 97
changement de nom iSCSI 97
configuration 96
configurer des adresses de dcouverte 102
configuration des paramtres de nommage 97
installation 97
interfaces vMotion, cration 20, 36
IPsec, , voir Scurit du protocole Internet
(IPsec)
IPv4 43
IPv6 43, 44
iSCSI
adaptateurs iSCSI QLogic 173
avec NIC multiples 72
client logiciel et ports de pare-feu 162
protection des donnes transmises 175
rseau 20, 44
scurisation des ports 175
scurit 173
iSCSI HBA, alias 97
iSCSI matriel, et basculement 125
isolation
commutateurs virtuels 151
couche rseau virtuelle 151
VLAN 151
J
jonction VLAN 31, 53
journalisation, dsactivation pour les systmes
d'exploitation invits 207, 209
L
LAN virtuel 44
liaison de port 71, 101, 125
VMware, Inc.
liaison sur l'hte, groupes dvPort 32

liaisons montantes actives 45, 47, 49, 51
liaisons montantes de rserve 45, 47, 49, 51
limites et garanties des ressources, scurit 149
localadmin 182
logiciel anti-virus, installation 204
logiciel iSCSI
et basculement 125
partition de diagnostic 113
rseau 71
LUN
cration et nouvelle analyse 109
modifications et ranalyse 109
dfinir la rgle de multivoie 128
rgle de multivoie 128
M
machines virtuelles
activation des oprations copier et coller 205
avec RDM 143
copier et coller 204
dsactivation de la journalisation 207, 209
interdiction de dconnecter un
priphrique 205
isolation 151, 152
limitation de la taille variable
d'informations 207
migration depuis ou vers un commutateur
distribu vNetwork 39
recommandations de scurit 204
rseau 39
rservations et limites applicables aux
ressources 149
scurit 149
mappage de priphrique brut, voir RDM 137
mappages de partitions 140
matriel iSCSI dpendant
afficher les adaptateurs 100
considrations 99
et cartes rseau associes 100
matriel ISCSI dpendant, workflow de
configuration 99
meilleures pratiques
rseau 69
scurit 197
meilleures pratiques de mise en rseau 69
mtadonnes, RDM 141
mthodes d'authentification CHAP 103
mise niveau
commutateur distribu vNetwork 30
vDS 30
mise en forme du trafic
groupes de ports 59
vSwitch 59
235
mise en forme du trafic entrant 60, 61

mise en forme du trafic sortant 60, 61
mise en rseau d'hte, affichage 15
mise en rseau de machines virtuelles 14, 18,
19
mise en rseau VMkernel 14
mode promiscuit 56, 57, 168, 170
mode verrouillage
activation 201
comportement 200
configurations 202
Interface utilisateur de la console directe 201
vSphere Client 201
modes de compatibilit
physique 141
virtuel 141
modification
profils d'hte 216
rgles de profil d'hte 216
modification de groupes sur des htes 185
Modifications d'adresse MAC 168, 169
montage de banques de donnes VMFS 120
mots de passe
classes de caractres 179
exigences 179
MPP, , voir plug-ins multichemin
MTU 6466
MTU maximal 29
multichemin
activation pour iSCSI logiciel 101
afficher l'tat actuel du 127
chemins actifs 127
chamins casss 127
chemins dsactivs 127
chemins inactifs 127
N
NAS, montage 70
NAT 43
native Multipathing Plug-In 122
Native Multipathing Plug-In 123
netqueue, activation 66
NetQueue, dsactivation 67
NFS
ports de pare-feu 162
rseau 20
NIC
vNetwork 35
mappage vers des ports 73
suppression d'un commutateur distribu
vNetwork 35
NIS et ports de pare-feu 162
236
niveaux de journalisation, systmes d'exploitation

client 208
NMP
flux d'E/S 124
rclamation de chemin 127
Voir aussi native Multipathing Plug-In
Voir aussi Native Multipathing Plug-In
nom de l'hte, configuration 185
nombre maximum de ports 29
noms des ports de liaison montante 29
noms iSCSI 83
notifier les commutateurs 45, 47, 49, 51
NTP 185
O
ordre de basculement 45, 47, 49, 51
P
panne de chemin 125
paramtres de pool de ressources, vDS 40
paramtres de remplacement, groupes
dvPort 32
partition de diagnostic, configuration 113
Path Selection Plug-Ins 124
PCI 67
priphrique de relais, ajouter une machine
virtuelle 68
priphriques de stockage
affichage 89
affichage pour un adaptateur 90
affichage pour un hte 90
chemins 128
identificateurs 83, 91
noms 83
noms d'excution 83
priphriques de traitement par blocs 140
priphriques matriels, suppression 205
priphriques RAID 140
phrase de passe 179
plug-ins multichemin, rclamation de
chemin 127
point de dfaillance unique 93
politique de support logiciel tiers 154
pools de ressources, rseaux 40
ports bloqus, dvPorts 62
ports de commutateur virtuel, scurit 168
ports de pare-feu
chiffrement 187
configuration avec vCenter Server 158
configuration sans vCenter Server 160
connexion la console de machine
virtuelle 161
connexion vCenter Server 161
connexion directe de vSphere Client 160
VMware, Inc.
Index
gestion 162
hte hte 162
ouverture avec vSphere Client 162
prsentation 157
SDK et console de la machine virtuelle 161
services pris en charge 162
vSphere Client et console de machine
virtuelle 161
vSphere Client et vCenter Server 158
ports de pare-feu hte hte 162
ports TCP 163
ports UDP 163
ports VMkernel 73
privilges et autorisations 180
profil d'hte, attachement d'entits 218
profils, gestion 221
profils d'hte
accs 214
activation des vrifications de conformit de
rgle 217
application des profils 219
appliquer des autorisations 187
attachement des entits partir de l'hte 218
attachement des entits partir de la vue Profil
d'hte 218
cration 214
cration partir de l'hte 215
cration partir de la vue du profil d'hte 214
exportation 215
gestion des profils 218
importation des profils 216
mise niveau de l'hte de rfrence 221
modification d'une rgle 216
modification des profils 216
utilisation modle 213
vrification de la conformit 221, 222
proprits, dvPorts 33
Protocole dcouverte Cisco 24, 29
Protocole Internet 44
PSA, , voir Architecture de stockage enfichable
PSP, , voir Path Selection Plug-Ins
PSP de VMware, , voir Path Selection Plug-Ins
R
RDM
avec mise en cluster 142
avantages 138
cration 143
et fichiers de disque virtuel 142
et formats VMFS 140
et snapshots 140
gestion des chemins 144
VMware, Inc.
mode de compatibilit virtuelle 141

mode de compatibilit physique 141
prsentation 137
rsolution dynamique de nom 141
re-signature d'un volume 119, 121
re-signature d'un volume VMFS 119
ranalyser
cration de LUN 109
lorsque le chemin est hors service 109
masquage de chemin 109
ranalyser l'chec de chemin 109
rclamation de chemin 127
rfrence de commande pour ESXi 227
rgle de chemin d'accs Fixe 124, 128
rgle de chemin d'accs Most Recently Used 124,
128
rgle de chemin d'accs MRU 128
rgle de chemin d'accs Round Robin 124, 128
rgle de multivoie 128
rgle de VLAN 53
rgles, scurit 172
rgles d'association
dvPorts 51
groupes de ports 47
groupes dvPort 49
vSwitch 45
rgles de basculement
dvPorts 51
groupes de ports 47
groupes dvPort 49
vSwitch 45
rgles de chemin d'accs
Fixe 124, 128
modification des valeurs par dfaut 130
Most Recently Used 124, 128
MRU 128
Round Robin 124, 128
rgles de formation du trafic
dvPorts 61
groupes dvPort 60
rgles de rclamation 127
rgles de scurit
cration 172
disponible 173
dvPorts 56, 57
liste 173
suppression 173
rgles de VLAN
dvPorts 53
groupes dvPort 53
rinitialisation de la config la dconnexion,
groupes dvPort 32
237
remplacer, certificats par dfaut 189

rseau
avance 43
dpannage 69, 75
introduction 13
meilleures pratiques 69
performances 66
rgles de scurit 56, 57
rseau iSCSI, crer un port VMkernel 72
rseau virtuel, scurit 164
rseaux
dvPorts 32
paramtres de ressources 40
pools de ressources 40
scurit 164
retour arrire 45, 47, 49, 51
rle Administrateur 181, 182
rle aucun accs 181
rle Aucun Accs 181
rle Lecture seule 181, 182
rles
Administrateur 181
Aucun accs 181
et autorisations 181
Lecture seule 181
par dfaut 181
profils d'hte 187
scurit 181
rles d'utilisateur
Administrateur 182
aucun accs 181
Lecture seule 182
routage 62
S
SAN Fibre Channel, WWN 82
SAS 80
SATA 80
SATP, , voir Storage Array Type Plug-Ins
SATP de VMware, , voir Storage Array Type PlugIns
saturation MAC 167
SDK, ports du pare-feu et console de machine
virtuelle 161
scurit
architecture 147
autorisations 180
certification 154
couche de virtualisation 148
couche rseau virtuelle 151
DMZ sur un hte 151, 152
ESXi 147, 157
fonctions 147
238
garanties et limites des ressources 149

machines virtuelles avec VLAN 164
meilleures pratiques 197
politique VMware 154
ports de commutateur virtuel 168
prsentation 147
recommandations pour machines
virtuelles 204
scnarios 197
stockage iSCSI 173
VLAN hopping 166
VMkernel 148
vmware-hostd 177
scurit du commutateur virtuel 166
Scurit du protocole Internet (IPsec) 170
scurit du VLAN 166
couche rseau virtuelle et scurit 151
service d'annuaire
Active Directory 185
configuration d'un hte 185
services de dpannage
configuration 202
Interface utilisateur de la console directe 203
vSphere Client 202
services proxy
chiffrement 187
modification 193
services TSM (Tech Support Mode)
activation 202, 203
dfinition du dlai d'expiration 202, 203
setinfo 206
SMB et ports de pare-feu 162
SNMP et ports de pare-feu 162
SPOF 93
SSH, ports de pare-feu 162
SSL
activer et mettre hors tension 187
chiffrement et certificats 187
dlais d'attente 190
stockage
accs pour les machines virtuelles 87
adaptateurs 81
allocation 132
configuration 93
en rseau 80
Fibre Channel 94
fonctions vSphere pris en charge 87
gestion 115
introduction 79
iSCSI 94
local 80
VMware, Inc.
Index
NFS 111
non partag 133
prsentation 79
provisionn 133
SAN 94
SCSI local 93
scurisation avec VLAN et commutateurs
virtuels 166
types 80
utilis par les machines virtuelles 133
stockage Fibre Channel, prsentation 94
Stockage iSCSI
initiateurs 94
logiciel 94
matriel 94
stockage NFS
ajout 112
prsentation 111
stockage SCSI local, prsentation 93
Storage Array Type Plug-Ins 123
support pdagogique 7
support technique 7
Supprimer des utilisateurs de groupes 185
systmes d'exploitation client
activation des oprations copier et coller 205
copier et coller 204
dsactivation de la journalisation 207, 209
limitation de la taille variable
d'informations 207
niveaux de journalisation 208
systmes de fichiers, mise niveau 119
T
taille de rafale 5861
taille variable d'informations des systmes
d'exploitation invits
dsactivation 207
limitation 207
TCP/IP 20
TPM (Trusted Platform Module) 148
traduction d'adresse rseau 43
trames jumbo
activation 65
machines virtuelles 64, 65
Trames jumbo 65, 66
Transmissions forges 56, 57, 168, 169
TSO 64
type de VLAN 53
U
USB 80
utilisateur dlgu 111
VMware, Inc.
utilisateurs
propos 182
accs direct 178
afficher une liste d'utilisateurs 183
ajouter des groupes 185
ajouter des htes 183
autorisations et rles 178
du domaine Windows 178
exporter une liste d'utilisateurs 183
modification sur des htes 184
scurit 178
supprimer de l'hte 184
Supprimer des groupes 185
vCenter Server 178
utilisateurs de vCenter Server 178
V
vCenter Server
autorisations 180
connexion via un pare-feu 161
ports de pare-feu 158
vDS
ajouter un hte 28
carte rseau virtuelle 37
cartes rseau virtuelles 36
configuration 27
grer les htes 28
mise niveau 30
nom 29
paramtres 29
paramtres de pool de ressources 40
Trames jumbo 65
vrifications de conformit, profils d'hte 217
VLAN
configuration de scurit 166
dfinition 13
et iSCSI 175
priv 33
scnarios de dploiement 197
scurit 164, 166
VLAN hopping 166
VLAN priv
crer 33
primaire 34
secondaire 34
suppression 34
VMFS
partage 197
re-signature d'un volume 119
239
VMkernel
configuration 19
dfinition 13
rseau 20
scurit 148
Trames jumbo 66
vMotion
configuration rseau 19
dfinition 13
rseau 20
scurisation avec VLAN et commutateurs
virtuels 166
VMware NMP
flux d'E/S 124
Voir aussi native Multipathing Plug-In
Voir aussi Native Multipathing Plug-In
vmware-hostd 177
vmxnet amlior 64, 65
vpxuser 181
vSphere CLI 101
vSphere Client
ports de pare-feu avec vCenter Server 158
ports de pare-feu pour connexion directe 160
ports du pare-feu se connectant la console de
la machine virtuelle 161
240
vSwitch
affichage 15
configuration 22
dfinition 13
proprits 22
rgles d'association et de basculement 45, 47
retour arrire 45
utilisation 17
W
WWN 82
VMware, Inc.

VMware ESXi Configuration Guide PG FR PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

VMware ESXi Configuration Guide PG FR PDF

Transféré par

Droits d'auteur :

Formats disponibles

Guide de configuration ESXi

Ce document prend en charge la version de chacun des produits

Guide de configuration ESXi

Table des matires

1 Prsentation de la configuration ESXi 9

Prsentation des concepts de mise en rseau 13

3 Gestion de rseau de base avec les commutateurs standard vNetwork 17

4 Mise en rseau basique avec des commutateurs distribus vNetwork 25

Architecture de commutation distribue vNetwork 26

5 Mise en rseau avance 43

Protocole Internet Version 6 43

Guide de configuration ESXi

6 Meilleures pratiques, scnarios et dpannage du rseau 69

Meilleures pratiques de mise en rseau 69

propos du stockage ESXi 79

8 Configurer le stockage ESXi 93

Stockage SCSI local 93

9 Gestion du stockage 115

Gestion des banques de donnes 115

10 Mappage de priphrique brut 137

propos du mappage de priphrique brut 137

Architecture ESXi et fonctions de scurit 147

Table des matires

12 Scurisation d'une configuration ESXi 157

Scurisation du rseau avec des pare-feu 157

13 Authentification et gestion d'utilisateurs 177

Scuriser ESXi via l'authentification et les autorisations 177

14 Meilleures pratiques en matire de scurit et scnarios de scurit 197

Modle d'utilisation des profils d'hte 213

Guide de configuration ESXi

Glossaire de VMware Technical Publications

Commentaires sur les documents

Documentation de vSphere de VMware

Abrviations utilises dans les figures

Base de donnes vCenter Server

Stockage pour l'hte gr

Guide de configuration ESXi

Tableau 1. Abrviations (suite)

Disque de stockage pour l'hte gr

Htes grs par vCenter Server

Banque de donnes de type SAN (Storage Area Network)

Utilisateur avec autorisations d'accs

Machines virtuelles sur un hte gr

Ressources de support technique et de formation

Pour soumettre des demandes d'ordre technique l'assistance en ligne,

Les cours VMware Education Services proposent de nombreux exercices

Prsentation de la configuration ESXi

Guide de configuration ESXi

Guide de configuration ESXi

Introduction la mise en rseau

Prsentation des concepts de mise en rseau , page 13

Services de rseau , page 14

Afficher les informations de mise en rseau dans vSphere Client , page 15

Afficher les informations de carte rseau dans vSphere Client , page 15

Prsentation des concepts de mise en rseau

Guide de configuration ESXi

Connecter des machines virtuelles au rseau physique et entre elles.

Chapitre 2 Introduction la mise en rseau

Afficher les informations de mise en rseau dans vSphere Client

Cliquez sur l'onglet [Configuration] et cliquez sur [Mise en rseau] .

(Facultatif) Choisissez le type de mise en rseau que vous souhaitez voir.

Affiche la mise en rseau des commutateurs standard vNetwork sur l'hte.

commutateur distribu vNetwork