Académique Documents
Professionnel Documents
Culture Documents
VMware ESXi Configuration Guide PG FR PDF
VMware ESXi Configuration Guide PG FR PDF
ESXi 4.1
vCenter Serveur 4.1
FR-000327-00
Vous trouverez la documentation technique la plus rcente sur le site Web de VMware l'adresse :
http://www.vmware.com/fr/support/pubs/
Le site Web de VMware propose galement les dernires mises jour des produits.
Nhsitez pas nous transmettre tous vos commentaires concernant cette documentation ladresse suivante :
docfeedback@vmware.com
Copyright 2009, 2010 VMware, Inc. Tous droits rservs. Ce produit est protg par les lois amricaines et internationales
relatives au copyright et la proprit intellectuelle. Les produits VMware sont protgs par un ou plusieurs brevets rpertoris
l'adresse http://www.vmware.com/go/patents-fr.
VMware est une marque dpose ou une marque de VMware, Inc. aux tats-Unis et/ou dans d'autres juridictions. Toutes les
autres marques et noms mentionns sont des marques dposes par leurs propritaires respectifs.
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
VMware, Inc.
100-101 Quartier Boieldieu
92042 Paris La Dfense
France
www.vmware.com/fr
VMware, Inc.
propos de ce guide 7
Mise en rseau
2 Introduction la mise en rseau 13
VMware, Inc.
Stockage
7 Introduction au stockage 79
81
Scurit
11 Scurit pour systmes ESXi 147
VMware, Inc.
Profils d'hte
15 Gestion des profils d'hte 213
Annexes
Annexe : Commandes de support technique ESXi 227
Index 231
VMware, Inc.
VMware, Inc.
propos de ce guide
Le prsent manuel, intitul Guide de configurationESXi, contient des informations sur la configuration rseau de
VMware ESXi, et y compris les mthodes de cration de commutateurs et de ports virtuels et les mthodes
de configuration rseau des machines virtuelles, VMware vMotion et le stockage IP. Il dcrit galement la
configuration du systme de fichiers et de diffrents types de stockage (iSCSI et Fibre Channel, notamment).
Il prsente les fonctions de scurit que contient ESXi et les mesures que vous pouvez prendre pour protger
ESXi contre les attaques. Il inclut galement la liste des commandes de support technique ESXi, accompagnes
de leurs quivalents VMware vSphere Client et d'une description de l'utilitaire vmkfstools.
Ces informations concernent ESXi 4.1.
Public cible
Ce manuel s'adresse toute personne devant installer, mettre niveau ou utiliser ESXi. Les informations qu'il
contient sont destines aux administrateurs systme Windows ou Linux, familiariss avec la technologie des
machines virtuelles et avec les oprations de centres de donnes.
Description
base de donnes
banque de donnes
VMware, Inc.
Description
dsk#
hostn
SAN
tmplt
Modle
user#
VC
vCenter Server
VM#
Offres de support
Pour en savoir plus sur la faon dont les offres d'assistance VMware peuvent
satisfaire les besoins de votre entreprise, rendez-vous sur
http://www.vmware.com/support/services.
VMware Professional
Services
VMware, Inc.
Ce manuel dcrit les tches excuter pour configurer le rseau hte, le stockage et la scurit ESXi. Par ailleurs,
il contient des descriptions et des recommandations qui vous aideront bien comprendre ces tches et la
mthode de dploiement d'un hte rpondant vos besoins.
Avant d'utiliser ces informations, lisez la section de prsentation de vSphere pour obtenir la description de
l'architecture systme et des priphriques (physiques et virtuels) qui composent les systmes vSphere.
Cette introduction rsume le contenu du prsent manuel.
Mise en rseau
Les informations rseau permettent de comprendre les concepts lis aux rseaux physiques et virtuels, les
tches de base excuter pour configurer les connexions rseau de votre hte ESXi, ainsi que les concepts et
les tches lis aux rseaux avancs.
Stockage
Les informations sur le stockage permettent de bien comprendre les notions de base lies au stockage et les
tches de base excuter pour configurer et grer le stockage de votre hte ESXi. Elles dcrivent galement la
mthode de mappage de priphrique brut (RDM).
Scurit
Les informations sur la scurit dcrivent les mesures de scurit VMware contenues dans ESXi, ainsi que les
mesures de protection de votre hte contre les menaces de scurit qui psent sur lui. Ces mesures incluent
l'installation d'un pare-feu, l'utilisation des fonctions de scurit des commutateurs virtuels, ou encore la
configuration d'authentifications ou d'autorisations utilisateur.
Profils d'hte
Cette section dcrit la fonction de profils hte et son utilisation pour encapsuler la configuration d'un hte dans
son profil. Cette section dcrit galement la mthode d'application de ce profil hte un autre hte ou cluster,
ainsi que la mthode de modification de profil et de vrification de la conformit d'un hte un profil donn.
VMware, Inc.
10
VMware, Inc.
Mise en rseau
VMware, Inc.
11
12
VMware, Inc.
Les concepts de base de la mise en rseau ESXi et la faon d'installer et de configurer un rseau dans un
environnement vSphere sont ici prsents.
Ce chapitre aborde les rubriques suivantes :
n
VMware, Inc.
13
Un commutateur distribu vNetwork agit en tant que vSwitch unique sur tous les htes associs sur un centre
de donnes. Ceci permet des machines virtuelles de conserver une configuration rseau cohrente pendant
qu'elles migrent sur plusieurs htes.
Un groupes de ports spcifie les options de configuration de ports, telles que les restrictions de bande passante
et les stratgies de balisage VLAN pour chaque port membre. Les services de rseau se connectent aux vSwitch
via des groupes de port. Les groupes de ports dfinissent la manire dont s'tablit une connexion un rseau
via le vSwitch. Gnralement, un vSwitch unique est associ un ou plusieurs groupes de ports.
Un groupes dvPort est un groupes de ports associ un commutateur distribu vNetwork et spcifie les options
de configuration de ports pour chaque port membre. Les groupes dvPort dfinissent la manire dont s'tablit
une connexion un rseau via le commutateur distribu vNetwork.
L'association NIC se produit lorsque plusieurs cartes de liaison montante sont associes un vSwitch unique.
Une association peut partager la charge de trafic entre des rseaux physiques et virtuels parmi certains ou tous
ses membres, ou fournir un basculement passif dans l'ventualit d'une dfaillance matrielle ou d'une
indisponibilit du rseau.
Les VLAN permettent un segment LAN physique unique d'tre davantage segment de sorte que des groupes
de ports soient isols les uns des autres comme s'ils se trouvaient sur des segments physiquement diffrents.
La norme est 802.1Q.
La pile rseau TCP/IP de VMkernel prend en charge iSCSI, NFS et vMotion. Les machines virtuelles excutent
leurs propres piles de systme TCP/IP et se connectent au VMkernel au niveau de l'Ethernet via des
commutateurs virtuels.
Le stockage IP se rfre toute forme de stockage utilisant la communication de rseau TCP/IP comme sa
fondation. iSCSI peut tre utilis comme banque de donnes de machine virtuelle, et NFS peut tre employ
comme banque de donnes de machine virtuelle ainsi que pour le montage direct de fichiers .ISO, prsents
comme CD-ROM aux machines virtuelles.
Le dlestage de segmentation TCP, ou TSO, permet une pile TCP/IP d'mettre de trs grandes trames (jusqu'
64 Ko) mme si l'unit de transmission maximale (MTU) de l'interface est plus petite. La carte rseau spare
alors la grande trame en trames adaptes la taille MTU, et ajoute une copie ajuste des en-ttes initiaux TCP/
IP.
La migration avec vMotion permet une machine virtuelle sous tension d'tre transfre depuis un hte ESXi
vers un autre sans arrter la machine virtuelle. La fonctionnalit facultative vMotion requiert une cl de licence.
Services de rseau
Un vNetwork propose plusieurs services diffrents l'hte et aux machines virtuelles.
Vous pouvez activer trois types de service de rseau dans ESXi :
14
Connecter des services VMkernel (tels que NFS, iSCSI ou vMotion) au rseau physique.
VMware, Inc.
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Description
Commutateur virtuel
L'option [Commutateur distribu vNetwork] apparat uniquement sur des htes connects un ou
plusieurs commutateurs distribus vNetwork.
Les informations de mise en rseau sont affiches pour chaque commutateur virtuel sur l'hte.
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Description
[Priphrique]
[Vitesse]
[Configur]
[Commutateur]
[Plages IP observes]
VMware, Inc.
15
16
VMware, Inc.
Les commutateurs standard vNetwork (vSwitches) grent le trafic rseau au niveau de l'hte dans un
environnement vSphere.
Utilisez vSphere Client pour ajouter un rseau reposant sur les catgories qui refltent les types de services
rseau :
n
Machines virtuelles
VMkernel
VMware, Inc.
17
groupes de ports
Les groupes de ports regroupesnt plusieurs ports sous une configuration commune et fournissent un point
d'ancrage stable pour les machines virtuelles qui se connectent des rseaux tiquets.
Figure 3-1. Rseau de commutateurs standard vNetwork
VM
VM
VM
VM
VM
Rseau
C
port
groupes
vSwitch
vSwitch
machine
Hte1
Hte2
Hte1
Hte2 physique
adaptateurs rseau physiques
rseau physique
Chaque groupes de ports est identifi par une tiquette de rseau, unique l'hte actuel. Les tiquettes rseau
sont utilises pour rendre compatible la configuration des machines virtuelles sur les htes. Tous les groupes
de ports dans le centre de donnes qui sont physiquement connects au mme rseau (dans le sens que chacun
peut recevoir des diffusions des autres) reoivent le mme nom. Au contraire, si deux groupes de ports ne
peuvent pas recevoir des diffusions l'un de l'autre, ils ont des tiquettes distinctes.
L'ID de VLAN est facultatif. Elle permet de limiter le trafic du groupes de ports un segment Ethernet logique
dans le rseau physique. Afin que chaque groupes de ports atteigne des groupes de ports situs sur d'autres
VLAN, l'ID de VLAN doit tre dfini sur 4 095. Si vous utilisez des ID de VLAN, vous devez modifier les
tiquettes de groupes et les ID de VLAN en mme temps afin que les tiquettes reprsentent correctement la
connectivit.
18
VMware, Inc.
Les machines virtuelles atteignent les rseaux physiques via des adaptateurs de liaison montante. Un vSwitch
peut transfrer des donnes vers des rseaux externes uniquement quand une ou plusieurs cartes rseau lui
sont attaches. Quand deux cartes ou plus sont attaches un seul vSwitch, elles sont associes de manire
transparente.
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Acceptez le type de connexion par dfaut, [Machines virtuelles] , puis cliquez sur [Suivant] .
Slectionnez [Crer un commutateur virtuel] ou l'un des vSwitch existants figurant dans liste et les
adaptateurs physiques associs utiliser pour ce groupes de ports.
Vous pouvez crer un nouveau vSwitch avec ou sans adaptateur Ethernet.
Si vous crez un vSwitch sans adaptateur rseau physique, tout le trafic sur ce vSwitch est confin sur
celui-ci. Aucun autre hte sur le rseau physique ou les machines virtuelles sur les autres vSwitch ne peut
envoyer du trafic sur ce vSwitch. Vous pouvez crer un vSwitch sans adaptateur rseau physique si vous
voulez qu'un groupes de machines virtuelles puisse communiquer entre elles, mais avec aucun autre hte
ou machine virtuelle en dehors du groupes.
Dans le groupes Proprits groupes de ports, entrez une tiquette de rseau qui identifie le groupes de
ports que vous crez.
Utilisez des tiquettes rseau pour identifier les connexions compatibles pour la migration communes
deux htes ou plus.
(Facultatif) Si vous utilisez un VLAN, pour [ID VLAN] , entrez un nombre entre 1 et 4 094. Si vous n'utilisez
pas un VLAN, laissez ce champ vide.
Si vous entrez 0 ou laissez ce champ vide, le groupes de ports peut uniquement voir le trafic non balis
(non VLAN). Si vous entrez 4 095, le groupes de ports peut voir le trafic sur n'importe quel VLAN tout en
laissant les balises VLAN intactes.
10
11
Aprs avoir dtermin que le vSwitch est configur correctement, cliquez sur [Terminer] .
VMware, Inc.
19
Le stockage IP se rapporte au stockage utilisant la communication rseau TCP/IP comme base, qui comprend
l'iSCSI, le FCoE et le NFS pour ESXi. Comme ces types de stockages reposent sur le rseau, ils peuvent utiliser
la mme interface VMkernel et le mme groupes de ports.
iSCSI pour le montage direct de fichiers .ISO, qui sont prsents comme des CD-ROM virtuels aux
machines virtuelles.
NFS pour le montage direct de fichiers .ISO, qui sont prsents comme des CD-ROM virtuels aux machines
virtuelles.
Si vous avez deux cartes rseau iSCSI physiques ou plus, vous pouvez crer plusieurs chemins pour le logiciel
iSCSI en configurant les chemins multiples iSCSI. Pour plus d'informations sur le chemins multiples, consultez
le Guide de configuration SAN iSCSI.
REMARQUE ESXi prend uniquement en charge NFS version 3 sur TCP/IP.
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Slectionnez le vSwitch utiliser ou slectionnez [Crer un commutateur virtuel] pour crer un nouveau
vSwitch.
Cochez les cases pour les adaptateurs rseau que vote vSwitch va utiliser.
Slectionnez les adaptateurs pour chaque vSwitch afin que les machines virtuelles ou les autres services
se connectant via l'adaptateur puissent atteindre le segment Ethernet correspondant. Si aucun adaptateur
n'apparat dans Crer un nouveau commutateur virtuel, tous les adaptateurs rseau du systme sont
utiliss par les vSwitch existants. Vous pouvez crer un nouveau vSwitch sans adaptateur rseau ou
slection un adaptateur rseau utilis par un vSwitch existant.
20
VMware, Inc.
Description
[tiquette de rseau]
[ID VLAN]
Slectionnez [Utiliser ce groupes port pour vMotion] pour permettre ce groupes de ports de s'annoncer
un autre hte comme connexion rseau o le trafic de vMotion doit tre envoy.
Vous pouvez activer cette proprit pour un seul groupes de ports vMotion et de stockage IP pour chaque
hte. Si cette proprit n'est pas active pour un groupes de ports, la migration avec vMotion vers cet hte
n'est pas possible.
10
11
Sur un hte IPv6, indiquez si vous voulez utiliser [IP (par dfaut)] , [IPv6] ou [protocoles rseau IP et
IPv6] .
Cette option n'apparat pas sur les htes sur lesquels IPv6 n'est pas activ. La configuration IPv6 ne peut
pas tre utilise avec les adaptateurs iSCSI matriels dpendants.
12
13
Slectionnez [Obtenir automatiquement les paramtres IP] pour utiliser le DHCP pour obtenir les
paramtres IP ou slectionnez [Utiliser les paramtres IP suivants] pour dfinir les paramtres IP
manuellement.
Si vous choisissez de dfinir les paramtres IP manuellement, fournissez ces informations.
DHCP ne peut pas tre utilise avec les adaptateurs iSCSI matriels dpendants.
a
Cliquez sur [Modifier] pour dfinir la passerelle par dfaut de VMkernel pour les services de
VMkernel, tels que vMotion, NAS et iSCSI.
Dans l'onglet [Config. DNS] , le nom de l'hte est entr par dfaut.
Les adresses de serveur DNS spcifies pendant l'installation sont galement prslectionnes, de
mme que le domaine.
e
14
15
VMware, Inc.
Si vous utilisez IPv6 pour l'interface VMkernel, slectionnez l'une des options suivantes pour obtenir les
adresses IPv6.
n
Si vous choisissez d'utiliser des adresses IPv6 statiques, procdez comme suit.
a
Entrez l'adresse IPv6 et la longueur du prfixe de sous-rseau, puis cliquez sur [OK] .
21
16
17
Vrifiez les informations, cliquez sur [Retour] pour modifier des entres, puis cliquez sur [Terminer] .
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Sur le ct droit de la page, cliquez sur [Proprits] pour le vSwitch que vous souhaitez modifier.
Choisissez le nombre de ports que vous souhaitez utiliser dans le menu droulant.
Suivant
Les modifications entreront en vigueur au redmarrage du systme.
22
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Pour modifier la vitesse configure et la valeur de duplex d'un adaptateur rseau, slectionnez l'adaptateur
rseau et cliquez sur [Modifier] .
VMware, Inc.
Pour slection la vitesse de connexion manuellement, slectionnez la vitesse et le duplex dans le menu
droulant.
Choisissez la vitesse de connexion manuellement si la carte rseau et le commutateur physique risquent
d'chouer dans la ngociation de la vitesse de connexion correcte. Les symptmes de non-correspondance
de vitesse et de duplex comprennent une bande passante faible ou aucune connectivit de liaison.
L'adaptateur et le port du commutateur physique auquel il est connect doivent tre dfinis sur la mme
valeur, telle que auto et auto ou ND et ND, o ND correspond une certaine vitesse et un duplex, mais
pas auto et ND.
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
(Facultatif) Pour rorganiser les cartes rseau dans une catgorie diffrente, slectionnez un adapteur et
cliquez sur [Monter] et [Descendre] .
Option
Description
Adaptateurs actifs
Adaptateurs de rserve
Vrifiez les informations sur la page Rsum d'adaptateur, cliquez sur [Retour] pour modifier des entres,
puis cliquez sur [Terminer] .
La liste des adaptateurs rseau rapparat, affichant les adaptateurs que le vSwitch demande maintenant.
10
VMware, Inc.
23
24
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
VMware, Inc.
Ces sections vous guident travers les concepts fondamentaux de mise en rseau avec des commutateurs
distribus vNetwork et vous expliquent comment paramtrer et configurer la mise en rseau avec des
commutateurs distribus vNetwork dans un environnement vSphere.
Ce chapitre aborde les rubriques suivantes :
n
dvPorts , page 32
VMware, Inc.
25
VM
VM
VM
VM
Mise en rseau
C
groupes dvPort
A
dvUplink
dvUplink
Hte1
Hte2
machine
Hte2 physique
rseau physique
Comme un commutateur vNetwork standard, chaque commutateur distribu vNetwork est un concentrateur
de rseau que les machines virtuelles peuvent utiliser. Un commutateur distribu vNetwork peut acheminer
le trafic en interne entre les machines virtuelles, ou se lier un rseau externe en se connectant des cartes
Ethernet physiques, galement dnommes cartes de liaison montante.
Chaque commutateur distribu vNetwork peut galement avoir un ou plusieurs groupes de dvPort qui lui
sont affects. Les groupes dvPort regroupesnt plusieurs ports sous une configuration commune et fournissent
un point d'ancrage stable aux machines virtuelles qui se connectent aux rseaux tiquets. Chaque groupes
dvPort est identifi par une tiquette rseau, qui est unique au centre de donnes actuel. L'ID de VLAN est
facultative. Elle permet de limiter le trafic du groupes de ports un segment Ethernet logique dans le rseau
physique.
Les pools de ressources rseau permettent de grer le trafic rseau par type de trafic rseau.
En plus des commutateurs distribus vNetwork de VMware, vSphere 4 fournit galement une assistance pour
les commutateurs virtuels tiers. Pour plus d'informations sur la configuration des commutateurs tiers, rendezvous l'adresse http://www.cisco.com/go/1000vdocs.
26
VMware, Inc.
Ouvrez une session sur le vSphere Client et choisissez la vue d'inventaire Mise en rseau.
Dans le menu Inventaire, slectionnez [Centre de donnes] > [Commutateur distribu vNetwork] .
Description
Compatible avec la version ESXi 4.0 et ultrieure. Les fonctions publies avec
les versions ultrieures de vDS ne sont pas prises en charge.
Saisissez un nom pour le commutateur distribu vNetwork dans la zone de texte Name Nom.
Utilisez les boutons flchs pour slectionner le [Nombre de ports dvUplink] et cliquez sur [Suivant] .
Les ports dvUplink connectent un commutateur distribu vNetwork aux adaptateurs rseau physiques
sur les htes associs. Le nombre de ports dvUplink est le nombre maximum de connections physiques
autorises vers le commutateur distribu vNetwork par hte.
Description
Ajouter maintenant
Aucun hte ajout au vDS pour l'instant. Vous devez ajouter des htes au
vDS avant d'ajouter des cartes rseau. Vous pouvez ajouter des cartes rseau
depuis la page de configuration d'hte de vSphere Client en utilisant la
fonctionnalit de gestion des htes ou Profils d'hte.
10
VMware, Inc.
Passez en revue le diagramme du commutateur distribu vNetwork pour garantir une configuration
adquate, puis cliquez sur [Terminer] .
27
Dans vSphere Client, affichez la vue d'inventaire de rseau et slectionnez le commutateur distribu
vNetwork.
Sous les htes slectionns, slectionnez les cartes physiques ajouter et cliquez sur [Suivant] .
Vous pouvez slection des adaptateurs physiques libres et en cours d'utilisation.
REMARQUE Le dplacement d'un adaptateur physique vers un vDS sans les adaptateurs virtuels associs
peut entraner la perte de connexion rseau ces adaptateurs virtuels.
Pour chaque carte virtuelle, slectionnez [groupes ports destination] dans le menu droulant pour faire
migrer la carte virtuelle vers le vDS ou slectionnez [Ne pas migrer] .
(Facultatif) Faites migrer la gestion de rseau des machines virtuelles vers le vDS.
a
Pour chaque machine virtuelle, slectionnez le groupes de ports de destination [groupes ports
destination] dans le menu droulant ou slectionnez [Ne pas migrer] .
28
Dans vSphere Client, affichez la vue d'inventaire de rseau et slectionnez le commutateur distribu
vNetwork.
Slectionnez [inventaire] > [commutateur distribu vNetwork] > [Grer les htes] .
Slectionnez les adaptateurs physiques ajouter, dslectionnez les adaptateurs physiques supprimer,
et cliquez sur [Suivant] .
Pour chaque carte virtuelle, slectionnez [groupes ports destination] dans le menu droulant pour faire
migrer la carte virtuelle vers le vDS ou slectionnez [Ne pas migrer] .
VMware, Inc.
(Facultatif) Faites migrer la gestion de rseau des machines virtuelles vers le vDS.
a
Pour chaque machine virtuelle, slectionnez le groupes de ports de destination [groupes ports
destination] dans le menu droulant ou slectionnez [Ne pas migrer] .
Dans vSphere Client, choisissez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
Dans le menu Inventaire, slectionnez [Commutateur distribu vNetwork] > [Modifier les
paramtres] .
Slectionnez [Gnral] pour modifier les paramtres de commutateur distribu vNetwork suivants.
Pour modifier des noms de port de liaison montante, cliquez sur [Modifier les noms des ports pour
liaisons montantes] , entrez les nouveaux noms, puis cliquez sur [OK] .
Dans vSphere Client, affichez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
Dans le menu Inventaire, slectionnez [commutateur distribu vNetwork] > [Modifier les
paramtres] .
Slectionnez [Avanc] pour modifier les proprits suivantes de commutateur distribu vNetwork.
VMware, Inc.
Cochez la case [Activer Protocole dcouverte Cisco] pour activer le protocole CDP, et rglez
l'opration sur [couter] , [Annoncer] ou [Les deux] .
29
Dans vSphere Client, choisissez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
Dans le menu Inventaire, slectionnez [commutateur distribu vNetwork] > [Modifier les
paramtres] .
Dans l'onglet [Adaptateurs rseau] , vous pouvez afficher la carte rseau et les attributions de liaison
montante des htes associs.
Cet onglet est en lecture seule. Les cartes rseau du commutateur distribu vNetwork doivent tre
configures au niveau de l'hte.
Dans vSphere Client, affichez la vue d'inventaire de rseau et slectionnez le commutateur distribu
vNetwork.
30
Vrifiez l'exactitude des informations de mise niveau rpertories et cliquez sur [Terminer] .
VMware, Inc.
groupes dvPort
Un groupes dvPort spcifie les options de configuration de port pour chaque port membre sur un commutateur
distribu vNetwork. Les groupes dvPort dfinissent la manire dont s'tablit une connexion un rseau.
Dans vSphere Client, affichez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
partir du menu [inventaire] , slectionnez [Commutateur virtuel distribu] > [Nouveau groupes de
ports] .
Description
Aucune
VLAN
jonction VLAN
VLAN priv
Dans vSphere Client, affichez la vue d'inventaire Mise en rseau et slectionnez le groupes dvPort.
VMware, Inc.
Option
Action
Nom
Description
31
Option
Action
Nombre de ports
Liaison de port
Choisissez quand les ports sont affects aux machines virtuelles connectes
ce groupes dvPort.
n Slectionnez [Liaison statique] pour affecter un port une machine
virtuelle quand la machine virtuelle est connecte au groupes dvPort.
n Slectionnez [Liaison dynamique] pour affecter un port une machine
virtuelle la premire mise sous tension de la machine virtuelle une fois
connecte au groupes dvPort.
n Slectionnez [phmre] pour aucune liaison de port. Vous pouvez
choisir une liaison phmre uniquement lorsque vous tes connect
directement votre hte ESXi.
Dans vSphere Client, affichez la vue d'inventaire Mise en rseau et slectionnez le groupes dvPort.
Slectionnez [Autoriser remplacement rgles port] pour autoriser le remplacement des rgles de
groupes dvPort au niveau du port.
Cliquez sur [Modifier paramtres remplacement] pour slection les rgles qui peuvent tre
remplaces.
Slectionnez [Configurer rinitialisation la dconnexion] pour ignorer les configurations par port
lorsqu'un dvPort est dconnect d'une machine virtuelle.
dvPorts
Un dvPort est un port sur un commutateur distribu vNetwork qui se connecte la console de service, au
VMkernel d'un hte ou la carte rseau d'une machine virtuelle.
Par dfaut, la configuration d'un dvPort est dtermine par les paramtres de groupes de dvPorts, mais certains
paramtres pour des dvPorts individuels peuvent tre ignors selon le dvPort.
Dans vSphere Client, affichez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
La colonne [tat] dans l'onglet [Ports] pour le commutateur distribu vNetwork affiche dsormais l'tat
actuel pour chaque dvPort.
32
VMware, Inc.
Description
[Raccorder]
[Lien bas]
[Bloqu]
[--]
Ouvrez une session sur vSphere Client et affichez le commutateur distribu vNetwork.
Dans l'onglet [Ports] , cliquez avec le bouton droit sur le port modifier et slectionnez [Modifier les
paramtres] .
VLAN privs
Les VLAN privs servent rsoudre les restrictions d'ID VLAN et le gaspillage d'adresses IP pour certaines
configurations rseau.
Un VLAN priv est identifi par son ID VLAN primaire. un ID VLAN primaire peut avoir plusieurs ID VLAN
associes. Les VLAN primaires sont [Promiscuit] , afin que les ports sur un VLAN priv puissent
communiquer avec des ports configurs en tant que VLAN primaire. Des ports sur un VLAN secondaire
peuvent tre [Isol] et communiquer uniquement avec des ports de promiscuit, ou [Communaut] et
communiquer avec des ports de promiscuit et d'autres ports sur le mme VLAN secondaire.
Pour utiliser des VLAN privs entre un hte ESXi et le reste du rseau physique, le commutateur physique
connect l'hte ESXi doit prendre en charge un VLAN priv et tre configur avec les ID VLAN utilises par
ESXi pour la fonctionnalit du VLAN priv. Pour les commutateurs physiques utilisant un apprentissage par
ID VLAN+MAC dynamique, toutes les ID VLAN priv correspondantes doivent tre d'abord entres dans la
base de donnes VLAN du commutateur.
Afin de configurer des dvPorts pour utiliser la fonctionnalit VLAN priv, vous devez crer les VLAN privs
requis sur le commutateur distribu vNetwork auquel les dvPorts sont connects.
Dans vSphere Client, affichez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
Dans le menu [Inventaire] , slectionnez [commutateur distribu vNetwork] > [Modifier les
paramtres] .
VMware, Inc.
33
Sous l'ID VLAN priv primaire, cliquez sur [] [[Saisir un ID VLAN priv ici]] , et saisissez le numro de
VLAN priv primaire.
Cliquez n'importe o dans la bote de dialogue, puis slectionnez le VLAN priv primaire que vous venez
d'ajouter.
Ce dernier apparat sous ID VLAN priv secondaire.
Pour chaque nouveau VLAN priv secondaire, cliquez sur [[Saisir un ID VLAN priv ici]] sous ID VLAN
priv secondaire, et saisissez le numro du VLAN priv secondaire.
Cliquez n'importe o dans la bote de dialogue, slectionnez le VLAN priv secondaire que vous venez
d'ajouter, et slectionnez [Isol] ou [Communaut] comme type de port.
Dans vSphere Client, affichez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
Dans le menu [Inventaire] , slectionnez [commutateur distribu vNetwork] > [Modifier les
paramtres] .
Cliquez sur [Supprimer] sous ID VLAN priv primaire, puis cliquez sur [OK] .
Le retrait d'un VLAN priv primaire supprime galement l'ensemble des VLAN privs secondaires
associs.
34
Dans vSphere Client, affichez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
Dans le menu [Inventaire] , slectionnez [commutateur distribu vNetwork] > [Modifier les
paramtres] .
Slectionnez un VLAN priv principal pour afficher l'ensemble de ses VLAN privs secondaires associs.
Cliquez sur [Supprimer] sous ID VLAN priv secondaire, puis cliquez sur [OK] .
VMware, Inc.
Ouvrez une session sur vSphere Client et slectionnez un hte dans le panneau d'inventaire.
La page de configuration matrielle pour l'hte slectionn s'affiche.
Cliquez sur [Cliquez pour ajouter carte rseau] pour le port de liaison montante auquel ajouter une
liaison montante.
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
La page de configuration matrielle pour ce serveur s'affiche.
Cliquez sur [Supprimer] pour supprimer la liaison montante de [commutateur distribu vNetwork] .
VMware, Inc.
35
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Option
Description
Slectionnez le port
Slectionnez [Utiliser cet adaptateur virtuel pour vMotion] pour permettre ce groupes de ports de
s'annoncer un autre hte ESXi comme connexion rseau o le trafic de vMotion est envoy.
Vous pouvez activer cette proprit pour un seul groupes de ports vMotion et de stockage IP pour chaque
hte ESXi. Si cette proprit n'est pas active pour un groupes de ports, la migration avec vMotion vers
cet hte n'est pas possible.
10
11
Choisissez [Utiliser cet adaptateur virtuel pour le trafic gestion] , et cliquez sur [Suivant] .
12
13
Cliquez sur [Modifier] pour dfinir la passerelle par dfaut de VMkernel pour les services de VMkernel,
tels que vMotion, NAS et iSCSI.
14
Dans l'onglet [Config. DNS] , le nom de l'hte est entr par dfaut. Le domaine et les adresses de serveur
DNS spcifies pendant l'installation sont galement prslectionns.
15
Sous l'onglet [Routage] , saisissez les informations de passerelle pour VMkernel. Une passerelle est
ncessaire pour la connectivit aux machines qui ne sont pas sur le mme sous-rseau IP que VMkernel.
Les paramtres IP sont statiques par dfaut. N'utilisez pas le routage pour les configurations logicielles
des chemins multiples iSCSI ni pour les adaptateurs iSCSI matriels dpendants.
36
VMware, Inc.
16
17
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Pour chaque carte slectionne, choisissez un groupes de ports dans le menu droulant [Choisir un
groupe de ports] .
10
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
La page de configuration matrielle pour ce serveur s'affiche.
Slectionnez l'adaptateur virtuel migrer, et cliquez sur [Migrer vers commutateur virtuel] .
L'assistant Migrer l'adaptateur virtuel s'affiche.
Entrez une [tiquette rseau] et optionnellement un [ID VLAN] pour l'adaptateur virtuel et cliquez
sur [Suivant] .
Cliquez sur [Terminer] pour migrer l'adaptateur virtuel et pour terminer l'assistant.
VMware, Inc.
37
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Option
Description
Slectionnez le port
Slectionnez [Utiliser cet adaptateur virtuel pour vMotion] pour permettre ce groupes de ports de
s'annoncer un autre hte ESXi comme connexion rseau o le trafic de vMotion est envoy.
Vous pouvez activer cette proprit pour un seul groupes de ports vMotion et de stockage IP pour chaque
hte ESXi. Si cette proprit n'est pas active pour un groupes de ports, la migration avec vMotion vers
cet hte n'est pas possible.
Choisissez [Utiliser cet adaptateur virtuel pour le trafic gestion] , et cliquez sur [Suivant] .
10
Sous les paramtres IP, spcifiez l'adresse IP et le masque de sous-rseau, ou slectionnez [Obtenir les
paramtres IP automatiquement] .
11
Cliquez sur [Modifier] pour dfinir la passerelle par dfaut de VMkernel pour les services de VMkernel,
tels que vMotion, NAS et iSCSI.
12
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
38
VMware, Inc.
Dans vSphere Client, affichez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
Dans le menu [inventaire] , slectionnez [commutateur distribu vNetwork] > [Migrer la gestion de
rseau de machines virtuelles] .
L'assistant Migrer la mise en rseau de machines virtuelles apparat.
Dans le menu droulant [Choisir le rseau source] , slectionnez le rseau virtuel source de la migration.
Slectionnez le rseau virtuel cible de la migration dans le menu droulant [Choisir le rseau de
destination] .
Slectionnez les machines virtuelles migrer vers le rseau virtuel de destination et cliquez sur [OK] .
Ouvrez une session sur le vSphere Client et slectionnez la machine virtuelle dans le panneau d'inventaire.
Slectionnez le groupes dvPort vers lequel migrer partir du menu droulant [tiquette rseau] , puis
cliquez sur [OK] .
VMware, Inc.
39
Dans vSphere Client, affichez la vue d'inventaire de rseau et slectionnez le commutateur distribu
vNetwork.
Slectionnez [Activer le rseau de gestion des ressources sur ce vDS] et cliquez sur [OK] .
40
Dans vSphere Client, affichez la vue d'inventaire de rseau et slectionnez le commutateur distribu
vNetwork.
Dans l'onglet [Allocation des ressources] , cliquez avec le bouton droit sur le pool de ressources rseau
modifier et slectionnez [Modifier les paramtres] .
VMware, Inc.
Slectionnez les partages de carte physique dans [Partages adaptateurs physiques] pour le pool de
ressources rseau.
Option
Description
Personnalis
Haut
Normal
Bas
Dfinissez [Limite hte] pour le pool de ressources rseau en mgabits par seconde ou slectionnez
[Illimit] .
VMware, Inc.
41
42
VMware, Inc.
La rubrique suivante vous guide travers les tapes de mise en rseau avance dans un environnement
ESXi, et vous explique comment configurer et modifier les options de configuration de mise en rseau avance.
Ce chapitre aborde les rubriques suivantes :
n
VMware, Inc.
43
Cliquez sur la flche ct du bouton [inventaire] dans la barre de navigation et slectionnez [Htes et
clusters] .
Slectionnez [Activer support IPv6 sur systme hte] et cliquez sur [OK] .
Redmarrez l'hte.
Configuration VLAN
Les VLAN (LAN virtuels) permettent un segment LAN physique unique d'tre davantage segment de sorte
que des groupes de travail de ports soient isols les uns des autres comme s'ils se trouvaient sur des segments
physiquement diffrents.
La configuration ESXi avec les VLAN est recommande pour les raisons suivantes.
n
Vous pouvez configurer les VLAN dans ESXi avec trois mthodes : Balisage de commutateur externe (EST),
Balisage de commutateur virtuel (VST) et Balisage d'invit virtuel (VGT).
Avec EST, tous les balisages VLAN de paquets sont excuts sur le commutateur physique. Les adaptateurs
rseau htes sont connects aux ports d'accs sur le commutateur physique. Les groupes de ports connects
au commutateur virtuel doivent avoir leur ID VLAN rgle sur 0.
Avec VST, tous les balisages VLAN de paquets sont excuts par le commutateur virtuel avant de quitter l'hte.
Les adaptateurs rseau htes doivent tre connects aux ports trunk sur le commutateur physique. Les groupes
de ports connects au commutateur virtuel doivent avoir une ID VLAN approprie spcifie.
Avec VGT, tous les balisages VLAN sont excuts par la machine virtuelle. Les balises VLAN sont conserves
entre la pile rseau de la machine virtuelle et le commutateur externe quand les trames passent par les
commutateurs virtuels. Les ports de commutateur physique sont rgls sur le port trunk.
REMARQUE En utilisant VGT, vous devez avoir un pilote trunk 802.1Q VLAN install sur la machine virtuelle.
44
VMware, Inc.
Scurit
Formation du trafic
[Rgle d'quilibrage de charge] dtermine la distribution du trafic sortant entre les adaptateurs rseau
assigns un commutateur vSwitch.
REMARQUE Le trafic entrant est contrl par la rgle d'quilibrage de charge sur le commutateur physique.
[Dtection reprise] contrle l'tat de lien et le sondage de balise. La signalisation n'est pas pris en charge
par le balisage VLAN invit.
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
VMware, Inc.
45
Description
quilibrage de charge
46
VMware, Inc.
Option
Description
Retour arrire
ordre de basculement
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Pour diter les valeurs [Basculement et quilibrage de charge] du groupe de ports, slectionnez le groupe
de ports et cliquez sur [Proprits] .
VMware, Inc.
47
Description
quilibrage de charge
48
VMware, Inc.
Option
Description
Retour arrire
ordre de basculement
Dans vSphere Client, affichez la vue d'inventaire Mise en rseau et slectionnez le groupes dvPort.
Slectionnez [Rgles] .
VMware, Inc.
49
Description
quilibrage de charge
50
VMware, Inc.
Option
Description
Retour arrire
ordre de basculement
Ouvrez une session sur vSphere Client et affichez le commutateur distribu vNetwork.
Dans l'onglet [Ports] , cliquez avec le bouton droit sur le port modifier et slectionnez [Modifier les
paramtres] .
La bote de dialogue [Paramtrages port] apparat.
VMware, Inc.
Cliquez sur [Rgles] pour afficher et modifier les rgles de rseau des ports.
51
Description
quilibrage de charge
52
VMware, Inc.
Option
Description
Retour arrire
ordre de basculement
Rgle VLAN
La rgle de VLAN permet aux rseaux virtuels de joindre des VLAN physiques.
Dans vSphere Client, affichez la vue d'inventaire Mise en rseau et slectionnez le groupes dvPort.
Slectionnez [VLAN] .
Description
Aucune
VLAN
jonction VLAN
VLAN priv
VMware, Inc.
53
Procdure
1
Ouvrez une session sur vSphere Client et affichez le commutateur distribu vNetwork.
Dans l'onglet [Ports] , cliquez avec le bouton droit sur le port modifier et slectionnez [Modifier les
paramtres] .
Option
Action
Aucune
VLAN
jonction VLAN
VLAN priv
Rgle de scurit
Les rgles de scurit rseau dterminent la faon dont la carte filtre les trames entrantes et sortantes.
La couche 2 est la couche de liaison de donnes. Les trois lments de la rgle de scurit sont le mode
promiscuit, les changements d'adresse MAC et les Transmissions forges.
En mode non-promiscuit, un adapteur invite coute uniquement le trafic transfr sur sa propre adresse
MAC. En mode promiscuit, elle peut couter l'ensemble des trames. Par dfaut, les cartes invites sont
configures sur le mode non-promiscuit.
Ouvrez une session sur VMware vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
54
VMware, Inc.
Dans le volet Exceptions rgle, choisissez de rejeter ou d'accepter les exceptions la rgle de scurit.
Tableau 5-1. Exceptions de rgle
Mode
Rejeter
Accepter
Mode promiscuit
Transmissions forges
Ouvrez une session sur VMware vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Dans la bote de dialogue Proprits pour le groupes de ports, cliquez sur l'onglet [Scurit] .
Par dfaut, [Mode promiscuit] est dfini sur [Rejeter] . [Modifications d'adresse MAC] et
[Transmissions forces :] sont dfinis sur [Accepter] .
L'exception la rgle remplace toute rgle dfinie au niveau du commutateur vSwitch.
VMware, Inc.
55
Dans le volet Exceptions rgle, choisissez de rejeter ou d'accepter les exceptions la rgle de scurit.
Tableau 5-2. Exceptions de rgle
Mode
Rejeter
Accepter
Mode promiscuit
Transmissions forges
Dans vSphere Client, affichez la vue d'inventaire Mise en rseau et slectionnez le groupes dvPort.
Dans la bote de dialogue Proprits pour le groupes de ports, cliquez sur l'onglet [Scurit] .
Par dfaut, [Mode promiscuit] est dfini sur [Rejeter] . [Modifications d'adresse MAC] et
[Transmissions forces :] sont dfinis sur [Accepter] .
L'exception la rgle remplace toute rgle dfinie au niveau du commutateur vSwitch.
56
VMware, Inc.
Dans le volet Exceptions rgle, choisissez de rejeter ou d'accepter les exceptions la rgle de scurit.
Tableau 5-3. Exceptions de rgle
Mode
Rejeter
Accepter
Mode promiscuit
Transmissions forges
Ouvrez une session sur vSphere Client et affichez le commutateur distribu vNetwork.
Dans l'onglet [Ports] , cliquez avec le bouton droit sur le port modifier et slectionnez [Modifier les
paramtres] .
VMware, Inc.
57
Dans le groupes Scurit, choisissez de rejeter ou d'accepter les exceptions aux rgles de scurit.
Tableau 5-4. Exceptions
Mode
Rejeter
Accepter
Mode promiscuit
Transmissions forges
58
Bande passante
moyenne
tablit le nombre de bits par seconde autoriser sur un port, en moyenne dans
le temps : charge moyenne autorise.
Bande passante
maximale
Taille de rafale
Nombre maximal d'octets autoriser dans une rafale. Si ce paramtre est dfini,
un port peut obtenir un bonus de rafale s'il n'utilise pas toute sa bande passante
alloue. Chaque fois que le port a besoin de plus de bande passante que la
quantit spcifie par [Bande passante moyenne] , il peut tre autoris
transmettre temporairement des donnes une vitesse plus leve si un bonus
de rafale est disponible. Ce paramtre limite le nombre d'octets qui peuvent
tre cumuls dans le bonus de rafale et ainsi transfrs une vitesse plus leve.
VMware, Inc.
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Description
tat
Taille de rafale
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
VMware, Inc.
59
Dans la bote de dialogue Proprits pour le groupes de ports, cliquez sur l'onglet [Formation du
trafic] .
Quand la formation du trafic est dsactive, les options sont grises.
Option
Description
tat
Taille de rafale
Dans vSphere Client, affichez la vue d'inventaire Mise en rseau et slectionnez le groupes dvPort.
Dans la bote de dialogue Proprits pour le groupes de ports, cliquez sur l'onglet [Formation du
trafic] .
Vous pouvez configurer la formation du trafic entrant et sortant. Quand la formation du trafic est
dsactive, les options sont grises.
REMARQUE La bande passante maximale ne peut pas tre infrieure la bande passante moyenne spcifie.
60
Option
Description
tat
Taille de rafale
VMware, Inc.
Ouvrez une session sur vSphere Client et affichez le commutateur distribu vNetwork.
Sur l'onglet [Ports] , cliquez avec le bouton droit sur le port modifier et slectionnez [Modifier les
paramtres] .
Dans le groupes de formation du trafic, vous pouvez configurer la formation du trafic entrant et sortant.
Quand la formation du trafic est dsactive, les options sont grises.
Option
Description
tat
Taille de rafale
Dans vSphere Client, affichez la vue d'inventaire Mise en rseau et slectionnez le groupes dvPort.
Slectionnez [Divers] .
Choisissez de bloquer tous les ports avec [Bloquer tous les ports] sur ce groupes dvPort.
VMware, Inc.
61
Ouvrez une session sur vSphere Client et affichez le commutateur distribu vNetwork.
Dans l'onglet [Ports] , cliquez avec le bouton droit sur le port modifier et slectionnez [Modifier les
paramtres] .
Dans le groupes [Divers] , choisissez de bloquer ou non ce port avec [Bloquer tous les ports] .
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Choisissez d'obtenir automatiquement l'adresse du serveur DNS ou d'utiliser une adresse du serveur DNS.
Sur l'onglet [Routage] , modifiez les informations de passerelle par dfaut, si ncessaire.
Adresses MAC
Les adresses MAC sont gnres pour les cartes rseau virtuelles utilises par la le VMkernel et les machines
virtuelles.
Dans la plupart des cas, les adresses MAC gnres sont appropries. Nanmoins, vous devrez peut-tre
configurer une adresse MAC pour un adapteur rseau virtuelle, notamment dans les cas suivants :
n
Les cartes rseau virtuelles sur diffrents htes physiques partagent le mme sous-rseau et se voient
assigner la mme adresse MAC, ce qui provoque un conflit.
Pour garantir que la carte rseau virtuelle ait toujours la mme adresse MAC.
Pour contourner la limite des 256 cartes rseau virtuelles par machine physique et les conflits possibles
d'adresse MAC entre machines virtuelles, les administrateurs systme peuvent attribuer manuellement des
adresses MAC. VMware utilise l'OUI (Organizationally Unique Identifier) 00:50:56 pour les adresses gnres
manuellement.
La plage d'adresses MAC est 00:50:56:00:00:00-00:50:56:3F:FF:FF.
Vous pouvez configurer les adresses en ajoutant la ligne suivante dans le fichier de configuration d'une
machine virtuelle :
ethernet<number>.address = 00:50:56:XX:YY:ZZ
62
VMware, Inc.
o <number> est le numro de la carte Ethernet, XX est un nombre hexadcimal valide entre 00 et 3F, et YY et ZZ
sont des numros hexadcimaux valides entre 00 et FF. La valeur pour XX ne doit pas tre suprieure 3F afin
d'viter tout conflit avec des adresses MAC gnres par VMware Workstation et les produits VMware Server.
La valeur maximum pour une adresse MAC gnre manuellement est la suivante :
ethernet<number>.address = 00:50:56:3F:FF:FF
Vous devez galement configurer l'option dans le fichier de configuration d'une machine virtuelle :
ethernet<number>.addressType="static"
tant donn que les machines virtuelles ESXi de VMware ne prennent pas en charge les adresses MAC
arbitraires, vous devez utiliser le format ci-dessus. Tant que vous choisissez une valeur unique pour XX:YY:ZZ
parmi vos adresses codes de manire irrversible, les conflits entre les adresses MAC assignes
automatiquement et manuellement ne devraient jamais se produire.
Pour les machines virtuelles hrites qui ne sont plus utilises avec ESXi
Les trois premiers octets de l'adresse MAC gnre pour chaque carte rseau virtuelle correspondent au OUI.
L'algorithme de gnration d'adresse MAC produit les trois autres octets. L'algorithme garantit des adresses
MAC uniques au sein d'une machine et tente de fournir des adresses MAC uniques travers les machines.
Les cartes rseau pour chaque machine virtuelle du mme sous-rseau doivent disposer d'adresses MAC
uniques. Sinon, leur comportement risque d'tre imprvisible. L'algorithme limite le nombre de machines
virtuelles en excution et suspendues, en mme temps, sur un hte donn. Il ne gre pas non plus tous les cas
o des machines virtuelles sur des machines physiques distinctes partagent un sous-rseau.
L'identificateur unique universel VMware (UUID) gnre des adresses MAC contrles pour les conflits. Les
adresses MAC gnres comportent trois parties : l'OUI VMware, l'UUID SMBIOS pour la machine physique
ESXi, et un hachage bas sur le nom de l'entit pour laquelle l'adresse MAC est gnre.
Lorsque l'adresse MAC a t gnre, elle ne change pas moins que la machine virtuelle ne soit transfre
un emplacement diffrent (par exemple, un chemin d'accs diffrent sur le mme serveur). L'adresse MAC
dans le fichier de configuration de la machine virtuelle est enregistre. Toutes les adresses MAC attribues aux
cartes rseau de machines virtuelles suspendues ou en excution sur une machine physique donne sont
suivies.
L'adresse MAC d'une machine virtuelle hors tension n'est pas compare aux adresses MAC de machines
virtuelles suspendues ou en excution. Lorsqu'une machine virtuelle est de nouveau mise sous tension, il se
peut qu'elle acquire une adresse MAC diffrente. Cette acquisition est due un conflit avec une machine
virtuelle qui tait sous tension quand cette machine virtuelle tait hors tension.
Ouvrez une session sur le vSphere Client et slectionnez la machine virtuelle dans le panneau d'inventaire.
VMware, Inc.
63
Microsoft Windows 2003 Enterprise Edition avec Service Pack 2 (32 bits et 64 bits)
Ouvrez une session sur le vSphere Client et slectionnez la machine virtuelle dans le panneau d'inventaire.
Enregistrez les paramtres rseau et l'adresse MAC utiliss par la carte rseau.
Slectionnez le paramtre rseau et l'adresse MAC utiliss par l'ancienne carte rseau, puis cliquez sur
[Suivant] .
10
11
Si la machine virtuelle n'est pas configure pour mettre VMware Tools niveau chaque mise sous tension,
vous devez le mettre manuellement niveau.
TSO est activ sur une interface VMkernel. Si le TSO est dsactiv pour une interface VMkernel spcifique, le
seul moyen de l'activer est de supprimer cette interface VMkernel et de la recrer avec un TSO activ.
64
VMware, Inc.
Utilisez la commande vicfg-vswitch -m <MTU> <vSwitch> dans l'interface de ligne de commande vSphere
de VMware afin de rgler la taille de MTU du vSwitch.
Cette commande configure le MTU pour toutes les liaisons montantes sur chaque vSwitch. Configurez la
taille de MTU sur le paramtre le plus lev parmi toutes les cartes rseau virtuelles relies au vSwitch.
Utilisez la commande vicfg-vswitch -l pour afficher une liste de commutateurs vSwitch sur l'hte et
vrifier que la configuration du vSwitch est correcte.
Dans vSphere Client, affichez la vue d'inventaire de mise en rseau et slectionnez le commutateur
distribu vNetwork.
Dans le menu Inventaire, slectionnez [Commutateur distribu vNetwork] > [Modifier les
paramtres] .
Configurez [MTU max.] sur la taille de MTU maximale parmi toutes les cartes rseau virtuelles relies
au commutateur distribu vNetwork, puis cliquez sur [OK] .
Ouvrez une session sur le vSphere Client et slectionnez la machine virtuelle dans le panneau d'inventaire.
Enregistrez les paramtres rseau et l'adresse MAC utiliss par la carte rseau.
VMware, Inc.
65
Slectionnez le rseau utilis par l'ancienne carte rseau, puis cliquez sur [Suivant] .
10
11
12
Sous Adresse MAC, slectionnez [Manuel] , puis saisissez l'adresse MAC utilise par l'ancienne carte
rseau.
13
14
Vrifiez que la carte vmxnet amlior est relie un commutateur vSwitch avec trames Jumbo actives.
15
Dans le systme d'exploitation invit, configurez la carte rseau de manire autoriser les trames Jumbo.
Consultez la documentation du systme d'exploitation invit pour plus de dtails.
16
Configurez tous les commutateurs physiques et les machines virtuelles ou physiques auxquelles cette
machine virtuelle se connecte pour prendre en charge les trames Jumbo.
Utilisez la commande esxcfg-vmknic -a -I <ip address> -n <netmask> -m <MTU> <port group name>
pour crer une connexion VMkernel avec un support Trames jumbo.
Utilisez la commande esxcfg-vmknic -l pour afficher une liste d'interfaces VMkernel et vrifier que la
configuration de l'interface avec Trames jumbo est correcte.
Vrifiez que l'interface VMkernel est connecte un commutateur vSwitch avec Trames jumbo activ.
Configurez tous les commutateurs physiques et les machines virtuelles ou physiques auxquelles cette
interface VMkernel se connecte pour prendre en charge les Trames jumbo.
66
VMware, Inc.
Procdure
1
Utilisez l'interface de ligne de commande vSphere de VMware afin de configurer le pilote NIC pour
pouvoir utiliser NetQueue.
Pour dsactiver NetQueue sur le pilote NIC, utilisez la commande vicfg-module -s "" module name.
Par exemple, si vous servez du pilote s2io NIC, utilisez vicfg-module -s "" s2io.
Redmarrez l'hte.
E/S VMDirectPath
E/S VMDirectPath permet une machine virtuelle d'accder aux fonctions physiques PCI sur les plates-formes
avec une unit de gestion de mmoire E/S.
Les fonctionnalits suivantes ne sont pas disponibles pour les machines virtuelles configures avec
VMDirectPath :
n
vMotion
Interruption et reprise
Enregistrement et lecture
Haute disponibilit
DRS (disponibilit limite. La machine virtuelle peut faire partie d'un cluster, mais pas migrer travers
des htes)
Voir les guides de compatibilit matrielle pour les derniers systmes et adaptateurs pris en charge avec cette
configuration.
VMware, Inc.
67
Dans le menu [inventaire] , slectionnez [Machine virtuelle] > [Modifier les paramtres] .
Ajouter un priphrique VMDirectPath une machine virtuelle configure la rservation de mmoire sur la
taille de mmoire de la machine virtuelle.
68
VMware, Inc.
Dpannage , page 75
Sparez les services rseau les uns des autres pour obtenir une scurit accrue ou de meilleures
performances.
Pour qu'un ensemble particulier de machines virtuelles fonctionne aux niveaux les plus levs de
performances, placez-les sur un NIC physique spar. Cette sparation permet de rpartir plus
quitablement sur plusieurs CPU une partie de la charge de travail totale du rseau. Les machines
virtuelles isoles peuvent ensuite mieux servir le trafic partir d'un client Web, par exemple.
Conservez la connexion vMotion sur un rseau spar ddi vMotion. Lorsqu'une migration avec
vMotion survient, le contenu de la mmoire du systme d'exploitation invit est transmis sur le rseau.
Vous pouvez effectuer cette opration soit en utilisant le VLAN pour segmenter un rseau physique
unique, soit en sparant des rseaux physiques (la dernire option est prfrable).
Lors de l'utilisation de priphriques de relais avec un noyau Linux version 2.6.20 ou antrieure, vitez
les modes MSI et MSI-X, car ces modes ont un impact important sur les performances.
Pour sparer physiquement des services rseau et ddier un ensemble particulier de NIC un service
rseau spcifique, crez un vSwitch pour chaque service. Si cela est impossible, sparez-les sur un seul
vSwitch en les associant aux groupes de ports avec diffrents ID de VLAN. Dans ce cas, vrifiez auprs
de votre administrateur rseau que les rseaux ou VLAN que vous choisissez sont isols dans le reste de
votre environnement et qu'aucun routeur ne les connecte.
VMware, Inc.
69
Vous pouvez ajouter et supprimer des NIC du vSwitch sans affecter les machines virtuelles ou le service
rseau s'excutant derrire ce vSwitch. Si vous supprimez tout le matriel en cours d'excution, les
machines virtuelles peuvent toujours communiquer entre elles. Par ailleurs, si vous laissez un NIC intact,
toutes les machines virtuelles peuvent toujours se connecter au rseau physique.
Pour protger vos machines virtuelles les plus sensibles, dployez des pare-feu dans les machines
virtuelles qui acheminent du trafic entre les rseaux virtuels avec des liaisons montantes vers des rseaux
physiques et les rseaux virtuels purs sans liaisons montantes.
70
VMware, Inc.
Si vous n'avez qu'un seul NIC physique, crez un port iSCSI sur un vSwitch connect au NIC. VMware
vous recommande de dsigner un adaptateur rseau spar pour le iSCSI. N'utilisez pas d'iSCSI sur des
adaptateurs 100Mbps ou plus lents.
Si vous disposez de deux ou plus NIC physiques pour le iSCSI, crez un port iSCSI distinct pour chaque
NIC physique et utilisez les NICs pour un multichemin iSCSI. Reportez-vous Figure 6-1.
Figure 6-1. Mise en rseau avec iSCSI
Deux NIC physiques connects
l'adaptateur logiciel iSCSI
vmhba#
vmk1
vmk2
vmhba33
vmhba34
vmk1
vmk2
iSCSI
ports
vSwitch
vSwitch
Hte1
Hte1
Hte2
vmnic1
vmnic2
vmnic1
NIC physiques
vmnic2
virtuel
Hte2 physique
NIC physiques
avec iSCSI
sans charge
capacits
Mise en rseau IP
Stockage iSCSI
Stockage iSCSI
REMARQUE Lorsque vous utilisez un adaptateur iSCSI matriel dpendant, le rapport de performances
pour un NIC associ l'adaptateur ne ne montre que peu ou pas d'activit, mme lorsque le trafic iSCSI
est intense. Cela est du au contournement de la pile rseau habituelle par le trafic iSCSI.
VMware, Inc.
71
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
10
11
72
VMware, Inc.
Il est galement possible d'ajouter tous les NIC et paires de ports un unique vSwitch. Reportez-vous Figure
6-3. Vous devez modifier le rglage par dfaut et vrifier que chaque port soit mapp avec un seul NIC actif
correspondant.
Figure 6-3. Ports iSCSI et NIC sur vSwitch unique
Pour en savoir plus sur l'ajout de NIC et de paires de ports VMkernel un vSwitch, reportez-vous la section
Crer des ports iSCSI supplmentaires pour NIC multiples , page 73.
Aprs avoir mapp les ports iSCSI sur les adaptateurs rseau, utilisez la commande esxcli pour associer les
ports aux adaptateurs iSCSI. Associez les ports avec les adaptateurs iSCSI matriels dpendants, que vous
utilisiez un seul ou de multiples NIC. Pour plus d'informations, consultez Associer des ports iSCSI aux
adaptateurs iSCSI , page 101.
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Slectionnez le vSwitch que vous voulez utiliser pour le iSCSI et cliquez sur [Proprits] .
VMware, Inc.
73
Dans la bote de dialogue Proprits vSwicth, slectionnez l'onglet [Adaptateurs rseau] puis cliquez
sur [Ajouter] .
Passez en revue les informations sur la page Rsum d'adaptateur, puis cliquez sur [Terminer] .
La liste des adaptateurs rseau rapparat, montrant les adaptateurs rseau maintenant revendiqus
par le vSwitch.
Crez des ports iSCSI pour tous les NIC que vous avez connects.
Le nombre de ports iSCSI doit correspondre au nombre de NIC dans le vSwitch.
a
Dans la bote de dialogue Proprits vSwicth, slectionnez l'onglet [Ports] puis cliquez sur
[Ajouter] .
Sous [Proprits groupe de ports] , entrez une tiquette de rseau, par exemple iSCSI, puis cliquez
sur [Suivant] .
AVERTISSEMENT Si le NIC que vous utilisez avec votre adaptateur iSCSI, qu'il soit logiciel ou matriel
dpendant, ne se trouve pas dans le mme sous-rseau que votre cible iSCSI, votre hte ne pourra pas
tablir de sessions de cet adaptateur rseau vers la cible.
6
Cliquez sur l'onglet [Association de cartes rseau] puis slectionnez [Remplacer la commande de
basculement vSwitch] .
Dsignez un seul adaptateur comme actif et dplacez tout le reste vers la catgorie [Adaptateurs
inutiliss] .
Rptez cette dernire tape pour chaque port iSCSI sur le vSwitch.
Suivant
Une fois cette tche termine, lancez la commande esxcli pour associer les ports iSCSI aux adaptateurs iSCSI
logiciels ou matriels dpendants.
74
VMware, Inc.
Dpannage
Vous devriez rencontrer des problmes de rseau hte ncessitant un dpannage. Dans la plupart des cas, le
rseau hte peut tre restaur avec quelques changements de configuration.
VMware, Inc.
75
76
VMware, Inc.
Stockage
VMware, Inc.
77
78
VMware, Inc.
Introduction au stockage
Cette introduction dcrit les options de stockage disponibles pour ESXi et explique comment configurer votre
systme ESXi de sorte qu'il puisse utiliser et grer diffrents types de stockage.
Ce chapitre aborde les rubriques suivantes :
n
VMware, Inc.
79
l'aide du vSphere Client, vous pouvez configurer des banque de donnes sur un priphrique de stockage
quelconque que votre hte dcouvre. Vous pouvez galement employer des dossiers pour crer des groupes
logiques de banque de donnes des fins organisationnelles et dfinir des autorisations et des alarmes dans
le groupes de banque de donnes.
Stocke des fichiers de machine virtuelle sur des disques de stockage externes
connects directement ou internes.
Stockage en rseau
Stocke des fichiers de machine virtuelle sur des baies ou disques de stockage
externes relis votre hte via une connexion directe ou un rseau haut dbit.
Stockage local
Le stockage local peut tre des disques durs internes situs dans votre hte ESXi, ou des systmes de stockage
externes situs l'extrieur ou directement connects l'hte via des protocoles comme SAS ou SATA.
Le stockage local ne requiert pas de rseau de stockage pour communiquer avec votre hte. Vous avez besoin
d'un cble connect l'unit de stockage et, si ncessaire, d'un HBA compatible dans votre hte.
ESXi prend en charge divers priphriques de stockage local internes et externes, y compris des systmes de
stockage SAS, SCSI, IDE, SATA et USB. Quel que soit le type de stockage utilis, votre hte masque une couche
de stockage physique aux machines virtuelles.
REMARQUE Vous ne pouvez pas utiliser de lecteurs IDE/ATA pour stocker des machines virtuelles.
Les priphriques de stockage local ne prend en chargent pas le partage sur plusieurs htes. Une banque de
donnes sur un priphrique de stockage local peut tre accde seulement par un seul hte.
Puisque la majorit des priphriques de stockage local ne prennent pas en charge de connexions multiples,
vous ne pouvez pas utiliser plusieurs chemins d'accs pour accder au stockage local.
Stockage en rseau
Le stockage en rseau est compos de systmes de stockage externes que votre hte ESXi utilise pour stocker
des fichiers de machine virtuelle distance. En rgle gnrale, l'hte accde ces systmes sur un rseau de
stockage haut-dbit.
Les priphriques de stockage en rseau sont partags. Les banque de donnes sur des priphriques de
stockage en rseau sont accessibles par plusieurs htes simultanment. ESXi prend en charge les technologies
de stockage en rseau suivantes.
REMARQUE L'accs simultan au mme stockage via des protocoles de transport diffrents, tels qu'iSCSI et
Fibre Channel, n'est pas pris en charge.
Fibre Channel (FC)
80
VMware, Inc.
Pour se connecter au FC SAN, votre hte doit tre quip d'adaptateurs de bus
hte (HBA) Fibre Channel. moins d'utiliser un stockage de connexion directe
Fibre Channel, vous avez besoin de commutateurs Fibre Channel pour
acheminer le trafic de stockage. Si votre hte contient des HBA FCoE (Fibre
Channel over Ethernet), vous pouvez vous connecter vos priphriques Fibre
Channel partags l'aide d'un rseau IP.
SCSI Internet (iSCSI)
logiciel iSCSI
Stocke les fichiers de machine virtuelle sur des serveurs de fichiers distance
accessibles sur un rseau TCP/IP standard. Le client NFS intgr dans ESXi
utilise le protocole NFS (Network File System) version 3 pour communiquer
avec les serveurs NAS/NFS. Pour une connectivit rseau, l'hte requiert un
adapteur rseau standard.
Stocke des machines virtuelles sur des systmes de stockage directement relis
au SAS qui offrent un accs partag plusieurs htes. Ce type d'accs permet
plusieurs htes d'accder la mme banque de donnes VFMS sur un LUN.
VMware, Inc.
81
LUN
baie de stockage
LUN
cible
cible
cible
LUN
LUN
LUN
baie de stockage
Dans cette illustration, trois LUN sont disponibles pour chaque configuration. Dans un cas, l'hte voit une
cible, mais cette cible comporte trois LUN utiliser. Chaque LUN reprsente un volume de stockage individuel.
Dans l'autre exemple, l'hte voit trois cibles diffrentes, chacune disposant d'un LUN.
Les cibles accessibles via le rseau ont des noms uniques fournis par les systmes de stockage. Les cibles iSCSI
utilisent des noms iSCSI, tandis que les cibles Fibre Channel utilisent des noms mondiaux dits Noms mondials
(WWN).
REMARQUE ESXi ne prend en charge pas l'accs au mme LUN via diffrents protocoles de transport, tels que
iSCSI et Fibre Channel.
Un priphrique, ou LUN, est identifi par son nom UUID. Si un LUN est partag par plusieurs htes, il doit
tre prsent tous les htes ayant le mme UUID.
Le nom WWN est affect chaque lment Fibre Channel SAN par son fabricant.
82
VMware, Inc.
nom iSCSI
Identifie un lment iSCSI particulier, indpendamment de son emplacement physique. Le nom iSCSI peut
utiliser le format IQN ou EUI.
n
IQN (iSCSI Qualified Name). Peut compter jusqu' 255 caractres, au format suivant :
iqn.aaaa-mm.autorit-dnomination:nom unique
aaaa-mm
autorit-dnomination
nom unique
N'importe quel nom votre guise, par exemple le nom de votre hte.
L'autorit de dnomination doit s'assurer que tous les ventuels noms
attribus aprs les deux-points sont uniques. Par exemple, iqn.
1998-01.com.vmware.iscsi:nom1.
EUI (Extended Unique Identifier). Inclut le prfixe eui., suivi du nom de 16 caractres. Le nom comporte
24 bits pour le nom de la socit attribu par l'IEEE, et 40 bits pour un identifiant unique, tel qu'un numro
de srie.
Par exemple,
eui.0123456789ABCDEF
Alias iSCSI
Nom plus parlant et plus facile retenir que le nom iSCSI. Les alias iSCSI, qui ne sont pas uniques, sont destins
n'tre qu'un surnom associer au noeud.
Adresse IP
Adresse associe chaque lment iSCSI de sorte que le matriel d'acheminement et de commutation du rseau
puisse tablir la connexion entre diffrents lments, tels que l'hte et le stockage. Ceci est en fait similaire
l'adresse IP que vous attribuez un ordinateur pour bnficier de l'accs au rseau de votre entreprise ou
Internet.
Nom
C'est un surnom que l'hte ESXi affecte un priphrique selon le type de stockage et le fabricant. Vous pouvez
modifier le nom l'aide de vSphere Client. Lorsque vous modifiez le nom du priphrique sur un hte, le
changement prend effet sur tous les htes ayant accs ce priphrique.
VMware, Inc.
83
Identificateur
C'est un identificateur universel unique attribu un priphrique. Selon le type de stockage, diffrents
algorithmes sont utiliss pour crer l'identificateur. L'identificateur est permanent travers les redmarrages
et doit tre identique pour tous les htes partageant le priphrique.
Nom d'excution
C'est le nom du premier chemin d'accs au priphrique. Le nom d'excution est cr par l'hte, ce n'est pas
un identificateur fiable pour le priphrique et il n'est pas permanent.
Le nom d'excution a le format suivant : vmhba#:C#:T#:L#.
vmhba#
C#
T#
L#
Par exemple, vmhba1:C0:T3:L1 reprsente LUN1 sur la cible 3 accessible via l'adaptateur de stockage vmhba1
et le canal 0.
Systme de fichier du
rseau (NFS)
84
VMware, Inc.
VMware, Inc.
85
hte
B
hte
C
VM1
VM2
VM3
Volume VMFS
disque1
virtuel
disque2disque
fichiers
disque3
Pour garantir que la mme machine virtuelle ne soit pas accde par plusieurs serveurs simultanment, VMFS
fournit un verrouillage sur disque.
Le partage du mme volume VMFS par le biais de plusieurs htes offre les avantages suivants :
n
Vous pouvez utiliser VMware Distributed Resource Scheduling et VMware High Availability.
Vous pouvez distribuer des machines virtuelles travers diffrents serveurs physiques. Cela signifie que
vous excutez un mlange de machines virtuelles sur chaque serveur de sorte qu'il ne reoive pas de
demandes trop importantes dans la mme zone, simultanment. Si un serveur choue, vous pouvez
redmarrer les machines virtuelles sur un autre serveur physique. En cas de dfaillance, le verrouillage
sur disque pour chaque machine virtuelle s'active.
Vous pouvez utiliser vMotion pour migrer des machines virtuelles en cours d'excution depuis un serveur
physique vers un autre.
Vous pouvez utiliser VMware Consolidated Backup qui permet un serveur proxy, appel proxy VCB,
de sauvegarder la capture instantane d'une machine virtuelle tandis que cette dernire est sous tension
ou lit/crit sur son stockage.
86
vMotion
VMware, Inc.
virtuel
machine
virtuel
machine
virtuel
machine
virtuel
machine
local
Ethernet
SCSI
VMFS
Touche
logiciel
carte
fibre
channel
HBA
iSCSI
HBA
SAN
LAN
Ethernet
NIC
Ethernet
NIC
LAN
LAN
physique
disque
banque de donnes
virtuel
disque
VMFS
baie Fibre
VMFS
Baie iSCSI
NFS
botier NAS
REMARQUE Ce diagramme est uniquement destin des fins conceptuelles. Ce n'est pas une configuration
recommande.
VMware, Inc.
87
Protocoles
Transferts
Interface
Fibre Channel
FC/SCSI
FC HBA
iSCSI
IP/SCSI
NIC
NAS
IP/NFS
Tableau 7-2 compare les fonctionnalits de vSphere pris en charge par diffrents types de stockage.
Tableau 7-2. Fonctions vSphere pris en charge par le stockage
Type de
stockage
Dmarrage
VM
vMotion
Banque de
donnes
RDM
Cluster VM
VMware HA
et DRS
VCB
Stockage local
Oui
Non
VMFS
Non
Non
Non
Oui
Fibre Channel
Oui
Oui
VMFS
Oui
Oui
Oui
Oui
iSCSI
Oui
Oui
VMFS
Oui
Oui
Oui
Oui
Oui
Oui
NFS
Non
Non
Oui
Oui
88
Description
Modle
Modle de l'adaptateur.
Nom mondial form selon les normes Fibre Channel qui identifie de manire univoque
l'adaptateur FC.
Nom unique form selon les normes iSCSI qui identifie l'adaptateur iSCSI.
Mthodes de dcouverte
(iSCSI)
Mthodes de dcouverte que l'adaptateur iSCSI applique pour accder aux cibles iSCSI.
Priphriques
Chemins d'accs
Tous les chemins que l'adaptateur l'utilise pour accder aux priphriques de stockage.
VMware, Inc.
Pour afficher les dtails sur un adaptateur particulier, slectionnez-le dans la liste d'adaptateurs de
stockage.
Pour rpertorier tous les priphriques de stockage auxquels l'adaptateur peut accder, cliquez sur
[Priphriques] .
Pour rpertorier tous les chemins qu'utilise l'adaptateur, cliquez sur [Chemins] .
Dans le panneau Dtails, cliquez avec le bouton droit sur la valeur dans le champ de nom, et
slectionnez [Copier] .
Description
Nom
Surnom que l'hte ESXi affecte un priphrique selon le type de stockage et le fabricant.
Vous pouvez changer ce nom par le nom de votre choix.
Identificateur
Nom d'excution
LUN
Type
VMware, Inc.
89
Description
Transport
Capacit
Propritaire
Plugin, comme le NMP ou un plugin tiers, utilis par l'hte pour grer le priphrique de
stockage.
Acclration matrielle
Informations indiquant que le priphrique de stockage assiste l'hte avec des oprations
de gestion de machine virtuelle. L'tat peut tre Pris en charge, Non pris en charge ou
Inconnu. Pour des dtails, veuillez vous reporter la section Acclration matrielle du
stockage , page 130.
Emplacement
Partitions
90
VMware, Inc.
Cliquez avec le bouton droit de la souris sur un priphrique, puis slectionnez [Copier identifiant dans
le presse-papier] .
Reconnaissance en cas d'ajout d'hte l'inventaire. Lorsque vous ajoutez un hte l'inventaire, vSphere
Client affiche les banque de donnes disponibles pour l'hte.
Si votre vSphere Client est connect un systme vCenter Server, vous pouvez afficher des informations sur
les banques de donnes dans la vue banque de donnes. Cette vue affiche tous les banques de donnes de
l'inventaire, organises par centre de donnes. Grce cette vue, vous pouvez organiser des banques de
donnes dans une hirarchie de fichiers, crer des banques de donnes, modifier leurs proprits ou supprimer
des banques de donnes existantes.
Cette vue est complte et affiche toutes les informations de vos banque de donnes, y compris les htes et
machines virtuelles les utilisant, les informations de rapports de stockage, les autorisations, les alarmes, les
tches et vnements, la topologie de stockage, et les rapports de stockage. Des informations de configuration
pour chaque banque de donnes sur tous les htes qui y sont connects sont fournies dans l'onglet
Configuration de la vue banque de donnes.
REMARQUE La vue banque de donnes n'est pas disponible quand le vSphere Client se connecte directement
votre hte. Dans ce cas, consultez les informations de banque de donnes via l'onglet de configuration de
stockage de l'hte.
Tableau 7-5 fournit des informations dtailles sur la banque de donnes que vous pouvez consulter lorsque
vous effectuez une analyse de banques de donnes.
Tableau 7-5. Informations sur les banque de donnes
Informations sur les banque de
donnes
Description
Identification
Priphrique
Capacit
Espace
libre disponible.
Type
Permet la gestion des priorits d'E/S de stockage. Voir le guide de gestion des ressources
vSphere.
VMware, Inc.
91
Description
Acclration matrielle
Informations indiquant que la banque de donnes assiste l'hte avec des oprations de
gestion de machine virtuelle. L'tat peut tre Pris en charge, Non pris en charge ou
Inconnu. Pour des dtails, veuillez vous reporter la section Acclration matrielle
du stockage , page 130.
Emplacement
Extensions
Rgles de slection de chemin d'accs utilises par l'hte pour accder aux espaces de
stockage (banque de donnes VMFS uniquement).
Chemins d'accs
Nombre de chemins d'accs utiliss pour accder au stockage et leur statut (banque de
donnes VMFS uniquement).
92
Pour afficher les informations sur une banque de donnes spcifique, slectionnez la banque de donnes
partir de la liste.
VMware, Inc.
La rubrique suivante contient les informations de configuration des priphriques de stockage SCSI locaux,
du stockage Fibre Channel SAN, du stockage iSCSI et du stockage NFS.
Ce chapitre aborde les rubriques suivantes :
n
virtuel
machine
local
Ethernet
SCSI
VMFS
Dans cet exemple de topologie de stockage local, l'hte ESXi emploie une connexion unique un disque. Sur
ce disque, vous pouvez crer une banque de donnes VMFS que vous utilisez pour stocker les fichiers de disque
de la machine virtuelle.
VMware, Inc.
93
Bien que cette configuration de stockage soit possible, cette topologie n'est pas recommande. L'utilisation de
connexions uniques entre des baies de stockage et des htes cre des points de dfaillance uniques (SPOF)
pouvant causer des interruptions lorsqu'une connexion devient instable ou choue.
Afin de garantir une tolrance aux pannes, certains systmes DAS prend en chargent des chemins de connexion
redondants.
virtuel
machine
fibre
channel
HBA
SAN
VMFS
baie Fibre
Dans cette configuration, un hte ESXi se connecte une structure SAN compose de baies de stockage et de
commutateurs Fibre Channel, via un adapteur Fibre Channel. Les LUN d'une baie de stockage deviennent
disponibles pour l'hte. Vous pouvez accder aux LUN et crer une banque de donnes pour vos besoins de
stockage. La banque de donnes utilise le format VMFS.
Pour des informations spcifiques sur la configuration de la structure SAN FC et des baies de stockage pour
ESXi, consultez le guide de configuration Fibre Channel SAN.
Stockage iSCSI
ESXi prend en charge la technologie iSCSI qui permet votre hte d'employer un rseau IP pour accder au
stockage distance. Avec iSCSI, le stockage SCSI impose que les communications de votre machine virtuelle
vers son disque virtuel soient converties en paquets TCP/IP et transmises un priphrique distant, ou cible,
qui stocke le disque virtuel.
Pour accder aux cibles distantes, votre hte emploie des initiateurs iSCSI. Les initiateurs transportent les
requtes et rponses SCSI entre l'hte et le priphrique de stockage cible sur le rseau IP. ESXi prend en charge
les initiateurs iSCSI matriels, dpendants et indpendants, et logiciels.
94
VMware, Inc.
Vous devez configurer les initiateurs iSCSI de l'hte pour qu'il accde et affiche les priphriques de stockage
iSCSI.
Figure 8-3 dcrit les diffrents types d'initiateurs iSCSI.
Figure 8-3. Stockage iSCSI
Hte
virtuel
machine
virtuel
machine
logiciel
carte
iSCSI
HBA
Ethernet
NIC
LAN
LAN
VMFS
Baie iSCSI
Dans l'exemple de gauche, l'hte utilise la carte iSCSI matrielle pour se connecter au systme de stockage
iSCSI.
Dans l'exemple de droite, l'hte utilise un adapteur iSCSI logiciel et un adapteur d'interface rseau Ethernet
pour se connecter au stockage iSCSI.
Les priphriques de stockage iSCSI du systme de stockage deviennent disponibles pour l'hte. Vous pouvez
accder aux priphriques de stockage et crer des banque de donnes VMFS pour vos besoins de stockage.
Pour des informations spcifiques sur la configuration de la structure SAN iSCSI pour fonctionner avec
ESXi, consultez le guide de configuration iSCSI SAN.
Initiateurs iSCSI
Pour accder aux cibles iSCSI, votre hte utilise des initiateurs iSCSI. Les initiateurs transportent les requtes
et rponses SCSI, encapsules dans le protocole iSCSI, entre l'hte et la cible iSCSI.
VMware prend en charge plusieurs types d'initiateurs.
VMware, Inc.
95
Adaptateur de matriel
ISCSI indpendant
Les adaptateurs de matriel ISCSI doivent avoir une licence. Sinon, ils n'apparatront pas dans vSphere Client
ou vSphere CLI. Contactez votre fournisseur pour avoir des renseignements sur la licence.
Installez l'adaptateur.
Pour toute information sur l'installation, consultez la documentation du fabricant.
Pour que votre hte puisse accder au stockage iSCSI, vous devez d'abord installer l'adaptateur iSCSI matriel
et configurer l'adresse de dcouverte et les paramtres CHAP.
96
VMware, Inc.
Ouvrez une session sur vSphere Client et slectionnez un hte dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Adaptateurs de stockage] dans le panneau Matriel.
S'il est install, l'initiateur iSCSI matriel doit figurer dans la liste d'adaptateurs de stockage.
Vous pouvez maintenant configurer votre initiateur matriel ou modifier ses caractristiques par dfaut.
Pour changer le nom iSCSI par dfaut pour votre initiateur, entrez le nouveau nom.
Assurez-vous que le nom que vous entrez est unique mondialement et correctement format ou certains
priphriques de stockage pourraient ne pas identifier l'initiateur du matriel iSCSI.
Si vous changez le nom iSCSI, celui-ci sera utilis pour de nouvelles sessions iSCSI. Pour des sessions existantes,
les nouveaux paramtres ne seront pas utiliss jusqu' la dconnexion et la reconnexion.
VMware, Inc.
97
Si vous utilisez des NIC multiples pour le multichemin iSCSI logiciel, associez les ports en connectant tous
les ports iSCSI l'adaptateur iSCSI logiciel.
Reportez-vous Associer des ports iSCSI aux adaptateurs iSCSI , page 101.
Si ncessare, activez les trames Jumbo. Les Trames jumbo doivent tre actives pour chaque vSwitch par
le vSphere CLI.
Reportez vous la section Mise en rseau pour plus d'informations.
Ouvrez une session sur vSphere Client et slectionnez un serveur dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Adaptateurs de stockage] dans le panneau Matriel.
La liste des adaptateurs de stockage disponibles apparat.
98
VMware, Inc.
Aprs l'activation de l'initiateur, l'hte lui assigne un nom iSCSI par dfaut. Vous pouvez modifier le nom par
dfaut si ncessaire.
Dterminez l'association entre les adaptateurs matriels dpendants et les NIC physiques.
Reportez-vous la section Dtermine l'association entre les adaptateurs de matriel iSCSI dpendants
et les adaptateurs rseau physiques , page 100
Notez bien les noms des NIC physiques correspondants. Par exemple, l'adaptateur vmhba33 correspond
au vmnic1 tandis que vmhba34 correspond au vmnic2.
Associez les ports iSCSI aux adaptateurs iSCSI matriels dpendants correspondants. Cette tape est
ncessaire, que vous disposiez de plusieurs adaptateurs ou d'un seul.
Reportez-vous Associer des ports iSCSI aux adaptateurs iSCSI , page 101.
Dans cet exemple, le port vmk1 est associ vmhba33, et le port vmk2 est associ vmbh34.
Lorsque vous utilisez un adaptateur iSCSI matriel dpendant, le rapport de performances pour une carte
rseau associe l'adaptateur ne montre que peu ou pas d'activit, mme lorsque le trafic iSCSI est intense.
Cela est d au contournement de la pile rseau habituelle par le trafic iSCSI.
L'adaptateur iSCSI Broadcom rassemble les donnes dans le matriel, dont l'espace tampon est limit.
Lorsque vous utilisez l'adaptateur iSCSI Broadcom dans un rseau congestionn ou sous chargement,
activez le contrle de flux pour viter la dgradation des performances.
VMware, Inc.
99
Le contrle de flux gre la vitesse de transmission des donnes entre deux nuds pour viter qu'un
expditeur rapide ne dpasse un rcepteur lent. Pour obtenir de meilleurs rsultats, activez le contrle du
flux aux points d'extrmit du chemin E/S, au niveau des htes et des systmes de stockage iSCSI.
n
Les adaptateurs iSCSI Broadcom ne prennent pas en charge les trames IPv6 et les trames jumbo.
Ouvrez une session sur vSphere Client et slectionnez un hte dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Adaptateurs de stockage] dans le panneau Matriel.
S'il est install, l'adaptateur de matriel iSCSI doit figurer dans la liste d'adaptateurs de stockage.
Utilisez la commande vSphere CLI pour dterminer le nom de la carte rseau physique laquelle
l'adaptateur iSCSI est associ.
esxcli swiscsi vmnic list -d vmhba#
Suivant
Aprs avoir dtermin le nom de la carte rseau, vous devez crer un port iSCSI sur un vSwitch connect la
carte. Vous associez alors ce port l'adaptateur iSCSI matriel dpendant afin que votre hte puisse diriger le
trafic iSCSI via la carte.
100
VMware, Inc.
Pour les adaptateurs iSCSI matriels dpendants, associez correctement les NIC physiques et les
adaptateurs iSCSI. Reportez-vous Affichage des adaptateurs de matriel iSCSI dpendants ,
page 100.
Configurez le rseau pour le trafic iSCSI. Reportez-vous Configuration du rseau pour l'iSCSI logiciel
et l'iSCSI matriel dpendant , page 71.
Pour utiliser l'adaptateur logiciel iSCSI, vous devez l'activer. Reportez-vous Activer l'adaptateur iSCSI
logiciel , page 98.
Procdure
1
Utilisez la commande vSphere CLI pour associer le port iSCSI l'adaptateur iSCSI.
esxcli swiscsi nic add -n port_name -d vmhba
IMPORTANT En cas d'iSCSI logiciel, rptez cette commande pour chaque port iSCSI, en connectant tous
les ports avec l'adaptateur iSCSI logiciel. En cas d'iSCSI matriel dpendant, assurez-vous d'associer
chaque port un adaptateur correspondant appropri.
3
VMware, Inc.
101
Dcouverte statique
Ouvrez une session sur vSphere Client et slectionnez un serveur dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Adaptateurs de stockage] dans le panneau Matriel.
La liste des adaptateurs de stockage disponibles apparat.
Dans la bote de dialogue de proprits d'initiateur iSCSI, cliquez sur l'onglet [Dcouverte
dynamique] .
Suivant
Une fois la dcouverte dynamique configure pour votre adaptateur iSCSI, Ranalysez l'adaptateur.
102
VMware, Inc.
Ouvrez une session sur vSphere Client et slectionnez un serveur dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Adaptateurs de stockage] dans le panneau Matriel.
La liste des adaptateurs de stockage disponibles apparat.
Dans la bote de dialogue de proprits d'initiateur iSCSI, cliquez sur l'onglet [Dcouverte statique] .
L'onglet affiche toutes les cibles dcouvertes dynamiquement et toutes les cibles statiques dj saisies.
Pour ajouter une cible, cliquez sur [Ajouter] et saisissez les informations sur la cible.
Suivant
Une fois la dcouverte statique configure pour votre adaptateur iSCSI, Ranalysez l'adaptateur.
VMware, Inc.
103
CHAP mutuel
Pour les cartes iSCSI logiciels et matrielles dpendantes, vous pouvez dfinir le CHAP unilatral et le CHAP
mutuel pour chaque initiateur ou au niveau cible. L'iSCSI matrielle ne permet le CHAP qu'au niveau initiateur.
Quand vous dfinissez les paramtres CHAP, indiquez un niveau de scurit pour CHAP.
REMARQUE Quand vous indiquez le niveau de scurit CHAP, le type de rponse de la baie de stockage dpend
de l'implmentation CHAP de la baie et de l'diteur. Par exemple, si vous cochez Utiliser CHAP sauf si la
cible l'interdit, certaines baies de stockage appliquent CHAP dans la rponse, alors que d'autres non. Pour
plus d'informations sur le comportement de l'authentification CHAP dans diffrentes configurations
d'initiateur et de cible, consultez la documentation de la baie.
Tableau 8-1. Niveau de scurit CHAP
Niveau de scurit CHAP
Description
Pris en charge
iSCSI logiciel
Matriel iSCSI dpendant
Matriel iSCSI indpendant
iSCSI logiciel
Matriel iSCSI dpendant
iSCSI logiciel
Matriel iSCSI dpendant
Matriel iSCSI indpendant
Utiliser CHAP
iSCSI logiciel
Matriel iSCSI dpendant
En CHAP mutuel, la cible et l'initiateur s'authentifient rciproquement. Veillez utiliser diffrents secrets
pour le CHAP et le CHAP mutuel.
Quand vous configurez des paramtres CHAP, assurez-vous qu'ils concordent avec les paramtres du ct
stockage.
Le nom CHAP ne doit pas excder 511 et le mot de passe CHAP 255 caractres alphanumriques. Certains
adaptateurs, par exemple l'adaptateur QLogic, peuvent avoir des limites plus basses, 255 pour le nom CHAP
et 100 pour le secret CHAP.
104
VMware, Inc.
Procdure
1
[Utilisez CHAP juste si cible le demande] (iSCSI logiciel et matrielle dpendante uniquement)
[Utiliser CHAP] (iSCSI logiciel et matrielle dpendante uniquement) Pour pouvoir configurer
le CHAP mutuel, vous devez slection cette option.
c
4
Pour dsigner comme nom CHAP le nom d'initiateur iSCSI, cochez [Utiliser nom initiateur] .
Pour dsigner comme nom CHAP toute autre chose que le nom d'initiateur iSCSI, dcochez
[Utiliser nom initiateur] et tapez un nom dans le champ [Nom] .
Saisissez un secret CHAP unilatral utiliser dans le cadre de l'authentification. Veillez utiliser le
mme secret que celui que vous saisissez ct stockage.
Pour configurer le CHAP mutuel, configurez d'abord le CHAP unilatral selon les instructions de tape
3
Veillez cocher [Utiliser CHAP] comme option du CHAP unilatral. Ensuite, spcifiez les paramtres
suivants sous [CHAP mutuel] :
a
Tapez le secret CHAP mutuel. Veillez utiliser des secrets diffrents pour le CHAP unilatral et le
CHAP mutuel.
Ranalysez l'initiateur.
Si vous modifiez les paramtres CHAP ou CHAP mutuel, ils sont appliqus aux nouvelles sessions iSCSI. Pour
les sessions existantes, les nouveaux paramtres ne sont appliqus qu'une fois que vous vous tes dconnect
puis reconnect.
En CHAP mutuel, la cible et l'initiateur s'authentifient rciproquement. Veillez utiliser diffrents secrets
pour le CHAP et le CHAP mutuel.
VMware, Inc.
105
Procdure
1
Dans la liste de cibles disponibles, slectionnez la cible que vous voulez configurer et cliquez sur
[Paramtres] > [CHAP] .
[Utiliser CHAP] . Pour pouvoir configurer le CHAP mutuel, vous devez slection cette option.
d
5
Pour dsigner comme nom CHAP le nom d'initiateur iSCSI, cochez [Utiliser nom initiateur] .
Pour dsigner comme nom CHAP toute autre chose que le nom d'initiateur iSCSI, dcochez
[Utiliser nom initiateur] et tapez un nom dans le champ [Nom] .
Saisissez un secret CHAP unilatral utiliser dans le cadre de l'authentification. Veillez utiliser le
mme secret que celui que vous saisissez ct stockage.
Pour configurer le CHAP mutuel, configurez d'abord le CHAP unilatral selon les instructions de tape
4.
Veillez cocher [Utiliser CHAP] comme option du CHAP unilatral. Ensuite, spcifiez les paramtres
suivants dans la zone Mutual CHAP :
a
Tapez le secret CHAP mutuel. Veillez utiliser des secrets diffrents pour le CHAP unilatral et le
CHAP mutuel.
Ranalysez l'initiateur.
Si vous modifiez les paramtres CHAP ou CHAP mutuel, ils sont appliqus aux nouvelles sessions iSCSI. Pour
les sessions existantes, les nouveaux paramtres ne sont appliqus qu'une fois que vous vous tes dconnect
puis reconnect.
Dsactiver CHAP
Vous pouvez mettre hors tension le protocole CHAP si le systme de stockage ne le ncessite pas.
Si vous dsactivez CHAP sur un systme qui exige l'authentification CHAP, les sessions iSCSI existantes
demeurent actives jusqu' ce que vous redmarriez votre hte ESXi ou que le systme de stockage oblige se
dconnecter. Une fois la session close, vous ne pouvez plus vous connecter aux cibles qui exigent CHAP.
106
VMware, Inc.
Procdure
1
Avec les adaptateurs iSCSI logiciels et matriels dpendants, pour ne mettre hors tension que le CHAP
mutuel et laisser le CHAP unilatral, cochez [Ne pas utiliser le CHAP] dans la zone CHAP mutuel.
Pour mettre hors tension le CHAP unilatral, cochez [Ne pas utiliser le CHAP] dans la zone CHAP.
Le CHAP mutuel, s'il est install, passe automatiquement [Ne pas utiliser le CHAP] si vous dsactivez
le CHAP unilatral.
Description
Configurable sur
Rsum d'en-tte
iSCSI logiciel
Matriel iSCSI
dpendant
Rsum de donnes
iSCSI logiciel
Matriel iSCSI
dpendant
Maximum
Outstanding R2T
(Maximum d'units de
donnes de protocole
en suspend prtes
envoyer)
iSCSI logiciel
Matriel iSCSI
dpendant
iSCSI logiciel
Matriel iSCSI
dpendant
Maximum Burst
Length (Longueur
maximum de salve)
iSCSI logiciel
Matriel iSCSI
dpendant
Maximum Receive
Data Segment Length
(Longueur maximum
de segment de donnes
en rception)
iSCSI logiciel
Matriel iSCSI
indpendant
VMware, Inc.
107
Description
Configurable sur
Session Recovery
Timeout (Dlai de
rcupration de
session)
iSCSI logiciel
No-Op Interval
(Intervalle sans
opration)
iSCSI logiciel
Matriel iSCSI
dpendant
iSCSI logiciel
Matriel iSCSI
dpendant
ARP Redirect
(Redirection ARP)
Accus de rception
retard
iSCSI logiciel
Matriel iSCSI
dpendant
Matriel iSCSI
dpendant
Pour configurer les paramtres avancs au niveau initiateur, dans l'onglet Gneral, cliquez sur
[Avanc] . Passez tape 4.
108
Dans la liste de cibles disponibles, slectionnez une cible configurer et cliquez sur [Paramtres] >
[Avanc] .
Saisissez toute valeur obligatoire des paramtres avancs que vous voulez modifier et cliquez sur [OK]
pour enregistrer vos modifications.
VMware, Inc.
Reconnecter un cble
Ajout d'un seul hte dans le vCenter Server aprs la modification ou la suppression du vCenter Server
d'une banque de donnes partage par les htes du vCenter Server et un seul hte.
IMPORTANT Si vous ranalysez quand un chemin n'est pas disponible, l'hte le supprime de la liste de chemins
sur le priphrique. Ce chemin rapparat dans la liste ds qu'il devient disponible et recommence
fonctionner.
Rescanner le stockage
Lorsque vous apportez des modifications la configuration de votre SAN, vous pouvez avoir besoin de
ranalyser votre stockage. Vous pouvez ranalyser tout le stockage disponible de votre hte. Si les
modifications que vous apportez ne concernent que le stockage accessible par un adaptateur spcifique,
effectuez une ranalyse seulement pour cet adaptateur.
Appliquez cette procdure si vous voulez limiter la ranalyse au stockage disponible pour un hte particulier
ou un hte auquel on accde par un adaptateur particulier. Si vous voulez ranalyser le stockage disponible
tous les htes grs par votre systme vCenter Server, vous pouvez le faire en cliquant avec le bouton droit
sur un centre de donnes, un cluster ou un dossier qui contient les htes et en slectionnant [ranalyse banques
de donnes] .
VMware, Inc.
109
Procdure
1
Dans le panneau Matriel, slectionnez [Adaptateurs de stockage] , et cliquez sur [ranalyse] au-dessus
du panneau Adaptateurs de stockage.
Vous pouvez galement cliquer avec le bouton droit sur un adaptateur individuel et cliquer sur
[Ranalyser] pour ne ranalyser que cet adaptateur.
IMPORTANT Sur ESXi, il n'est pas possible de ne ranalyser qu'un seul adaptateur de stockage. Si vous
ranalysez un seul adaptateur, tous les adaptateurs sont ranalyss.
Pour dtecter les nouveaux disques ou LUN, cochez [Analyser nouveau priphrique stockage] .
Si de nouveaux LUN sont dcouverts, ils apparaissent dans la liste de priphriques.
Pour dtecter les nouvelles banque de donnes ou mettre niveau une banque de donnes aprs que sa
configuration a t modifie, cochez [Analyser nouveaux volumes VMFS] .
Si de nouvelles banques de donnes ou de nouveaux volumes VMFS sont dcouverts, ils apparaissent
dans la liste de banque de donnes.
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Stockage] dans le panneau Matriel.
Slectionnez un priphrique utiliser pour votre banque de donnes et cliquez sur [Suivant] .
REMARQUE Slectionnez le priphrique sans nom de banque de donnes affich dans la colonne VMFS
Label. Si un nom est prsent, le priphrique contient une copie d'une banque de donnes VMFS existante.
Si le disque que vous formatez est vierge, la page Disposition actuelle du disque prsente
automatiquement l'espace disque entier pour la configuration du stockage.
110
Si le disque n'est pas vierge, passez en revue la disposition actuelle de disque dans le panneau suprieur
de la page Disposition actuelle du disque et slectionnez une option de configuration dans le panneau
infrieur.
Option
Description
Dploie une banque de donnes VMFS dans l'espace libre restant du disque.
VMware, Inc.
Dans la page Proprits, entrez le nom d'une banque de donnes et cliquez sur [Suivant] .
10
11
Sur la page Prt Terminer, passez en revue les informations de configuration de banque de donnes et
cliquez sur [Terminer] .
Une banque de donnes sur le priphrique de stockage SCSI est cre. Si vous employez le systme vCenter
Server pour grer vos htes, la banque de donnes nouvellement cre est automatiquement ajoute tous les
htes.
virtuel
machine
Ethernet
NIC
LAN
NFS
botier NAS
VMware, Inc.
111
Les disques virtuels que vous crez sur des banque de donnes NFS utilisent un format de disque dict par le
serveur NFS, gnralement un format lger qui requiert un emplacement d'espace la demande. Si la machine
virtuelle manque d'espace au cours de l'criture sur ce disque, le vSphere Client vous informe de la ncessit
de plus d'espace. Vous disposez des options suivantes :
n
Librez de l'espace supplmentaire sur le volume afin que la machine virtuelle puisse continuer crire
sur le disque.
Mettez fin la session de la machine virtuelle. Terminer la session arrte la machine virtuelle.
AVERTISSEMENT Lorsque votre hte accde au fichier de disque d'une machine virtuelle sur une banque de
donnes NFS, un fichier de verrouillage .lck-XXX est gnr dans le mme rpertoire que celui du fichier de
disque afin d'empcher d'autres disques d'accder ce fichier de disque virtuel. Ne supprimez pas le fichier
de verrouillage .lck-XXX car sans lui, la machine virtuelle en cours d'excution ne peut pas accder au fichier
de disque virtuel.
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Stockage] dans le panneau Matriel.
Slectionnez [Systme de fichiers rseau] comme le type de stockage et cliquez sur [Suivant] .
Entrez le nom du serveur, le nom de dossier du point de montage et le nom de la banque de donnes.
REMARQUE Quand vous montez le mme volume NFS sur plusieurs htes, s'assurer que les noms de
serveur et de dossier sont identiques sur les htes. Si les noms ne correspondent pas exactement, par
exemple si vous entrez partage comme nom de dossier sur un hte et /partage sur l'autre, les htes voient
le mme volume NFS en tant que deux banque de donnes diffrentes. Il peut s'ensuivre une dfaillance
de certaines fonctions comme vMotion.
112
VMware, Inc.
(Facultatif) Slectionnez [Montage NFS lecture seule] si le volume est export en Lecture seule par le
serveur NFS.
Dans la page Rsum de systme de fichiers rseau, passez en revue les options de configuration et cliquez
sur [Finir] .
Ouvrez une session sur vSphere Client et slectionnez l'hte dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Stockage] dans le panneau Matriel.
Description
Local priv
Cre la partition de diagnostic sur un disque local. Cette partition stocke les
informations de dfaillance uniquement pour votre hte.
VMware, Inc.
113
114
VMware, Inc.
Gestion du stockage
Aprs avoir cr des banque de donnes, vous pouvez modifier leurs proprits, utiliser des dossiers pour
regroupesr les banque de donnes en fonction de vos besoins professionnels ou supprimer les banque de
donnes non utilises. Vous pouvez galement configurer les chemins multiples pour vos copies de banque
de donnes de stockage ou de nouvelle signature.
Ce chapitre aborde les rubriques suivantes :
n
Cres par dfaut lorsque l'hte ESXi est dmarr pour la premire fois. Le logiciel formate tous les disques
locaux vierges visibles ou partitions avec les banque de donnes VMFS afin que vous puissiez crer des
machines virtuelles sur les banque de donnes.
Reconnaissance en cas d'ajout d'hte l'inventaire. vSphere Client affiche les banque de donnes que l'hte
peut reconnatre.
VMware, Inc.
115
Aprs avoir cr les banque de donnes, vous pouvez les employer pour stocker des fichiers de machine
virtuelle. Vous pouvez les grer en les renommant, les supprimant et en dfinissant des autorisations de
contrle d'accs. Par ailleurs, vous pouvez regroupesr les banque de donnes afin de les organiser et de dfinir
les mmes autorisations au sein du groupes simultanment.
Pour plus d'informations sur la dfinition des autorisations de contrle d'accs sur une banque de donnes,
voir l'Aide de vSphere Client.
Cliquez avec le bouton droit sur la banque de donnes renommer et slectionnez [Renommer] .
Si vous utilisez le systme de vCenter Server pour grer vos htes, le nouveau nom s'affiche sur tous les htes
qui ont accs la banque de donnes.
116
Cliquez avec le bouton droit sur la banque de donnes supprimer et slectionnez [Supprimer] .
VMware, Inc.
Cliquez avec le bouton droit sur la banque de donnes dmonter et slectionnez [Dmonter] .
Si la banque de donnes est partage, spcifiez quels htes ne devraient plus accder la banque de
donnes.
a
Si ncessaire, dslectionnez les htes o vous souhaitez maintenir votre banque de donnes monte.
Par dfaut, tous les htes sont slectionns.
Passez en revue la liste de htes desquels vous voulez dmonter votre banque de donnes, et cliquez
sur [Terminer] .
vCenter Server uniquement. Pour accder la bote de dialogue Datastore Properties, slectionnez la
banque de donnes dans l'inventaire, cliquez sur l'onglet [Configuration] , puis sur [Proprits] .
vCenter Server et hte ESXi. Pour accder la bote de dialogue Datastore Properties, slectionnez un hte
dans l'inventaire, cliquez sur l'onglet [Configuration] , puis sur [Stockage] . Dans la vue banque de
donnes, slectionnez la banque de donnes modifier et cliquez sur [Proprits] .
VMware, Inc.
117
Ajoutez une nouvelle extension. Une extension est une partition sur un priphrique de stockage, ou LUN.
Vous pouvez ajouter jusqu' 32 extensions du mme type de stockage sur une banque de donnes VMFS
existante. La banque de donnes VMFS tendue peut utiliser toutes ses extensions tout moment. Elle ne
doit pas ncessairement remplir une extension spcifique avant d'utiliser la suivante.
Augmentez une extension dans une banque de donnes VMFS existante, afin qu'elle remplisse la capacit
adjacente disponible. Seules les extensions avec de l'espace libre juste aprs eux sont extensibles.
REMARQUE Si une banque de donnes partage dispose de machines virtuelles actives et est remplie 100 %,
vous pouvez augmenter la capacit de celle-ci uniquement partir de l'hte, auprs duquel les machines
virtuelles actives sont enregistres.
Procdure
1
Ouvrez une session sur vSphere Client et slectionnez un hte dans le panneau d'inventaire.
Dans la vue banque de donnes, slectionnez la banque de donnes augmenter et cliquez sur
[Proprits] .
Si vous voulez ajouter une nouvelle extension, slectionnez le priphrique pour lequel la colonne
Extensible indique Non.
Si vous voulez agrandir une extension existante, slectionnez le priphrique pour lequel la colonne
Extensible indique Yes.
Option
Description
Dploie une extension dans l'espace libre restant du disque. Cette option est
disponible seulement en ajoutant une extension.
118
VMware, Inc.
Passez en revue la disposition propose et la nouvelle configuration de votre banque de donnes et cliquez
sur [Terminer] .
Suivant
Aprs avoir augment une extension dans une banque de donnes VMFS partage, actualisez la banque de
donnes sur chaque hte pouvant y accder afin que vSphere Client puisse afficher la capacit correcte de la
banque de donnes pour tous les htes.
Validez ou annulez les modifications aux disques virtuels dans le volume VMFS-2 que vous envisagez de
mettre niveau.
Assurez-vous que les machines virtuelles actives n'utilisent pas ce volume VMFS-2.
La conversion VMFS-2 VMFS-3 est un processus sens unique. Aprs la conversion de la banque de donnes
VMFS en VMFS-3, vous ne pouvez pas retourner la version VMFS-2.
Pour mettre niveau un systme de fichiers VMFS-2, sa taille de bloc de fichier ne doit pas dpasser 8 Mo.
Procdure
1
Ouvrez une session sur vSphere Client et slectionnez un hte dans le panneau d'inventaire.
Effectuez une nouvelle analyse de tous les htes voyant la banque de donnes.
VMware, Inc.
119
Ouvrez une session sur vSphere Client et slectionnez le serveur dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Stockage] dans le panneau Matriel.
De la liste des LUN, slectionnez le LUN qui a un nom de banque de donnes affich dans la colonne
tiquette VMFS et cliquez sur [Suivant] .
Le nom prsent dans la colonne tiquette VMFS indique que le LUN contient une copie d'une banque de
donnes VMFS existante.
Sur la page Prt terminer, passez en revue les informations de configuration de banque de donnes et
cliquez sur [Terminer] .
Suivant
Si vous voulez plus tard re-signer la banque de donnes monte, vous devrez d'abord le dmonter.
120
VMware, Inc.
La copie de LUN qui contient la banque de donnes VMFS pour la re-signature ne sera plus traite comme
copie de LUN.
Une banque de donnes parpille ne peut tre resignature que si toutes ses parties sont en ligne.
Le processus de re-signature est tolrant aux pannes et aux incidents. Si le processus est interrompu, vous
pourrez le reprendre plus tard.
Vous pouvez monter la nouvelle banque de donnes VMFS sans risque de collision de son UUID avec
l'UUID de toute autre banque de donnes, comme un parent ou enfant dans une hirarchie de snapshots
LUN.
Ouvrez une session sur vSphere Client et slectionnez le serveur dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Stockage] dans le panneau Matriel.
De la liste des LUN, slectionnez le LUN qui a un nom de banque de donnes affich dans la colonne
tiquette VMFS et cliquez sur [Suivant] .
Le nom prsent dans la colonne tiquette VMFS indique que le LUN contient une copie d'une banque de
donnes VMFS existant.
Dans Options de montage, slectionnez [Affecter nouvelle signature] et cliquez sur [Suivant] .
Sur la page Prt Terminer, passez en revue les informations de configuration de banque de donnes et
cliquez sur [Terminer] .
VMware, Inc.
121
Suivant
Aprs avoir re-sign, vous devrez faire ce qui suit :
n
Si la banque de donnes resigne contient des machines virtuelles, mettez niveau les rfrences sur la
banque de donnes VMFS initiale dans les fichiers de la machine virtuelle, y compris les
fichiers.vmx,.vmdk,.vmsd, et.vmsn.
Pour mettre sous tension des machines virtuelles, enregistrez-les avec vCenter Server.
Routage des demandes d'E/S pour un priphrique logique spcifique vers le MPP qui gre ce
priphrique.
Mise en place du partage de la bande passante du priphrique logique entre les machines virtuelles.
Traitement des files d'attente d'E/S vers les HBA de stockage physiques.
Comme Figure 9-1 l'illustre, plusieurs MPP tiers peuvent s'excuter en parallle avec le VMware NMP.
Lorsqu'ils sont installs, les MPP tiers remplacent le comportement du NMP et prennent le contrle total du
basculement de chemin et des oprations d'quilibrage de charge pour les priphriques de stockage spcifis.
122
VMware, Inc.
tiers
MPP
VMware NMP
VMware SATP
VMware PSP
VMware SATP
VMware PSP
VMware SATP
SATP tiers
PSP tiers
Prise en charge des tches de gestion, telles que l'interruption et la rinitialisation des priphriques
logiques.
VMware, Inc.
123
Ds que le NMP dtermine le SATP utiliser pour un priphrique de stockage spcifique et qu'il associe le
SATP aux chemins physiques de ce priphrique de stockage, le SATP met en uvre les tches suivantes :
n
Excution d'actions spcifiques la baie ncessaires pour le basculement du stockage. Par exemple, pour
les priphriques actifs-passifs, il peut activer les chemins passifs.
PSP de VMware
Path Selection Plug-Ins (PSP) s'excute avec VMware NMP et choisit un chemin physique pour les demandes
d'E/S.
VMware NMP affecte un PSP par dfaut pour chaque priphrique logique selon le SATP associ aux chemins
physiques de ce priphrique. Vous pouvez remplacer le PSP par dfaut.
Par dfaut, le VMware NMP prend en charge les PSP suivants :
Dernire utilisation
(VMW_PSP_MRU)
Slectionne le chemin que l'hte ESXi a le plus rcemment utilis pour accder
au priphrique. Si ce chemin est indisponible, l'hte opte pour un autre chemin
et continue d'utiliser le nouveau chemin tant qu'il est disponible. MRU est la
rgle de chemin par dfaut pour les baies actives/passives.
Fixe (VMW_PSP_FIXED)
VMW_PSP_FIXED_AP
Round Robin
(VMW_PSP_RR)
124
Le PSP slectionne le chemin physique appropri sur lequel il peut envoyer l'E/S.
Le SATP interprte les erreurs de commande d'E/S et, si ncessaire, active les chemins inactifs.
Le PSP est appel et slectionne un nouveau chemin sur lequel il peut envoyer l'E/S.
VMware, Inc.
HBA2
Hte
2
HBA1
HBA3
HBA4
commutateur
commutateur
SP1
SP2
baie de stockage
De mme, si le SP1 ou la liaison entre le SP1 et le commutateur s'interrompt, le SP2 prend la relve et fournit
la connexion entre le commutateur et le priphrique de stockage. Ce processus est appel basculement SP.
ESXi prend en charge le basculement HBA et SP pour sa capacit de chemins multiples.
VMware, Inc.
125
logiciel
iSCSI
hte 1
hte 2
logiciel
carte
HBA2
HBA1
NIC2
NIC1
Mise en rseau IP
SP
Stockage iSCSI
126
VMware, Inc.
Les chemins disponibles pour E/S avec un LUN. Un ou plusieurs chemins actifs
en cours d'utilisation pour le transfert de donnes sont marqus comme Actifs
(E/S).
REMARQUE Pour les htes faisant tourner ESXi 3.5 ou plus anciens, le terme
"Actif" dsigne le chemin unique que l'hte utilise pour E/S avec un LUN.
Veille
VMware, Inc.
Le chemin est oprationnel et peut tre utilis pour E/S si les chamins actifs
tombent en panne.
127
Dsactiv
Mort
Si vous utilisez la politique de chemin [Fixe] , vous pouvez voir quel est le chemin prfr. Le chemin prfr
est marqu par une astrisque (*) dans la colonne Prfr.
Ouvrez une session sur vSphere Client et slectionnez un serveur dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Stockage] dans le panneau Matriel.
Dans la liste des banque de donnes configures, slectionnez le datastore dont vous voulez afficher ou
configurer les chemins.
Le volet Dtails indique le nombre total de chemins pouvant accder au priphrique et si l'un d'eux est
cass ou dsactiv.
Cliquez sur [Proprits] > [Grer les chemins] pour ouvrir la bote de dialogue Grer les chemins.
Vous pouvez utiliser la bote de dialogue Grer les chemins pour activer ou mettre hors tension vos
chemins, dfinir des rgles de chemins multiples et spcifier le chemin prfr.
Ouvrez une session sur vSphere Client et slectionnez un serveur dans le panneau d'inventaire.
Cliquez sur l'onglet [Configuration] et cliquez sur [Stockage] dans le panneau Matriel.
Cliquez sur [Grer les chemins] pour ouvrir la bote de dialogue Grer les chemins.
128
Fixe (VMW_PSP_FIXED)
AP fixe
(VMW_PSP_FIXED_AP)
VMware, Inc.
Dernire utilisation
(VMW_PSP_MRU)
Round Robin
(VMW_PSP_RR)
Tableau 9-1 rsume les changements de comportement de l'hte en fonction du type de baie et des rgles de
basculement.
Tableau 9-1. Effets de la rgle de chemin d'accs
Rgle/Carte
Active/Active
Active/Passive
Fixe
Round Robin
Pas de restauration.
AP fixe
Pour les baies ALUA, VMkernel choisit le chemin d'accs dfini comme chemin d'accs
prfr.
Pour les baies A/A, A/P et ALUA, VMkernel reprend en utilisant le chemins d'accs prfr,
mais uniquement si l'algorithme vitant l'annulation des chemins d'accs autorise la
restauration.
VMware, Inc.
129
Ouvrez la bote de dialogue Grer les chemins depuis la vue banque de donnes ou Priphriques.
[Fixe (VMW_PSP_FIXED)]
Pour la rgle fixe, spcifiez un chemin d'accs en cliquant avec le bouton droit de la souris sur le chemin
considrer comme votre chemin prfr, et slectionnez [Prfr] .
Cliquez sur [OK] pour sauvegarder vos paramtres et quitter la bote de dialogue.
Ouvrez la bote de dialogue Grer les chemins depuis la vue banque de donnes ou Priphriques.
Dans le panneau Paths, cliquez avec le bouton droit sur le chemin d'accs mettre hors tension, puis
slectionnez [Dsactiver] .
Cliquez sur [OK] pour sauvegarder vos paramtres et quitter la bote de dialogue.
Vous pouvez galement dsactiver un chemin partir de la vue Chemins de l'adaptateur : dans la liste, cliquez
sur le chemin l'aide du bouton droit de la souris, puis slectionnez [Dsactiver] .
130
VMware, Inc.
Baies de stockage prenant en charge l'acclration matrielle base sur le stockage. ESXi version 4.1 ne
prend pas en charge l'acclration matrielle avec des priphriques de stockage NAS.
Sur votre hte, l'acclration matrielle est active par dfaut. Pour activer l'acclration matrielle du ct du
stockage, consultez le fournisseur du stockage. Certaines baies de stockage ncessitent que vous activiez la
prise en charge de l'acclration matrielle explicitement du ct de stockage.
Lorsque la fonctionnalit d'acclration matrielle est prise en charge, l'hte peut obtenir une assistance
matrielle et effectuer les oprations suivantes plus rapidement et plus efficacement :
n
Verrouillage en cluster VMFS et oprations de mtadonnes pour les fichiers des machines virtuelles
VMware, Inc.
131
Cliquez sur [DataMover] et mettez zro la valeur de chacun des champs suivants :
n
[DataMover.HardwareAcceleratedMove]
[DataMover.HardwareAcceleratedInit]
Allocation dynamique
Lorsque vous crez une machine virtuelle, une certaine quantit d'espace de stockage sur une banque de
donnes est provisionne ou alloue aux fichiers du disque virtuel.
Par dfaut, ESXi offre une mthode d'allocation de stockage classique au cours de la cration dans laquelle
vous estimez la quantit de stockage dont la machine virtuelle aura besoin pour tout son cycle de vie, vous
allouez une quantit fixe d'espace de stockage son disque virtuel et associez tout l'espace allou au disque
virtuel. Un disque virtuel qui occupe immdiatement tout l'espace allou est appel un disque lourd. La
cration de disque virtuels au format lourd peut aboutir une sous-utilisation de la capacit de la banque de
donnes, car de grandes quantits d'espace de stockage, pr-allou diffrentes machines virtuelles, peuvent
rester non utilises.
Pour aider viter la sur-allocation de l'espace de stockage et conomiser du stockage, ESXi prend en charge
l'allocation dynamique qui vous permet, au dbut, d'utiliser uniquement la capacit de stockage dont vous
avez besoin, puis d'ajouter la quantit ncessaire d'espace de stockage ultrieurement. Grce la fonction
d'allocation dynamique de ESXi, vous pouvez crer des disques virtuel au format lger. Pour un disque virtuel
lger, ESXi alloue tout l'espace requis pour les activits actuelles et futures du disque, mais ne valide que
l'espace de stockage ncessaire aux oprations initiales.
Format lourd
132
VMware, Inc.
Dans la bote de dialogue Crer un disque, slectionnez [Allouer et valider l'espace la demande
(provisionnement mince)] .
Un disque virtuel au format allou dynamiquement est cr. Si vous ne slectionnez pas l'option
Provisionnement mince, votre disque virtuel a le format lourd par dfaut.
Suivant
Si vous avez cr un disque virtuel au format allou dynamiquement, vous pouvez l'agrandir sa taille totale
ultrieurement.
Stockage provisionn : affiche l'espace de la banque de donnes garanti la machine virtuelle. Tout
l'espace ne peut pas tre utilis par la machine virtuelle si elle a des disques au format allocation
dynamique. D'autres machines virtuelles peuvent occuper l'espace non utilis.
Stockage non partag : affiche l'espace de banque de donnes occup par la machine virtuelle et non
partag avec d'autres machines virtuelles.
Stockage utilis : affiche l'espace de banque de donnes rellement occup par les fichiers de la
machine virtuelle, y compris les fichiers de configuration et journaux, les snapshots, les disques
virtuels, etc. Lorsque la machine virtuelle est en fonctionnement, l'espace de stockage utilis
comprend galement les fichiers d'change.
Cliquez sur [Modifier les paramtres] pour afficher la bote de dialogue Proprits de machine virtuelle.
VMware, Inc.
133
Cliquez sur l'onglet [Matriel] et slectionnez le disque dur appropri dans la liste de matriel.
La section Provisionnement disque sur le ct droit prsente le type de votre disque virtuel, lger (Thin)
ou lourd (Thick).
Suivant
Si votre disque virtuel est au format lger, vous pouvez le gonfler la taille normale.
Cliquez sur l'onglet [Rsum] et, sous Ressources, double-cliquez sur la banque de donnes pour que la
machine virtuelle ouvre la bote de dialogue Navigateur de banque de donnes.
Cliquez sur le dossier de machine virtuelle pour trouver le fichier de disque virtuel que vous voulez
convertir. Le fichier porte l'extension .vmdk.
Cliquez avec le bouton droit sur le fichier de disque virtuel et slectionnez [Gonfler] .
Le disque virtuel au format lourd occupe l'espace entier de la banque de donnes qui lui tait attribu l'origine.
134
VMware, Inc.
Procdure
1
Nom du filtre
config.vpxd.filter.vmfsFilter
Filtre VMFS
config.vpxd.filter.rdmFilter
Filtre RDM
config.vpxd.filter.SameHostAndTra
nsportsFilter
config.vpxd.filter.hostRescanFilter
Description
Touche
Filtre VMFS
config.vpxd.filter.vmfsFilter
Filtre RDM
config.vpxd.filter.rdmFilter
VMware, Inc.
135
Description
Touche
config.vpxd.filter.SameHostAndTransportsFilter
Filtre de ranalyse
d'hte
config.vpxd.filter.hostRescanFilter
136
VMware, Inc.
10
Le mappage de priphrique brut (RDM) fournit un mcanisme permettant une machine virtuelle d'accder
directement un LUN sur le sous-systme de stockage physique (Fibre Channel ou iSCSI uniquement).
Les rubriques suivantes contiennent des informations sur les RDM et fournissent des instructions sur la
manire de crer et de grer des RDM.
Ce chapitre aborde les rubriques suivantes :
n
lit,
crit
ouvre
Volume VMFS
fichier de mappage
VMware, Inc.
adresse
rsolution
priphrique mapp
137
Bien que VMware recommande d'utiliser les banque de donnes VMFS pour la plus grande partie du stockage
sur disque virtuel, dans certains cas, vous pouvez utiliser des LUN bruts ou des disques logiques situs sur
un SAN.
Par exemple, vous pouvez utiliser des LUN bruts avec des RDM dans les situations suivantes :
n
Lorsque le snapshot du SAN ou d'autres applications en couche sont excuts dans la machine virtuelle.
Le RDM permet des systmes de dchargement volutifs l'aide de fonctions inhrentes au SAN.
Dans tout scnario de mise en clusters MSCS qui parcourt les htes physiques (clusters virtuel virtuel
ainsi que clusters physique virtuel). Dans ce cas, les donnes du cluster et les disques quorum doivent
configurs comme des RDM plutt que comme des fichiers sur un VMFS partag.
Considrez un RDM comme un lien symbolique d'un volume VMFS vers un LUN brut. Le mappage fait
apparatre les LUN comme des fichiers dans un volume VMFS. LE RDM, et non le LUN brut, est rfrenc
dans la configuration de la machine virtuelle. Le RDM contient une rfrence au LUN brut.
En utilisant le RDM, vous pouvez :
n
Utiliser vMotion pour migrer des machines virtuelles l'aide de LUN bruts.
Ajouter des LUN bruts aux machines virtuelles l'aide de vSphere Client.
Utiliser les fonctions du systme de fichiers telles que le verrouillage des fichiers distribus, les
autorisations et les noms.
Le mode de compatibilit virtuelle permet un RDM d'agir exactement comme un fichier de disque virtuel,
y compris l'utilisation des snapshots.
Le mode de compatibilit physique permet un accs direct au priphrique SCSI pour les applications
ayant besoin d'un niveau de contrle infrieur.
138
Rsolution dynamique
de nom
Autorisations de fichier
VMware, Inc.
Oprations du systme
de fichiers
Snapshots
Permet d'utiliser les snapshots de machine virtuelle sur un volume mapp. Les
snapshots ne sont pas disponibles lorsque le RDM est utilis en mode de
compatibilit physique.
vMotion
Hte 1
Hte 2
VMotion
VM1
VM2
Volume VMFS
fichier de mappage
adresse
rsolution
priphrique mapp
VMware, Inc.
139
Agents de gestion du
SAN
Virtualisation d'ID de
port N (NPIV)
VMware travaille avec les fournisseurs de logiciel de gestion de stockage pour garantir que leur logiciel
fonctionne correctement dans des environnements incluant ESXi. Certaines applications de ce type sont :
n
Logiciel de snapshot
Logiciel de rplication
De tels logiciels utilisent un mode de compatibilit physique pour les RDM afin que le logiciel puisse accder
aux priphriques directement.
Divers produits de gestion s'excutent mieux de manire centralise (non pas sur la machine ESX), tandis que
d'autres s'excutent bien sur les machines virtuelles. VMware ne certifie pas ces applications, ni ne fournit de
matrice de compatibilit. Pour savoir si une application de gestion du SAN est prise en charge dans un
environnement ESXi, contactez le fournisseur du logiciel de gestion du SAN.
Non disponible pour les priphriques de traitement par blocs sur certains priphriques RAID : le RDM
utilise un numro de srie pour identifier le priphrique mapp. Comme les priphriques de traitement
par blocs et certains priphriques RAID connexion directe n'exportent pas de numros de srie, ils ne
peuvent pas tre utiliss avec les RDM.
Disponible avec les volumes VMFS-2 et VMFS-3 uniquement : le RDM ncessite le format VMFS-2 ou
VMFS-3. Dans ESXi, le systme de fichiers VMFS-2 est en lecture seule. Mettez-le niveau VMFS-3 pour
utiliser les fichiers que VMFS-2 stocke.
Aucun snapshot dans le mode de compatibilit physique : si vous utilisez un RDM en mode de
compatibilit physique, vous ne pouvez pas utiliser un snapshot avec le disque. Le mode de compatibilit
physique permet la machine virtuelle de grer son propre snapshot ou de mettre en miroir des oprations.
Les snapshots sont disponibles en mode virtuel.
140
Aucun mappage de partition : le RDM ncessite que le priphrique mapp soit un LUN entier. Le
mappage vers une partition n'est pas pris en charge.
VMware, Inc.
VMware, Inc.
141
Hte 3
Hte 4
VM3
VM4
accs partag
fichier de mappage
adresse
rsolution
mapp
priphrique
Volume VMFS
Fichier de disque
virtuel
Non
Non
Oui
REPORT LUN n'est pas
transmis
Oui
Oui
Oui
Snapshots
Oui
Oui
Non
Verrouillage distribu
Oui
Oui
Oui
Mettre en cluster
Non
Non
Oui
VMware recommande d'utiliser des fichiers de disque virtuel pour le type cluster dans une bote de mise en
cluster. Si vous envisagez de reconfigurer vos clusters cluster dans une bote en clusters cluster-accross-thebox, utilisez les RDM de mode virtuel pour les clusters cluster dans une bote.
142
VMware, Inc.
Suivez toutes les tapes requises pour crer une machine virtuelle personnalise.
Dans la page Choisir disque, slectionnez [Mappage de priphriques bruts] , puis cliquez sur
[Suivant] .
Dans la liste des disques du SAN ou des LUN, slectionnez un LUN auquel votre machine virtuelle accde
directement.
VMware, Inc.
Description
Physique
Virtuel
Permet au RDM de se comporter comme s'il tait un disque virtuel, afin que
vous puissiez utiliser des fonctions telles que la prise de snapshots, le
clonage, etc.
143
Description
Persistent (Persistant)
Non permanent
Dans la page Prt terminer Nouvelle machine virtuelle, vrifiez vos slections.
10
Dans l'onglet [Matriel] , slectionnez [Disque dur] , puis cliquez sur [Grer les chemins] .
Utilisez la bote de dialogue Grer les chemins pour activer ou mettre hors tension vos chemins, dfinir
la rgle de chemins multiples et indiquer le chemin prfr.
Pour plus d'informations sur la gestion des chemins, voir Utilisation des chemins multiples avec ESXi ,
page 122.
144
VMware, Inc.
Scurit
VMware, Inc.
145
146
VMware, Inc.
11
ESXi est dvelopp avec une priorit de scurit renforce. VMware garantit la scurit de l'environnement
ESXi et entoure l'architecture systme d'un niveau lev de scurit.
Ce chapitre aborde les rubriques suivantes :
n
VMware
Virtualisation
Couche (VMkernel)
CPU
VMware, Inc.
mmoire
virtuel
machine
virtuel
machine
virtuel
machine
Virtuel
Mise en rseau
Couche
rseau de matriel
carte
stockage
147
Intgrit du noyau
148
VMware, Inc.
La capacit des machines virtuelles oprationnelles accder aux ressources dont elles ont besoin
Chaque machine virtuelle est isole des autres machines virtuelles excutes sur le mme quipement. Bien
que les machines virtuelles partagent des ressources physiques (unit centrale, mmoire ou dispositifs d'E/S,
par exemple), un systme d'exploitation invit de machine virtuelle ne peut pas dtecter les autres units
virtuelles, comme illustr dans la Figure 11-2.
Figure 11-2. Isolation des machines virtuelles
Machine virtuelle
app
app
app
app
app
Systme d'exploitation
Ressources de la machine virtuelle
CPU
SCSI
contrleur
mmoire
souris
disque
CD/DVD
rseau et
cartes vido
clavier
VMkernel s'interpose entre les ressources physiques ; par ailleurs, tous les accs aux composants matriels
s'effectuent via VMkermel ; les machines virtuelles ne peuvent donc pas contourner ce niveau d'isolation.
Une machine physique communique avec les autres machines d'un rseau via l'utilisation d'un adapteur
rseau. De la mme faon, une machine virtuelle communique avec les autres machines virtuelles du mme
hte via un commutateur virtuel. Une machine virtuelle communique galement avec le rseau physique (y
compris avec les machines virtuelles situes sur d'autres htes ESXi) via un adapteur rseau physique, comme
l'illustre la Figure 11-3.
VMware, Inc.
149
Machine virtuelle
virtuel
Mise en rseau
carte
VMkernel
Virtuel
Mise en rseau
Couche
Commutateur virtuel
relie des machines
virtuelles entre elles
Matriel - carte rseau
relie des machines virtuelles au
rseau physique
Les caractristiques suivantes s'appliquent l'isolation de machines virtuelles au sein d'un contexte rseau :
n
Si une machine virtuelle ne partage pas de commutateur virtuel avec une autre machine virtuelle, elle est
totalement isole des rseaux virtuels de l'hte.
Si aucun adapteur rseau physique n'est configure pour une machine virtuelle, celle-ci est totalement
isole des rseaux physiques.
Si vous utilisez les mmes mesures de scurit (pare-feu, logiciel anti-virus, notamment) pour assurer la
protection d'une machine virtuelle d'un rseau que celles destines protger une machine physique, la
machine virtuelle bnficie du mme niveau de scurit que la machine physique.
Vous pouvez renforcer la protection des machines virtuelles via la configuration de rservations de ressources
et de limites sur l'hte. Par exemple, grce aux contrles de ressources dtaills disponibles dans ESXi, vous
pouvez configurer une machine virtuelle afin qu'elle puisse systmatiquement recevoir 10 % minimum des
ressources en unit centrale de l'hte, mais sans jamais excder 20 %.
Les rservations et limites de ressources protgent les machines virtuelles contre toute diminution de
performances rsultant de la consommation excessive, par une autre machine virtuelle, des ressources
matrielles partages. Par exemple, si l'une des machines virtuelles d'un hte subit une attaque de dni de
service (DoS), la limite de ressource applique cette machine vite que les autres machines virtuelles ne soient
affectes par la capture d'une quantit importante de ressouces matrielles. De la mme faon, la rservation
de ressources applique chaque machine virtuelle permet, en cas de forte demande de ressources manant
de la machine virtuelle cible de l'attaque DoS, de prserver suffisamment de ressources sur les autres machines
virtuelles pour leur permettre de continuer fonctionner.
Par dfaut, ESXi impose une rservation de ressources via l'application d'un algorithme de distribution qui
rpartit les ressources hte disponibles de faon quitable entre les diffrentes machines virtuelles, tout en
conservant un certain pourcentage de ressources en vue de leur utilisation par les autres composants systme.
Ce comportement par dfaut offre une protection naturelle efficace contre les attaques de type DoS et DDoS
(Distributed Denial of Service). Vous pouvez dfinir les rservations et limites de ressources individuellement,
ce qui permet de personnaliser le comportement par dfaut pour obtenir une distribution diffrencie au sein
de la configuration de machines virtuelles.
150
VMware, Inc.
serveur Web
commutateur virtuel 1
rseau de matriel
carte 1
Mise en rseau externe
Machine virtuelle 3
serveur d'applications
commutateur virtuel 2
Machine virtuelle 4
serveur de pare-feu
commutateur virtuel 3
rseau de matriel
carte 2
Mise en rseau interne
Dans cet exemple, quatre machines virtuelles sont configures en vue de crer une zone dmilitarise virtuelle
sur le commutateur virtuel 2 :
n
la machine virtuelle 1 et la machine virtuelle 4 sont quipes d'un pare-feu et sont connectes des
adaptateurs virtuels via des commutateurs virtuels. Ces deux machines virtuelles font l'objet d'un
multihbergement.
La machine virtuelle 2 est excute en tant que serveur Web, tandis que la machine virtuelle 3 est excute
en tant que serveur d'applications. Ces deux machines virtuelles font l'objet d'un hbergement mono.
Le serveur Web et le serveur d'applications occupent la DMZ entre les deux pare-feu. Le passage entre ces
deux lments est le commutateur virtuel 2, qui connecte les pare-feu aux serveurs. Ce commutateur ne possde
pas de connexion directe aux lments situs hors de la zone dmilitarise ; il est isol du trafic externe via les
deux pare-feu.
VMware, Inc.
151
D'un point de vue oprationnel, le trafic externe Internet entre dans la machine virtuelle 1 via l'adaptateur
rseau 1 (achemin par le commutateur virtuel 1) ; il est alors vrifi par le pare-feu install sur cette machine.
Si le pare-feu autorise le trafic, celui-ci est achemin vers le commutateur virtuel situ au sein de la zone
dmilitarise (commutateur virtuel 2). Puisque le serveur Web et le serveur d'applications sont galement
connects ce commutateur, ils peuvent traiter des requtes externes.
Le commutateur virtuel 2 est galement connect la machine virtuelle 4. Cette machine virtuelle permet de
bnficier d'un pare-feu entre la DMZ et le rseau interne de l'entreprise. Ce pare-feu filtre les paquets en
provenance du serveur Web et du serveur d'applications. Si un paquet est vrifi, il est achemin vers
l'adaptateur rseau 2 via le commutateur virtuel 3. L'adaptateur rseau 2 est connect au rseau interne de
l'entreprise.
Lorsque vous crez une DMZ sur un seul hte, vous pouvez utiliser des pare-feu assez lgers. Dans cette
configuration, une machine virtuelle ne peut pas exercer un contrle direct sur une autre machine virtuelle, ni
accder sa mmoire ; toutefois, toutes les machines virtuelles restent connectes via un rseau virtuel. Or, ce
rseau peut tre utilis pour la propagation de virus ou tre la cible d'autres types d'attaques. La scurit des
machines virtuelles dans la zone dmilitarise revient donc sparer les machines physiques connectes au
mme rseau.
DMZ
VM 2
interne
utilisateur
VM 3
interne
utilisateur
VM 4
interne
utilisateur
VM 1
FTP
serveur
VM 5
interne
utilisateur
VM 6
pare-feu
serveur
VM 7
Web
serveur
VM 8
pare-feu
serveur
rseau physique
adaptateurs
Externe
Mise en rseau 1
Interne
Externe
Interne
Mise en rseau 2 Mise en rseau
Mise
2 en rseau 1
Dans Figure 11-5, l'administrateur systme a configur un hte dans trois zones diffrentes de machine
virtuelle : sur le serveur FTP, dans les machines virtuelles et dans la zone dmilitarise (DMZ). Chacune de
ces zones a une fonction spcifique.
Serveur FTP
152
VMware, Inc.
DMZ
Grce l'isolation des machines virtuelles, la bonne configuration des commutateurs virtuels et la sparation
des rseaux, l'administrateur systme peut inclure les trois zones de machines virtuelles sur le mme hte ESXi
et tre rassur quant l'absence de violations de donnes ou de ressources.
VMware, Inc.
153
L'entreprise met en oeuvre l'isolation au sein des groupes de machines virtuelles via l'utilisation de plusieurs
rseaux internes et externes, et via la sparation des commutateurs virtuels et des adaptateurs rseau physiques
de chaque groupes.
Aucun des commutateurs virtuels ne fait le lien entre les diffrentes zones de machines virtuelles ;
l'administrateur systme peut donc liminer tout risque de fuite de paquets d'une zone l'autre. Au niveau
de sa conception mme, un commutateur virtuel ne peut pas transmettre directement des paquets vers un
autre commutateur virtuel Pour acheminer des paquets d'un commutateur virtuel vers un autre, les conditions
suivantes doivent tre runies :
n
Les commutateurs virtuels doivent tre connects au mme rseau local physique.
Les commutateurs virtuels doivent se connecter une machine virtuelle commune, qui peut tre utilise
pour la transmission de paquets.
Or, aucune de ces situations ne se vrifie dans l'exemple de configuration. Si les administrateurs systme
souhaitent vrifier l'absence de chemin commun de commutateur virtuel, ils peuvent rechercher les ventuels
points de contact partags via l'examen de la disposition des commutateurs rseau dans vSphere Client.
Pour protger les ressources des machines virtuelles, l'administrateur systme diminue le risque d'attaque DoS
et DDoS en configurant une rservation de ressources, ainsi qu'une limite applicable chaque machine
virtuelle. Il renforce la protection de l'hte ESXi et des machines virtuelles en installant des pare-feu aux
extrmits de la zone dmilitarise (DMZ), en vrifiant que l'hte est protg par un pare-feu physique et en
configurant les ressources de stockage rseau de telle sorte qu'elles bnficient toutes de leur propre
commutateur virtuel.
154
Rubrique
Ressources
http://www.vmware.com/security/
http://www.vmware.com/support/policies/security_response.html
VMware s'engage vous aider maintenir un environnement scuris.
Dans ce cadre, les problmes de scurit sont corrigs rapidement. La
politique VMware en matire de rponse scuritaire fait tat de notre
engagement li la rsolution d'ventuelles vulnrabilits de nos
produits.
http://www.vmware.com/support/policies/
VMware prend en charge un grand nombre de systmes de stockage et
d'agents logiciels (tels que les agents de sauvegarde ou les agents de
gestion systme). Vous trouverez la liste des agents, outils et autres
logiciels ESXi dans la
rubriquehttp://www.vmware.com/vmtn/resources/ des guides de
compatibilit ESXi.
Il existe sur le march un nombre de produits et de configurations tel
quel VMware ne peut pas tous les tester. Si un produit ou une
configuration spcifique ne figure pas dans l'un des guides de
compatibilit, contactez le Support technique, qui pourra vous aider
rsoudre les problmes rencontrs ; en revanche, il ne pourra pas vous
garantir que ce produit ou cette configuration peut tre utilis. Vous
devez toujours valuer les risques de scurit lis aux produits ou aux
configurations non pris en charge.
http://www.vmware.com/security/certifications/
VMware, Inc.
Ressources
http://www.vmware.com/go/compliance/
http://www.vmware.com/go/vmsafe/
VMware, Inc.
http://www.vmware.com/go/security/
155
156
VMware, Inc.
12
Vous pouvez prendre des mesures pour promouvoir un environnement scuris pour vos htes ESXi, vos
machines virtuelles et vos SAN iSCSI. Prenez en compte la planification de la configuration rseau du point
de vue de la scurit et les mesures que vous pouvez prendre pour protger les composants de votre
configuration des attaques.
Ce chapitre aborde les rubriques suivantes :
n
Les machines virtuelles telles que les htes vCenter Server et les htes ESXi.
Une machine virtuelle et une autre (par exemple, entre une machine virtuelle agissant en tant que serveur
Web externe et une machine virtuelle connecte votre rseau interne de socit).
Une machine physique et une machine virtuelle, notamment lorsque vous placez un pare-feu entre un
adapteur rseau physique et une machine virtuelle.
VMware, Inc.
157
La manire dont vous utilisez des pare-feu dans une configuration ESXi dpend de la manire dont vous
planifiez l'utilisation du rseau et du niveau de scurit dont certains composants ont besoin. Par exemple, si
vous crez un rseau virtuel o chaque machine virtuelle est ddie l'excution d'une suite de tests de
rfrence diffrents pour le mme service, le risque d'accs non autoris d'une machine virtuelle une autre
est minime. Par consquent, une configuration o des pare-feu sont prsents entre les machines virtuelles n'est
pas ncessaire. Cependant, pour empcher l'interruption d'un test excut sur un hte externe, vous devez
dfinir la configuration afin qu'un pare-feu soit prsent au point d'entre du rseau virtuel pour protger tout
l'ensemble de machines virtuelles.
158
VMware, Inc.
SSH
SLPv2
HTTPS
xinetd/vmware-authd
mise niveau de statut ESX/ESXi
xinetd/vmware-authd-mks
HA
transactions CIM
HA
rseau tiers
outil de gestion
vSphere
Web Access
vSphere
Client
Port 443
pare-feu
vCenter Server
Ports 443,
902, 5989
Port 443
pare-feu
902
UDP
902
UDP
ESX
stockage
Les rseaux configurs avec vCenter Server peuvent recevoir des communications via vSphere Client ou des
clients de gestion rseau tiers utilisant SDK pour communiquer avec l'hte. En fonctionnement normal, vCenter
Server coute les donnes de ses htes grs et de ses clients sur les ports indiqus. vCenter Server suppose
galement que ses htes grs coutent les donnes de vCenter Server sur les ports indiqus. Si un pare-feu
est prsent entre l'un de ces lments, vous devez vous assurer que le pare-feu a des ports ouverts pour prendre
en charge le transfert des donnes.
Vous pouvez galement inclure des pare-feu un grand nombre d'autres points d'accs du rseau, en fonction
de la manire dont vous envisagez d'utiliser le rseau et du niveau de scurit ncessaire aux diffrents
priphriques. Slectionnez les emplacements de vos pare-feu en fonction des risques de scurit que vous
avez identifis pour votre configuration rseau. Vous trouverez ci-aprs une liste des emplacements de parefeu commune aux implmentations ESXi. De nombreux emplacements de la liste et prsents dans Figure 12-1
sont facultatifs.
n
Si vos utilisateurs accdent aux machines virtuelles via vSphere Client, entre vSphere Client et l'hte ESXi.
Cette connexion vient en plus de la connexion entre vSphere Client et vCenter Server et elle ncessite un
port diffrent.
Entre les htes ESXi de votre rseau. Bien que le trafic entre les htes soit gnralement considr comme
scuris, vous pouvez ajouter des pare-feu entre eux si vous vous inquitez sur les dfaillances de scurit
de machine machine.
VMware, Inc.
159
Si vous ajoutez des pare-feu entre les htes ESXi et envisagez de migrer les machines virtuelles entre les
serveurs, faites un clonage ou utilisez vMotion. Vous devez galement ouvrir des ports dans les pare-feu
qui divisent l'hte source des htes cibles afin que la source et les cibles puissent communiquer.
Entre les htes ESXi et le stockage rseau tel que le stockage NFS et iSCSI. Ces ports ne sont pas spcifiques
VMware et vous pouvez les configurer en fonction des spcifications de votre rseau.
vSphere Client
Port 902
Port 903
Port 443
pare-feu
ESXi
stockage
Les rseaux configurs sans vCenter Server reoivent des communications par l'intermdiaire des mmes types
de clients que si vCenter Server tait prsent : vSphere Client ou les clients de gestion de rseau tiers. Les
besoins du pare-feu sont en majeure partie identiques, mais il y a plusieurs diffrences cls.
160
Tout comme pour les configurations comprenant vCenter Server, assurez-vous qu'un pare-feu est prsent
pour protger votre couche ESXi ou, en fonction de votre configuration, vos clients et votre couche ESXi.
Ce pare-feu fournit une protection de base votre rseau. Les ports du pare-feu que vous utilisez sont
identiques ceux que vous utiliseriez si vCenter Server tait prsent.
La licence pour ce type de configuration fait partie du module ESXi que vous installez sur chacun des
htes. Comme la licence rside sur le serveur, un serveur de licences distinct n'est pas ncessaire. Un parefeu entre le serveur de licences et le rseau ESXi n'est donc pas ncessaire.
VMware, Inc.
Port 443
vSphere Client et SDK utilisent ce port pour envoyer des donnes aux htes
grs par vCenter Server. Par consquent, vSphere Client et SDK, s'ils sont
connects directement un hte ESXi, utilisent ce port pour prendre en charge
toutes les fonctions de gestion relatives au serveur et ses machines virtuelles.
Le port 443 est le port que les clients considrent comme disponible lors de
l'envoi de donnes l'hte ESXi. VMware ne prend pas en charge la
configuration d'un port diffrent pour ces connexions.
Le port 443 connecte les clients l'hte ESXi via le SDK. vmware-hostd
multiplexe les donnes du port 443 au destinataire appropri pour le
traitement.
Figure 12-3 prsente les relations entre les fonctions de vSphere Client, les ports et les processus ESXi.
VMware, Inc.
161
Figure 12-3. Utilisation des ports pour les communications client avec ESXi
vSphere Client
machine virtuelle
fonctions de gestion
machine virtuelle
console
Port 443
pare-feu
Port 903
ESXi
vmware-hostd
vmware-authd
Si un pare-feu se trouve entre votre systme vCenter Server et l'hte gr par vCenter Server, ouvrez les ports
443 et 903 dans le pare-feu pour permettre le transfert des donnes aux htes ESXi partir de vCenter Server
et aux htes ESXi partir de vSphere Client.
Pour plus d'informations sur la configuration des ports, consultez l'administrateur systme du pare-feu.
Consultez l'administrateur systme du pare-feu pour plus d'informations sur la configuration des ports.
Configuration des ports pare-feu pour les services pris en charge et les agents
de gestion
Vous devez configurer les pare-feu dans votre environnement pour accepter les services pris en charge les plus
courants.
Bien que l'ESXi n'ait pas de pare-feu, vous devez configurer d'autres pare-feu dans votre environnement pour
accepter les services
Les services et agents suivants sont gnralement prsents dans un environnement vSphere :
162
Client NTP
VMware, Inc.
client Syslog
REMARQUE La liste peut voluer. Par consquent, il se peut que certains services et agents ne soient pas
rpertoris dans la liste. Vous pouvez tre invit effectuer des activits supplmentaires pour configurer et
activer ces services.
Objectif
Type de trafic
80
Accs HTTP
Port Web TCP non scuris par dfaut gnralement utilis en association avec
le port 443 comme serveur frontal pour accder aux rseaux ESXi partir du Web.
Le port 80 redirige le trafic vers une page de destination HTTPS (port 443).
Gestion WS
TCP entrant
123
Client NTP
UDP sortant
427
UDP entrant et
sortant
443
Accs HTTPS
Accs de vCenter Server aux htes ESXi
Port Web SSL par dfaut
Accs vSphere Client vCenter Server
Accs de vSphere Client aux htes ESXi
Gestion WS
Accs vSphere Client vSphere Update Manager
Accs vSphere Converter vCenter Server
TCP entrant
902
903
Trafic de la console distante gnr par l'accs utilisateur aux machines virtuelles
sur un hte spcifique ESXi.
TCP entrant
2049
UDP entrant et
sortant
20502250
Trafic entre les htes ESXi pour VMware High Availability (HA) et EMC
Autostart Manager
3260
TCP sortant
5900-5964
Protocole RFB qui est utilis par les outils de gestion tels que VNC
UDP entrant et
sortant
5989
UDP entrant et
sortant
VMware, Inc.
163
Objectif
Type de trafic
8000
Requtes de vMotion
UDP entrant et
sortant
80428045
8100, 8200
Trafic entre les htes ESXi pour Tolrance aux pannes VMware
En plus des ports TCP et UDP, vous pouvez configurer d'autres ports en fonction de vos besoins. Vous pouvez
utiliser vSphere Client afin d'ouvrir les ports pour les services pris en charge comme NFS.
Ajout d'une protection par pare-feu votre rseau virtuel en installant et en configurant des pare-feu
hbergs sur hte sur certaines ou la totalit de ses machines virtuelles.
Pour une plus grand efficacit, vous pouvez configurer des rseaux Ethernet privs de machines virtuelles
ou des rseaux virtuels. Avec les rseaux virtuels, vous installez un pare-feu hberg sur hte sur une
machine virtuelle la tte du rseau virtuel. Cela sert de tampon de protection entre l'adaptateur rseau
physique et les machines virtuelles restantes du rseau virtuel.
L'installation d'un pare-feu hberg sur hte sur les machines virtuelles la tte des rseaux virtuels est
une bonne pratique de scurit. Cependant, comme les pare-feu hbergs sur hte peuvent ralentir les
performances, quilibrez vos besoins en scurit par rapport aux performances avant de dcider d'installer
des pare-feu hbergs sur hte sur des machines virtuelles ailleurs dans le rseau virtuel.
164
Conservation de diffrentes zones de machines virtuelles au sein d'un hte sur diffrents segments du
rseau. Si vous isolez des zones de machines virtuelles sur leurs propres segments de rseau, vous rduisez
les risques de fuite de donnes d'une zone de machines virtuelles la suivante. La segmentation empche
diverses menaces, y compris l'usurpation d'adresse ARP (Address Resolution Protocol), dans laquelle un
attaquant manipule la table ARP pour remapper les adresses MAC et IP, obtenant ainsi accs au trafic
rseau de et vers un hte. Les attaquants utilisent l'usurpation ARP pour gnrer des dnis de service,
pirater le systme cible et interrompre le rseau virtuel.
VMware, Inc.
La planification soigne de la segmentation rduit les chances de transmissions de paquets entre les zones
de machines virtuelles, ce qui empche les attaques de reniflement qui ncessitent l'envoi de trafic rseau
la victime. Par consquent, un attaquant ne peut pas utiliser un service non scuris sur une zone de
machines virtuelles pour accder aux autres zones de machines virtuelles de l'hte. Vous pouvez
implmenter la segmentation l'aide de l'une des deux approches suivantes, chacune d'entre elles ayant
des avantages diffrents.
n
Utilisez des adaptateurs rseau physiques spars pour des zones de machines virtuelles afin de
garantir que les zones sont isoles. Conserver des adaptateurs rseau physiques spars pour des
zones de machines virtuelles est probablement la mthode la plus scurise et moins susceptible de
subir une configuration incorrecte aprs la cration des segments initiaux.
Configurez des rseaux locaux virtuels (VLAN) pour protger votre rseau. Comme les VLAN
disposent de presque tous les avantages de scurit inhrents l'implmentation de rseaux spars
physiquement sans surcharge matrielle, ils offrent une solution viable pouvant vous conomiser les
cots de dploiement et d'entretien de priphriques, cblages, etc. supplmentaires.
Les VLAN sont un schma de rseau standard IEEE avec des mthodes de balisage spcifiques qui permettent
le routage des paquets uniquement vers les ports faisant partie du VLAN. S'ils sont configurs correctement,
les VLAN fournissent un moyen fiable pour protger un ensemble de machines virtuelles des intrusions
accidentelles et nuisibles.
Les VLAN vous permettent de segmenter un rseau physique afin que deux machines du rseau ne puissent
pas transmettre et recevoir des paquets moins de faire partie du mme VLAN. Par exemple, les
enregistrements de comptabilit et les transactions font partie des informations internes les plus sensibles d'une
entreprise. Dans une entreprise dont les employs des ventes, des expditions et de la comptabilit utilisent
tous des machines virtuelles sur le mme rseau physique, vous pouvez protger les machines virtuelles du
service de comptabilit en configurant des VLAN comme indiqu dans Figure 12-4.
Figure 12-4. Exemple de disposition de VLAN
Hte 1
vSwitch
Routeur
Hte 2
VM0
VM1
VM2
VM3
VM4
VM5
Diffusion
Domaine A
VM8
VLAN B
VLAN A
vSwitch
vSwitch
Commutateur 1
VM6
Hte 3
Diffusion
Domaine B
vSwitch
VM9
Commutateur 2
VM7
VM10
VM11
Hte 4
vSwitch
VM12
VLAN
B
VMware, Inc.
VM13
VLAN
A
VM14
VLAN
B
Plusieurs VLAN
sur le mme
commutateur virtuel
Diffusion
Domaines A et B
165
Dans cette configuration, tous les employs du service de comptabilit utilisent des machines virtuelles dans
un VLAN A et les employs des ventes utilisent des machines virtuelles dans VLAN B.
Le routeur transmet les paquets contenant les donnes de comptabilit aux commutateurs. Ces paquets sont
baliss pour une distribution sur le VLAN A uniquement. Par consquent, les donnes sont confines une
diffusion dans le domaine A et ne peuvent pas tre achemines pour une diffusion dans le domaine B moins
que le routeur ne soit configur pour le faire.
Cette configuration de VLAN empche les forces de vente d'intercepter les paquets destins au service de
comptabilit. Elle empche galement le service de comptabilit de recevoir des paquets destins au groupes
de ventes. Les machines virtuelles prises en charge par un seul commutateur virtuel peuvent se trouver sur
des VLAN diffrents.
166
VMware, Inc.
Si vous envisagez d'utiliser des VLAN pour renforcer la scurit du rseau, dsactivez la fonction de VLAN
natif pour tous les commutateurs moins que vous n'ayez une raison imprative pour faire fonctionner les
VLAN en mode natif. Si vous devez utiliser un VLAN natif, reportez-vous aux consignes de configuration du
fournisseur pour cette fonction.
Saturation d'un commutateur avec des paquets contenant des adresses MAC
balises comme provenant de sources diffrentes. De nombreux commutateurs
utilisent une table de mmoire adressable par contenu (CAM) pour dtecter et
stocker l'adresse source de chaque paquet. Lorsque la table est pleine, le
commutateur peut passer dans un tat totalement ouvert dans lequel chaque
paquet entrant est diffus sur tous les ports, permettant l'attaquant de voir
tout le trafic du commutateur. Cet tat peut provoquer une fuite des paquets
sur les VLAN.
Bien que les commutateurs virtuels de VMware stockent la table d'adresses
MAC, ils n'obtiennent pas les adresses MAC du trafic observable et ne sont pas
vulnrables ce type d'attaque.
Attaques 802.1q et de
balisage ISL
Attaques double
encapsulation
VMware, Inc.
167
Attaques l'arbre
recouvrant
Spanning-Tree Protocol (STP) cible, qui est utilis pour contrler le pontage
entre des parties du LAN. L'attaquant envoie des paquets Bridge Protocol Data
Unit (BPDU) qui tentent de modifier la topologie du rseau, en se dfinissant
comme le pont racine. En tant que pont racine, l'attaquant peut renifler le
contenu des cadres transmis.
Les commutateurs virtuels de VMware ne prennent pas en charge STP et ne
sont pas vulnrables ce type d'attaque.
Attaques trame
alatoire
Implique l'envoi d'un grand nombre de paquets dans lesquels les adresses de
source et de destination restent identiques, mais dans lesquels les zones sont
modifies alatoirement en longueur, type ou contenu. L'objectif de cette
attaque est de forcer les paquets tre rachemins par erreur vers un VLAN
diffrent.
Les commutateurs virtuels de VMware ne sont pas vulnrables ce type
d'attaque.
Comme de nouvelles menaces de scurit continuent se dvelopper, ne considrez pas cela comme une liste
exhaustive des attaques. Vrifiez rgulirement les ressources de scurit de VMware sur le Web pour en savoir
plus sur la scurit, les alertes de scurit rcentes et les tactiques de scurit de VMware.
168
VMware, Inc.
Lors de la cration, l'adresse MAC effective de l'adaptateur rseau et l'adresse MAC initiale sont identiques.
Le systme d'exploitation de la machine virtuelle peut remplacer l'adresse MAC effective par une autre valeur
tout moment. Si un systme d'exploitation modifie l'adresse MAC effective, son adaptateur rseau reoit le
trafic rseau destin la nouvelle adresse MAC. Le systme d'exploitation peut envoyer des cadres avec une
adresse MAC source usurpe tout moment. Cela signifie qu'un systme d'exploitation peut bloquer les
attaques nuisibles sur les priphriques dans un rseau en empruntant l'identit d'un adaptateur rseau que
le rseau rcepteur autorise.
Vous pouvez utiliser des profils de scurit de commutateur virtuel sur les htes ESXi pour vous protger
contre ce type d'attaque en dfinissant trois options. Si vous modifiez un paramtre par dfaut pour un port,
vous devez modifier le profil de scurit en ditant les paramtres du commutateur virtuel dans vSphere Client.
Transmissions forges
Le paramtre pour l'option [Transmissions forces :] affecte le trafic transmis partir d'une machine virtuelle.
Lorsque cette option est dfinie sur [Accepter] , ESXi ne compare pas les adresses MAC sources et les adresses
MAC effectives.
Pour se protger d'un emprunt d'identit MAC, vous pouvez dfinir cette option sur [Rejeter] . Si vous
effectuez cette opration, l'hte compare l'adresse MAC source tant transmise par le systme d'exploitation
avec l'adresse MAC effective pour son adaptateur pour voir si elles correspondent. Si les adresses ne
correspondent pas, ESXi rejette le paquet.
Le systme d'exploitation invit ne dtecte pas que son adaptateur de rseau virtuel ne peut pas envoyer de
paquets l'aide de l'adresse MAC usurpe. L'hte ESXi intercepte les paquets avec des adresses usurpes avant
leur livraison, et le systme d'exploitation invit peut supposer que les paquets sont rejets.
VMware, Inc.
169
Indiquez l'index des paramtres de scurit l'aide de --spi index des paramtres de scurit.
L'index des paramtres de scurit identifie l'association de scurit l'hte. Ce doit tre un hexadcimal
avec un prfixe 0x. Chaque association de scurit que vous crez doit disposer d'une combinaison unique
de protocole et d'index de paramtres de scurit.
170
VMware, Inc.
3des-cbc
aes128-cbc
10
VMware, Inc.
171
Procdure
u
tcp
udp
icmp6
toutes
Choisissez la direction, in ou out, dans laquelle vous souhaitez surveiller le trafic l'aide de --dir
direction.
172
Dfinissez l'action prendre lorsque le trafic avec les paramtres spcifis est rencontr l'aide de --action
action.
Option
Description
aucune
Ne faites rien.
discard
ipsec
10
Dfinissez l'association de scurit pour cette rgle de scurit utiliser l'aide de --sa-name nom
association de scurit.
11
VMware, Inc.
VMware, Inc.
173
Les SAN iSCSI vous permettent d'utiliser efficacement les infrastructures Ethernet existantes pour permettre
aux htes ESXi d'accder aux ressources de stockage qu'ils peuvent partager de manire dynamique. Les SAN
iSCSI offrent une solution de stockage conomique pour les environnements reposant sur un pool de stockage
pour servir de nombreux utilisateurs. Comme pour tout systme en rseau, vos SAN iSCSI peuvent tre soumis
des dfaillances de scurit.
REMARQUE Les contraintes et les procdures de scurisation d'un SAN iSCSI sont semblables celles des
adaptateurs iSCSI matriels que vous pouvez utiliser avec les htes ESXi et celles des iSCSI configurs
directement via l'hte ESXi.
174
VMware, Inc.
VMware, Inc.
175
En plus de protger le SAN iSCSI en lui attribuant un commutateur virtuel, vous pouvez configurer votre SAN
iSCSI avec son propre VLAN pour amliorer les performances et la scurit. Le placement de votre
configuration iSCSI sur un VLAN spar garantit qu'aucun priphrique autre que l'adaptateur iSCSI n'a de
visibilit sur les transmissions au sein du SAN iSCSI. Par consquent, aucun blocage rseau provenant d'autres
sources ne peut interfrer avec le trafic iSCSI.
176
VMware, Inc.
Authentification et gestion
d'utilisateurs
13
ESXi gre l'authentification des utilisateurs et prend en charge les autorisations de groupes et d'utilisateurs.
Par ailleurs, vous pouvez chiffrer des connexions SDK et au vSphere Client.
Ce chapitre aborde les rubriques suivantes :
n
propos des utilisateurs, des groupes, des autorisations et des rles , page 178
Travailler avec des utilisateurs et groupes sur des htes ESXi , page 182
VMware, Inc.
177
Les transactions d'authentification ESXi avec des clients de gestion rseau tiers sont aussi des transactions
directes avec le processus vmware-hostd.
Pour garantir que l'authentification fonctionne efficacement pour votre site, effectuez des tches basiques telles
que la configuration d'utilisateurs, groupes, autorisations et rles, la configuration d'attributs utilisateurs,
l'ajout de vos propres certificats et l'utilisation ventuelle de SSL.
Un utilisateur non rpertori dans la liste d'utilisateurs tente d'ouvrir une session.
Un utilisateur fait partie de la liste mais ne dispose pas des autorisations attribues.
Un utilisateur ayant russi ouvrir une session tente d'effectuer des oprations pour lesquelles il ne
possde pas les autorisations.
Lors de la gestion des htes ESXi et de vCenter Server, vous devez prvoir la gestion de types d'utilisateur et
d'autorisations spcifiques. ESXi et vCenter Server utilisent des ensembles de privilges ou des rles pour
contrler les oprations que peuvent excuter les groupes ou utilisateurs individuels. Des rles prdfinis sont
fournis, mais vous pouvez galement en crer de nouveaux. Vous pouvez grer plus facilement des utilisateurs
en leur attribuant des groupes. Lorsque vous appliquez un rle un groupes, tous les utilisateurs de ce groupes
hritent du rle.
Les sujets de cette section s'appliquent aux utilisateurs et groupes de travail locaux. Vous pouvez galement
utiliser Active Directory pour grer les utilisateurs et groupes pour ESXi.
Les utilisateurs autoriss pour vCenter Server sont ceux inclus dans la liste de
domaine Windows rfrence par vCenter Server ou la liste d'utilisateurs
locaux de Windows dans l'hte vCenter Server.
Vous ne pouvez pas utiliser vCenter Server pour crer, supprimer ou modifier
manuellement des utilisateurs. Vous devez utiliser les outils pour grer votre
domaine Windows. Les changements que vous effectuez s'appliquent
vCenter Server. Toutefois, l'interface utilisateur ne vous fournit pas de liste
d'utilisateurs passer en revue.
Utilisateurs accs
direct
178
Les utilisateurs autoriss travailler directement sur un hte ESXi sont ajouts
la liste d'utilisateurs internes par un administrateur systme.
VMware, Inc.
Le mot de passe comportant des caractres d'une ou deux classes doit contenir au moins huit caractres.
Le mot de passe comportant des caractres de trois classes doit contenir au moins sept caractres.
Le mot de passe comportant des caractres des quatre classes doit contenir au moins six caractres.
REMARQUE Un caractre en majuscule au dbut d'un mot de passe ne compte pas dans le nombre de classes
de caractres utilises. Un chiffre la fin d'un mot de passe ne compte pas dans le nombre de classes de
caractres utilises.
Vous pouvez aussi vous servir d'une phrase de passe, qui est une phrase compose d'au moins trois mots,
ayant une longueur de 8 40 caractres chacun.
VMware, Inc.
179
Les candidats de mot de passe suivants ne rpondent pas aux exigences d'ESXi.
n
Xqat3hb : Commence par un caractre majuscule, rduisant ainsi le nombre effectif de classes de caractres
deux. Huit caractres sont ncessaires lorsque vous n'utilisez que deux classes de caractres.
xQaTEh2 : Se termine par un chiffre, rduisant ainsi le nombre effectif de classes de caractres deux.
Huit caractres sont ncessaires lorsque vous n'utilisez que deux classes de caractres.
180
VMware, Inc.
VMware, Inc.
181
Cliquez avec le bouton droit sur l'utilisateur, puis cliquez sur [Modifier] pour ouvrir la bote de dialogue
Modifier l'utilisateur.
182
VMware, Inc.
Dcidez comment vous voulez trier le tableau, puis masquez ou affichez les colonnes selon l'information
que vous souhaitez voir dans le fichier export.
n
Pour trier le tableau par n'importe quelle colonne, cliquez sur l'en-tte de colonne.
Pour afficher ou masquer les colonnes, cliquez avec le bouton droit sur les en-ttes de colonne et
slectionnez ou dslectionnez le nom de la colonne masquer.
Pour afficher ou masquer les colonnes, cliquez avec le bouton droit sur les en-ttes de colonne et
slectionnez ou dslectionnez le nom de la colonne masquer.
Cliquez avec le bouton droit n'importe o dans le tableau, puis cliquez sur [Exporter liste] pour ouvrir
la bote de dialogue Enregistrer sous.
Cliquez avec le bouton droit n'importe o dans le tableau d'utilisateurs, puis cliquez sur [Ajouter] pour
ouvrir la bote de dialogue Ajouter un nouvel utilisateur.
La saisie du nom d'utilisateur et de l'UID est facultative. Si vous n'indiquez pas d'UID, le vSphere
Client attribue le prochain UID disponible.
Crez un mot de passe qui rpond aux exigences de longueur et de complexit. L'hte contrle la
conformit du mot de passe l'aide du plug-in d'authentification par dfaut, pam_passwdqc.so. Si le
mot de passe n'est pas conforme, l'erreur suivante s'affiche : Une erreur gnrale du systme s'est
produite : mot de passe : Erreur de manipulation de jeton d'authentification.
Si vous avez bascul sur le plug-in d'authentification pam_cracklib.so, la conformit du mot de passe
n'est pas applique.
Pour ajouter l'utilisateur un groupes, slectionnez le nom du groupes dans le menu droulant
[groupes] , puis cliquez sur [Ajouter] .
VMware, Inc.
183
Cliquez avec le bouton droit sur l'utilisateur, puis cliquez sur [Modifier] pour ouvrir la bote de dialogue
Modifier l'utilisateur.
Pour modifier l'ID de l'utilisateur, saisissez un UID d'utilisateur numrique dans la zone de texte
[UID] .
vSphere Client assigne l'UID lorsque vous crez l'utilisateur pour la premire fois. Dans la plupart des
cas, vous ne devez pas modifier cette attribution.
Pour modifier le mot de passe utilisateur, slectionnez [Changer mot passe] et entrez le nouveau mot de
passe.
n
Crez un mot de passe qui rpond aux exigences de longueur et de complexit. L'hte contrle la
conformit du mot de passe l'aide du plug-in d'authentification par dfaut, pam_passwdqc.so. Si le
mot de passe n'est pas conforme, l'erreur suivante s'affiche : Une erreur gnrale du systme s'est
produite : mot de passe : Erreur de manipulation de jeton d'authentification.
Si vous avez bascul sur le plug-in d'authentification pam_cracklib.so, la conformit du mot de passe
n'est pas applique.
Pour ajouter l'utilisateur un groupes, slectionnez le nom du groupes dans le menu droulant
[groupes] , puis cliquez sur [Ajouter] .
Pour supprimer l'utilisateur d'un groupes, slectionnez le nom de groupes dans la bote [Appartenance
groupes] et cliquez sur [Supprimer] .
Si vous supprimez un utilisateur de l'hte, il perd les autorisations sur tous les objets de l'hte et ne peut plus
ouvrir une session.
REMARQUE Les utilisateurs qui ont ouvert une session et sont supprims du domaine gardent leurs autorisations
htes jusqu'au redmarrage de l'hte.
La suppression d'un groupes n'affecte pas les autorisations accordes individuellement aux utilisateurs de ce
groupes ou les autorisations accordes en tant qu'lment d'inclusion un autre groupes.
184
VMware, Inc.
Procdure
1
Cliquez avec le bouton droit sur l'utilisateur ou groupes que vous voulez supprimer, puis slectionnez
[Supprimer] .
Cliquez avec le bouton droit n'importe o dans le tableau de groupes, puis cliquez sur [Ajouter] pour
ouvrir la bote de dialogue Crer un nouveau groupes.
Tapez un nom de groupes et un ID de groupes numrique (GID) dans la zone de texte [ID groupes] .
La saisie du GID est facultative. Si vous ne spcifiez pas de GID, le vSphere Client attribue le prochain ID
de groupes disponible.
Pour chaque utilisateur que vous voulez ajouter comme membre du groupes, slectionnez le nom
d'utilisateur dans la liste et cliquez sur [Ajouter] .
Cliquez avec le bouton droit sur le groupes modifier et slectionnez [Proprits] pour ouvrir la bote
de dialogue Modifier le groupes.
Pour ajouter l'utilisateur un groupes, slectionnez le nom du groupes dans le menu droulant
[groupes] , puis cliquez sur [Ajouter] .
Pour supprimer l'utilisateur d'un groupes, slectionnez le nom de groupes dans la bote [Appartenance
groupes] et cliquez sur [Supprimer] .
VMware, Inc.
185
Procdure
1
Assurez-vous que le nom d'hte d'ESXi est pleinement qualifi par le nom de domaine de la fort Active
Directory.
fully qualified domain name = host_name.domain_name
Synchronisez l'heure entre ESXi et le systme de service d'annuaire en utilisant votre mthode prfre.
Pour utiliser NTP, suivez les tapes suivantes.
Assurez-vous que les serveurs DNS que vous avez configurs pour l'hte peuvent retrouver les noms
d'hte des contrleurs Active Directory.
Vous pouvez utiliser la bote de dialogue de Configuration de Routage et vSphere Client DNS pour
modifier le nom de l'hte et les informations de serveur DNS pour l'hte.
a
Cliquez sur le lien [Proprits] en haut droite du panneau pour accder la bote de dialogue
Configuration Routage et DNS.
Suivant
Joignez un domaine de service d'annuaire en utilisant le vSphere Client.
name.tld (par exemple, domain.com): Le compte est cr sous le rcipient par dfaut.
Prrequis
Vrifiez que le vSphere Client est connect un systme de vCenter Server ou l'hte.
Procdure
186
Slectionnez un hte dans l'inventaire du vSphere Client et cliquez sur l'onglet [Configuration] .
Dans la bote de dialogue Configuration des services d'annuaire, slectionnez le type d'authentification
dans le menu droulant.
Option
Description
VMware, Inc.
Saisissez le nom d'utilisateur et mot de passe d'un utilisateur Active Directory autoris joindre l'hte au
domaine, puis cliquez sur [OK] .
Cliquez sur [OK] pour fermer la bote de dialogue Configuration des services d'annuaire.
Utiliser des profils d'hte pour appliquer des autorisations aux htes
Lorsque vous joignez un hte un domaine Active Directory, vous devez dfinir des rles sur l'hte pour un
utilisateur ou groupes dans ce domaine. Sinon, l'hte reste inaccessible aux groupes de travails et utilisateurs
Active Directory. Vous pouvez utiliser des profils d'hte afin de configurer un rle requis pour un utilisateur
ou groupes et appliquer le changement un ou plusieurs htes.
Prrequis
Vous devez possder un profil d'hte existant. Reportez-vous Cration d'un profil d'hte , page 214.
Vrifiez que les htes auxquels vous appliquez un profil sont en mode maintenance.
Procdure
1
l'aide du vSphere Client, slectionnez [Afficher] > [Gestion] > [Profils d'hte] .
Cliquez avec le bouton droit sur un profil d'hte existant et slectionnez [Modifier le profil] .
Faites un clic avec le bouton droit sur le dossier [Rgles d'autorisation] , puis slectionnez [Ajouter
profil] .
Sur l'onglet [Dtails configuration] dans le volet droit, cliquez sur le menu droulant [Configurer une
autorisation] et slectionnez [Demander une rgle dautorisation] .
(Facultatif) Si vous avez saisi le nom d'un groupes (pas d'un utilisateur unique), cochez la case [Le nom
se rfre un groupes d'utilisateurs] .
10
Suivant
1
Reliez le profil aux htes comme indiqu dans Attacher des entits partir de l'hte , page 218.
Appliquez le profil aux htes comme indiqu dans Appliquer un profil partir de l'hte , page 219.
VMware, Inc.
187
Le contrle de certificat de l'hte est activ par dfaut et les certificats SSL sont utiliss pour chiffrer le trafic
rseau. Nanmoins, ESXi utilise des certificats gnrs automatiquement, crs lors du processus d'installation
et stocks sur l'hte. Ces certificats sont uniques et permettent de commencer utiliser le serveur, mais ils ne
sont pas vrifiables et ne sont pas signs par une autorit de certification de confiance (CA). Ces certificats par
dfaut sont vulnrables aux ventuelles attaques de l'intercepteur.
Pour bnficier de tous les avantages du contrle des certificats, notamment si vous tentez d'utiliser des
connexions distance chiffres en externe, installez les nouveaux certificats signs par une autorit de
certification interne valide ou achetez un certificat auprs d'une autorit de scurit de confiance.
REMARQUE Si le certificat auto-sign est utilis, les clients reoivent un avertissement pour ce certificat. Pour
rsoudre ce problme, installez un certificat sign par une autorit de certification reconnue. Si des certificats
signs par une CA ne sont pas installs, toute communication entre vCenter Server et les clients vSphere est
chiffre via un certificat auto-sign. Ces certificats ne fournissent pas la scurit d'authentification requise dans
un environnement de production.
Ouvrez une session sur un systme vCenter Server au moyen de vSphere Client.
Cliquez sur [Paramtres SSL] dans le volet gauche et vrifiez que [Vrifier les certificats de l'hte] est
slectionn.
Si les htes requirent une validation manuelle, comparez les empreintes listes pour les htes aux
empreintes dans la console de l'hte.
Pour obtenir l'empreinte hte pour ESXi, utilisez la console directe.
a
188
VMware, Inc.
Remplacer un certificat par dfaut par un certificat sign par une autorit de
certification
L'hte ESXi utilise des certificats gnrs automatiquement, crs lors du processus d'installation. Ces
certificats sont uniques et permettent de commencer utiliser le serveur, mais ils ne sont pas vrifiables et ne
sont pas signs par une autorit de certification approuve (CA).
L'utilisation de certificats par dfaut n'est peut-tre pas conforme aux rgles de scurit de votre organisation.
Si vous avez besoin d'un certificat d'une autorit de certification approuve, vous pouvez remplacer le certificat
par dfaut.
REMARQUE Si l'option Vrifier les certificats est active dans l'hte, le remplacement du certificat par dfaut
peut provoquer l'arrt de la gestion de l'hte par vCenter Server. Si le nouveau certificat n'est pas vrifiable
par vCenter Server, vous devez reconnecter l'hte l'aide du vSphere Client.
ESXi prend en charge uniquement les certificats X.509 pour chiffrer les informations de session envoyes sur
les connexions SSL entre les composants du serveur et du client.
Prrequis
Tous les transferts de fichiers et autres communications se produisent lors d'une session HTTPS scurise.
L'utilisateur servant authentifier la session doit possder le privilge Hte.Config.AdvancedConfig sur
l'hte. Pour plus d'informations sur les privilges ESXi, reportez-vous la section propos des utilisateurs,
des groupes, des autorisations et des rles , page 178.
Procdure
1
Utilisez la commande vifs pour stocker une copie des fichiers de cl et de certificat sur l'hte ESXi.
Le format de commande pour le certificat et la cl est respectivement :
vifs --server <hostname> --username <username> --put rui.crt /host/ssl_cert
vifs --server <hostname> --username <username> --put rui.key /host/ssl_key
Utilisez l'opration [Redmarrez les agents de gestion] via la console directe pour que les paramtres
soient pris en compte.
VMware, Inc.
Dans la console directe, utilisez l'opration Redmarrer les agents de gestion pour que les paramtres
soient effectifs.
189
Le paramtre Dlai d'attente de lecture s'applique aux connexions qui ont complt le processus de
ngociation SSL avec le port 443 d'ESXi.
Le paramtre Dlai d'expiration de ngociation s'applique aux connexions qui ont complt le processus
de ngociation SSL avec le port 443 d'ESXi.
Utilisez la commande vifs pour obtenir une copie du fichier config.xml modifier.
Pour les systmes Linux, utilisez cette commande :
vifs --server hostname --username username --get /host/config.xml directory/config.xml
Utilisez la commande vifs pour stocker une copie du fichier config.xml sur l'hte ESXi.
Pour les systmes Linux, utilisez cette commande :
vifs --server hostname --username username --put directory/config.xml /host/config.xml
190
Utilisez l'opration Redmarrer les agents de gestion via la console directe pour que les paramtres soient
effectifs.
VMware, Inc.
Ne configurez pas de certificats l'aide d'expressions relatives au mot de passe. ESXi ne prend pas en
charge les expressions relatives au mot de passe, aussi connues comme cls chiffres. Si vous configurez
une expression relative au mot de passe, les processus ESXi ne peuvent pas correctement dmarrer.
Vous pouvez configurer le proxy Web afin qu'il recherche des certificats dans un emplacement autre que
celui par dfaut. Cette fonctionnalit s'avre utile pour les entreprises qui prfrent centraliser leurs
certificats sur une seule machine afin que plusieurs htes puissent les utiliser.
AVERTISSEMENT Si des certificats ne sont pas stocks localement sur l'hte (s'ils sont, par exemple, stocks
sur un partage NFS), l'hte ne peut pas accder ces certificats si ESXi perd la connectivit rseau. Par
consquent, un client se connectant l'hte ne peut pas participer un protocole de transfert SSL scuris
avec l'hte.
Pour prendre en charge le chiffrement de noms d'utilisateur, de mot de passe et de paquets, SSL est activ
par dfaut pour les connexions de vSphere Web services SDK. Si vous souhaitez configurer ces connexions
afin qu'elles ne chiffrent pas les transmissions, dsactivez SSL pour votre connexion vSphere Web Services
SDK en remplaant le paramtre de connexion HTTPS par HTTP.
Envisagez de mettre hors tension SSL uniquement si vous avez cr un environnement parfaitement fiable
pour ces clients, avec des pare-feu et des transmissions depuis/vers l'hte totalement isoles. La
dsactivation de SSL peut amliorer les performances car vous vitez le traitement requis pour l'excution
du chiffrement.
Pour vous protger contre les utilisations abusives des services ESXi, la plupart des services ESXi internes
sont uniquement accessibles via le port 443 (port utilis pour la transmission HTTPS). Le port 443 agit
comme proxy invers pour ESXi. Vous pouvez consulter la liste de services sur ESXi via une page d'accueil
HTTP, mais vous ne pouvez pas directement accder aux services de adaptateurs de stockage sans
autorisation.
VMware, Inc.
191
Vous pouvez modifier cette configuration afin que des services individuels soient directement accessibles
via des connexions HTTP. N'effectuez pas ce changement moins d'utiliser ESXi dans un environnement
parfaitement fiable.
n
192
VMware, Inc.
Utilisez la commande vifs pour obtenir une copie du fichier proxy.xml modifier.
Pour les systmes Linux, utilisez cette commande :
vifs --server hostname --username username --get /host/proxy.xml directory/proxy.xml
AVERTISSEMENT Si ce fichier est modifi avec une configuration incorrecte, le systme risque d'entrer dans
un tat ingrable. Vous devez peut-tre effectuer une rinitialisation d'usine l'aide de la console directe.
2
VMware, Inc.
193
<e id="5">
<_type>vim.ProxyService.LocalServiceSpec</_type>
<accessMode>httpsWithRedirect</accessMode>
<port>8307</port>
<serverNamespace>/sdk</serverNamespace>
</e>
<e id="6">
<_type>vim.ProxyService.NamedPipeTunnelSpec</_type>
<accessMode>httpOnly</accessMode>
<pipeName>/var/run/vmware/proxy-sdk-tunnel</pipeName>
<serverNamespace>/sdkTunnel</serverNamespace>
</e>
<e id="7">
<_type>vim.ProxyService.LocalServiceSpec</_type>
<accessMode>httpsWithRedirect</accessMode>
<port>8308</port>
<serverNamespace>/ui</serverNamespace>
</e>
<e id="8">
<_type>vim.ProxyService.LocalServiceSpec</_type>
<accessMode>httpsOnly</accessMode>
<port>8089</port>
<serverNamespace>/vpxa</serverNamespace>
</e>
<e id="9">
<_type>vim.ProxyService.LocalServiceSpec</_type>
<accessMode>httpsWithRedirect</accessMode>
<port>8889</port>
<serverNamespace>/wsman</serverNamespace>
</e>
</EndpointList>
</ConfigRoot>
194
e id est un numro d'ID pour la balise de serveur ID XML. Les numros d'ID doivent tre uniques
dans la zone HTTP.
accessmode reprsente les formes de communications autorises par le service. Les valeurs acceptes
sont notamment :
n
httpOnly : le service est uniquement accessible sur des connexions HTTP de texte brut.
httpsWithRedirect : le service est uniquement accessible sur des connexions HTTPS. Les requtes
sur HTTP sont rediriges sur l'URL HTTPS approprie.
httpAndHttps : le service est uniquement accessible sur des connexions HTTPS et HTTP.
port est le numro de port attribu au service. Vous pouvez assigner un numro de port diffrent au
service.
serverNamespace est l'espace de nom du serveur qui fournit ce service, par exemple /sdk ou /mob.
VMware, Inc.
Utilisez la commande vifs pour stocker une copie du fichier proxy.xml sur l'hte ESXi.
Pour Linux, utilisez cette commande :
vifs --server hostname --username username --put directory/proxy.xml /host/proxy.xml
Utilisez l'opration Redmarrer les agents de gestion via la console directe pour que les paramtres soient
effectifs.
VMware, Inc.
195
196
VMware, Inc.
14
Une srie de scnarios de dploiement ESXi a t labore pour permettre une utilisation optimale des fonctions
de scurit au sein de votre propre dploiement. Ces scnarios contiennent galement des recommandations
de base en matire de scurit. Elles vous seront utiles lors de la cration et de la configuration de machines
virtuelles.
Ce chapitre aborde les rubriques suivantes :
n
VMware, Inc.
197
Configuration
Commentaires
Oui
Oui
Oui
Le Tableau 14-2 illustre la configuration possible des comptes d'utilisateur pour l'hte.
Tableau 14-2. Configuration de comptes d'utilisateur au sein d'un dploiement client unique
Catgorie d'utilisateur
Administrateurs de site
Administrateurs clients
Administrateurs systme
Utilisateurs
Administrateur de site
Administrateur systme
Accs racine?
Oui
Non
Oui
Non
Oui
Oui
198
Fonction
Configuration
Commentaires
Partage partiel
Non
Oui
VMware, Inc.
Le Tableau 14-5 illustre la configuration possible des comptes d'utilisateur pour l'hte ESXi.
Tableau 14-5. Configuration de comptes d'utilisateur au sein d'un dploiement limit clients multiples
Catgorie d'utilisateur
Administrateurs de site
Administrateurs clients
10
Administrateurs systme
Utilisateurs
Administrateur de
site
Administrateur
client
Administrateur
systme
Accs racine?
Oui
Non
Non
Oui
Oui
Non
Oui
Oui
Oui
Configuration
Commentaires
Oui
Oui
Oui
Le Tableau 14-8 illustre la configuration possible des comptes d'utilisateur pour l'hte.
Tableau 14-8. Configuration de comptes d'utilisateur au sein d'un dploiement ouvert clients multiples
Catgorie d'utilisateur
Administrateurs de site
Administrateurs clients
10
VMware, Inc.
199
Tableau 14-8. Configuration de comptes d'utilisateur au sein d'un dploiement ouvert clients multiples (suite)
Catgorie d'utilisateur
Administrateurs systme
Utilisateurs
Administrateur de
site
Administrateur
client
Administrateur
systme
Utilisateur
Accs racine ?
Oui
Non
Non
Non
Cration et modification de
machine virtuelle ?
Oui
Oui
Non
Non
200
VMware, Inc.
Mode normal
Mode verrouillage
Fournisseurs CIM
Utilisateurs Root
Aucun utilisateur
Aucun utilisateur
Ouvrez une session sur un systme vCenter Server au moyen de vSphere Client.
VMware, Inc.
201
Support technique
distance (SSH)
Service d'interface
utilisateur de console
directe (DCUI)
L'utilisateur racine et les utilisateurs ayant un rle d'administrateur peuvent accder aux services de
dpannage. Les utilisateurs du groupe Active Directory ESX Admins reoivent automatiquement le rle
d'administrateur.
REMARQUE N'activez pas les services de dpannage s'ils ne sont pas requis. Quand les services de dpannage
sont activs, toutes les personnes connectes ont un total contrle de l'hte.
Configuration
recommande
Configuration verrouillage
total
Verrouillage
Dsactiv
Activ
Activ
Dsactiv
Dsactiv
Dsactiv
Dsactiv
Dsactiv
Dsactiv
Interface utilisateur de
console directe (DCUI)
Activ
Activ
Dsactiv
202
Ouvrez une session sur un systme vCenter Server au moyen de vSphere Client.
VMware, Inc.
Depuis l'interface utilisateur de console directe, appuyez sur la touche F2 pour accder au menu de
personnalisation du systme.
Dans le menu des options de mode de dpannage, slectionnez un service de dpannage activer ou
mettre hors tension.
VMware, Inc.
203
Appuyez sur Entre pour activer ou mettre hors tension le service souhait.
Dans le menu des options de mode de dpannage, slectionnez [Modifier le dlai de support
technique] et appuyez sur Entre.
204
VMware, Inc.
Ouvrez une session sur un systme vCenter Server l'aide de vSphere Client, et slectionnez une machine
virtuelle.
Slectionnez [Options] > [Avanc] > [Gnral] et cliquez sur [Paramtres de configuration] .
Cliquez sur [Ajouter ligne] et tapez les valeurs suivantes dans les colonnes de nom et de valeur.
Nom
Valeur
isolation.tools.copy.disable
false
isolation.tools.paste.disable
false
REMARQUE Ces options crasent les valeurs entres dans Panneau de configuration de VMware Tools, sur
le systme d'exploitation invit.
5
Cliquez sur [OK] pour fermer la bote de dialogue de paramtres de configuration, puis sur [OK] pour
fermer la bote de dialogue de proprits de machine virtuelle.
Ouvrez une session sur un systme vCenter Server au moyen de vSphere Client.
VMware, Inc.
205
Slectionnez [Options] > [Options gnrales] et enregistrez le chemin qui s'affiche dans la zone de
texte [Fichier de configuration de la machine virtuelle] .
Utilisez la commande vifs pour obtenir une copie des fichiers de configuration de la machine virtuelle
l'emplacement que vous avez not tape 4.
Les fichiers de configuration des machines virtuelles se situent dans l'inventaire /vmfs/volumes/
datastore, o datastore correspond au nom du priphrique de stockage sur lequel rsident les fichiers de
la machine virtuelle. Par exemple, si le fichier de configuration de la machine virtuelle indiqu dans la
bote de dialogue des proprits de machine virtuelle est [vol1]vm-finance/vm-finance.vmx, utilisez la
commande suivante :
vifs --server hostname --username username --get /vmfs/volumes/vol1/vm-finance/vm-finance.vmx
directory/vm-finance.vmx
Utilisez un diteur de texte pour ajouter la ligne suivante au fichier .vmx file, o device_name correspond
au nom du priphrique protger (par exemple : ethernet1).
device_name.allowGuestConnectionControl = "false"
REMARQUE Par dfaut, Ethernet 0 est configur de faon empcher la dconnexion de priphriques. Le
seul motif de modification de cette configuration se prsente lorsqu'un administrateur prcdent a dfini
device_name.allowGuestConnectionControl sur true.
7
Utilisez vifs pour insrer la copie modifie du fichier l'emplacement que vous avez not tape 4.
vifs --server hostname --username username --put directory/vm-finance.vmx /vmfs/volumes/vol1/
vm-finance/vm-finance.vmx
Dans vSphere Client, cliquez avec le bouton droit sur la machine virtuelle et slectionnez [Powere
Off] .
10
Cliquez avec le bouton droit sur la machine virtuelle et slectionnez [Mettre sous tension] .
206
VMware, Inc.
Ouvrez une session sur un systme vCenter Server au moyen de vSphere Client.
Slectionnez [Options] > [Avanc] > [Gnral] et cliquez sur [Paramtres de configuration] .
Si l'attribut de limite de taille existe, modifiez-le pour qu'il indique les limites appropries.
6
Cliquez sur [OK] pour fermer la bote de dialogue de paramtres de configuration, puis sur [OK] pour
fermer la bote de dialogue de proprits de machine virtuelle.
Ouvrez une session sur un systme vCenter Server au moyen de vSphere Client.
Slectionnez [Options] > [Avanc] > [Gnral] et cliquez sur [Paramtres de configuration] .
Cliquez sur [Ajouter ligne] et tapez les valeurs suivantes dans les colonnes de nom et de valeur.
n
Cliquez sur [OK] pour fermer la bote de dialogue de paramtres de configuration, puis sur [OK] pour
fermer la bote de dialogue de proprits de machine virtuelle.
VMware, Inc.
207
Ouvrez une session sur un systme vCenter Server au moyen de vSphere Client.
Slectionnez [Options] > [Options gnrales] et enregistrez le chemin qui s'affiche dans la zone de
texte [Fichier de configuration de la machine virtuelle] .
Utilisez la commande vifs pour obtenir une copie des fichiers de configuration de la machine virtuelle
l'emplacement que vous avez not tape 3.
Les fichiers de configuration des machines virtuelles se situent dans l'inventaire /vmfs/volumes/
datastore, o datastore correspond au nom du priphrique de stockage sur lequel rsident les fichiers de
la machine virtuelle. Par exemple, si le fichier de configuration de la machine virtuelle indiqu dans la
bote de dialogue des proprits de machine virtuelle est [vol1]vm-finance/vm-finance.vmx, utilisez la
commande suivante :
vifs --server hostname --username username --get /vmfs/volumes/vol1/vm-finance/vm-finance.vmx
directory/vm-finance.vmx
Pour limiter la taille du fichier journal, utilisez un diteur de texte pour ajouter la ligne suivante au
fichier .vmx ou la modifier (o maximum_size correspond la taille maximale du fichier, exprime en octets).
log.rotateSize=maximum_size
Par exemple, pour limiter la taille environ 100 Ko, entrez 100000.
208
VMware, Inc.
Pour limiter le nombre de fichiers journaux, utilisez un diteur de texte pour ajouter la ligne suivante au
fichier .vmx ou la modifier (o number_of_files_to_keep correspond au nombre de fichiers conservs par le
serveur).
log.keepOld=number_of_files_to_keep
Par exemple, pour conserver 10 fichiers journaux et commencer supprimer les plus anciens au fur et
mesure que de nouveaux fichiers sont crs, entrez 10.
7
Utilisez vifs pour insrer la copie modifie du fichier l'emplacement que vous avez not tape 3.
vifs --server hostname --username username --put directory/vm-finance.vmx /vmfs/volumes/vol1/
vm-finance/vm-finance.vmx
Ouvrez une session sur un systme vCenter Server l'aide de vSphere Client, puis slectionnez la machine
virtuelle souhaite dans l'inventaire.
Cliquez sur l'onglet [Options] et, dans la liste des options sous Avanc, slectionnez [Gnral] .
Cliquez sur [OK] pour fermer la bote de dialogue de proprits de machine virtuelle.
VMware, Inc.
209
210
VMware, Inc.
Profils d'hte
VMware, Inc.
211
212
VMware, Inc.
15
La fonction des profils d'hte cre un profil qui encapsule la configuration de l'hte et aide grer la
configuration de l'hte, surtout dans les environnements o un administrateur gre plus d'un hte ou d'un
cluster dans vCenter Server.
Les profils d'hte liminent la configuration par hte, manuelle ou par l'interface utilisateur de l'hte et
maintiennent l'uniformit et l'exactitude de configuration dans le centre de donnes en utilisant les rgles du
profil de l'hte. Ces rgles capturent le plan d'action d'une configuration connue et d'hte de rfrence valid
et utilisent ceci pour configurer la mise en rseau, le stockage, la scurit, et d'autres paramtres sur plusieurs
htes ou clusters. Vous pouvez alors vrifier un hte ou un cluster par rapport la configuration d'un profil
pour toutes les dviations.
Ce chapitre aborde les rubriques suivantes :
n
VMware, Inc.
213
Vrifiez la conformit de l'hte par rapport un profil. Cette opration garantit que l'hte continue tre
configur correctement.
Appliquez le profil de l'hte de rfrence aux autres htes ou clusters des htes.
REMARQUE Les profils d'hte sont pris en charge seulement pour les htes de VMware vSphere 4.0. Cette
fonction n'est pas pris en charge pour les htes VI 3.5 ou plus anciens. Si vous avez des htes VI de version 3.5
ou prcdente grs par votre vCenter Server 4.0, ce qui suit peut survenir si vous essayez d'utiliser des profils
d'hte pour ces htes :
n
Vous ne pouvez pas crer un profil d'hte qui utilise un hte VMware Infrastructure version 3.5 ou
prcdente comme hte de rfrence.
Vous ne pouvez pas appliquer un profil d'hte aux htes VI version 3.5 ou prcdente. La vrification de
conformit choue.
Pendant que vous attachez un profil d'hte un cluster mixte qui contient des htes VI de versions 3.5 ou
prcdente, la vrification de conformit pour ces htes choue.
En tant que fonction autorise de vSphere, les profils d'hte sont disponibles seulement quand la gestion des
licences approprie est en place. Si vous voyez des erreurs, veuillez-vous assurer que vous avez la gestion des
licences approprie de vSphere pour vos htes.
Si vous voulez que le profil d'hte utilise les services d'annuaire pour l'authentification, l'hte de rfrence doit
tre configur pour utiliser un service d'annuaire. Voir Configurer un hte pour utiliser un service
d'annuaire , page 185 pour plus d'informations.
Tous les profils existants sont numrs sur le ct gauche dans la liste des profils. Quand un profil est
slectionn partir de la liste de profil, les dtails de ce profil sont affichs droite.
214
VMware, Inc.
Procdure
1
Passez en revue les informations rcapitulatives du nouveau profil et cliquez sur [Terminer] pour
terminer la cration du profil.
Dans la vue Hte et clusters, slectionnez l'hte que vous voulez dsigner comme l'hte de rfrence du
nouveau profil d'hte.
Cliquez avec le bouton droit sur l'hte et slectionnez [Profil hte] > [Crer profil partir de l'hte] .
L'assistant Crer profil partir de l'hte s'affiche.
Passez en revue les informations rcapitulatives du nouveau profil et cliquez sur [Terminer] pour
terminer la cration du profil.
Sur la page principale Profils d'hte, slectionnez le profil exporter dans la liste de profil.
VMware, Inc.
215
Dans la vue principale Profils d'hte, cliquez sur l'icne [Crer profil] .
L'assistant Crer profil s'affiche.
Entrez et parcourez le fichier de Format de profil VMware pour importer et cliquez sur [Suivant] .
Entrez le nom et la description du profil import et cliquez sur [Suivant] lorsque vous avez temin.
Passez en revue les informations rcapitulatives du profil import et cliquez sur [Terminer] pour terminer
l'importation du profil.
Dans la vue principale Profils d'hte, slectionnez le profil modifier dans la liste de profil.
(Facultatif) Modifiez le nom ou la description du profil dans les champs en haut de l'diteur de profil.
Modifiez la rgle.
216
VMware, Inc.
Rservation de mmoire
Stockage
Mise en rseau
Date et heure
Pare-feu
Scurit
Service
Avanc
Procdure
1
Sur le ct gauche de l'diteur de profil, droulez le sous-profil jusqu' ce que vous atteigniez la rgle que
vous voulez modifier.
Slectionnez la rgle.
Sur le ct droit de l'diteur de profil, les options et les paramtres de rgle sont affichs dans l'onglet
Dtails de configuration.
Slectionnez une option de rgle partir du menu droulant et dfinissez son paramtre.
(Facultatif) Si vous modifiez une rgle, mais souhaitez revenir l'option par dfaut, cliquez sur [Revenir]
et l'option est rinitialise.
Ouvrez l'diteur de profil pour un profil et naviguez la rgle que vous souhaitez activer pour la
vrification de conformit.
VMware, Inc.
217
Attachement d'entits
Les htes qui ont besoin d'tre configurs sont attachs un profil.
Les profils peuvent galement tre attachs un cluster. Pour qu'ils soient conformes, tous les htes dans un
cluster attach doivent tre configurs en fonction du profil. Les htes ne sont pas automatiquement configurs
en fonction du profil de l'hte associ au cluster lorsqu'il est ajout au cluster. Lorsqu'un hte est ajout un
cluster qui est associ un profil, l'hte est automatiquement associ au profil. Si le profil n'est pas appliqu
ou configur conformment ce qui est dfini dans le profil, cela provoquera l'chec de l'tat de conformit
pour le profil lors de la prochaine vrification de conformit. Vous corrigez cette erreur en appliquant le profil
l'hte.
Vous pouvez attacher un hte ou un cluster un profil partir de :
n
Dans la vue principale Profils d'hte, slectionnez le profil auquel vous voulez ajouter l'attachement
partir de la liste de profil.
(Facultatif) Cliquez sur [Dtacher] pour supprimer un attachement partir d'un hte ou d'un cluster.
218
VMware, Inc.
Procdure
1
Dans la vue Hte et clusters, slectionnez l'hte auquel vous voulez attacher un profil.
Cliquez avec le bouton droit sur l'hte et slectionnez [Profil hte] > [Grer profil] .
REMARQUE Si aucun profil d'hte n'existe dans votre inventaire, un dialogue s'affiche demandant si vous
voulez crer et attacher l'hte ce profil.
Dans le dialogue Attach Profile, slectionnez le profil attacher l'hte et cliquez sur [OK] .
Dans la vue principale Profils d'hte, slectionnez le profil que vous voulez appliquer l'hte.
Dans la vue Hte et clusters, slectionnez l'hte auquel vous voulez appliquer un profil.
Cliquez avec le bouton droit sur l'hte et slectionnez [Profil hte] > [Appliquer le profil] .
VMware, Inc.
219
Vous pouvez effectuer cette tche soit partir de la vue principale Profils d'hte ou partir de l'hte.
u
Dans la vue principale Profils d'hte, cliquez avec le bouton droit sur le profil dont vous souhaitez
modifier l'hte de rfrence et slectionnez [Changer l'hte de rfrence] .
Dans la vue Htes et Clusters, cliquez avec le bouton droit sur l'hte duquel vous voulez mettre
niveau les rfrences et slectionnez [Grer les profils] .
Dterminez si vous voulez dtacher le profil partir de l'hte ou du cluster ou modifiez l'hte de rfrence
du profil.
u
Cliquez sur [Modifier] pour continuer la mise niveau de l'hte de rfrence du profil.
Si vous slectionnez [Modifier] ,le dialogue Attach Profile s'affiche. L'hte actuel auquel le profil fait
rfrence est affich comme [Hte rfrence] .
3
Augmentez la liste d'inventaire et slectionnez l'hte auquel vous voulez joindre le profil.
220
VMware, Inc.
Dans la vue Htes et Clusters, cliquez avec le bouton droit sur un cluster et slectionnez [Profil hte] >
[Grer profil] . Selon la configuration du profil d'hte, les rsultats sont les suivants :
Etat du profil et tche
Rsultat
a
b
a
b
Faites les modifications de configuration sur l'hte de rfrence dans vSphere Client, puis mettez le profil
de l'hte de rfrence niveau. Les paramtres du profil existant sont mis niveau pour correspondre
ceux de l'hte de rfrence.
Alors que la mise niveau du profil partir de l'diteur de profil est plus complte et donne plus d'options,
mettre le profil niveau partir de l'hte de rfrence permet de valider la configuration avant de la diffuser
sur les d'autres htes attachs au profil.
La mise niveau du profil partir de l'hte de rfrence est effectue dans la vue principale Profils d'hte.
Procdure
u
Dans la vue principale Profils d'hte, cliquez avec le bouton droit sur le profil que vous souhaitez mettre
niveau et slectionnez [Mise niveau profil depuis Hte Rfrence] .
Vrification de la conformit
Vrifier la conformit garantit que l'hte ou le cluster continue tre configur correctement.
Aprs la configuration d'un hte ou d'un cluster avec le profil de l'hte de rfrence, un changement manuel,
par exemple, peut survenir et rendre la configuration incorrecte. Vrifier la conformit sur une base rgulire
garantit que l'hte ou le cluster continue tre configur correctement.
VMware, Inc.
221
partir de la liste Profils d'hte, slectionnez le profil que vous voulez vrifier.
Dans l'onglet [Htes et clusters] , slection l'hte ou le cluster partir de la liste sous Nom Entit.
Dans la vue Hte et clusters, slectionnez l'hte sur lequel vous voulez excuter la vrification de
conformit.
Cliquez avec le bouton droit sur l'hte et slectionnez [Profil hte] > [Contrler la conformit] .
L'tat de conformit de l'hte est affich dans l'onglet [Rsum] de l'hte.
222
Dans la vue Hte et clusters, slectionnez le cluster sur lequel vous voulez excuter la vrification de
conformit.
Dans l'onglet Conformit de profil, cliquez sur [Vrifier la conformit maintenant] pour vrifier la
conformit du cluster avec la fois le profil d'hte qui est attach ce cluster et aux conditions de cluster,
si applicable.
n
Le cluster est vrifi pour assurer la conformit aux paramtres spcifiques pour des htes dans le
cluster, tel que DRS, HA, et DPM. Par exemple, il peut vrifier si vMotion est activ. L'tat de
conformit pour les conditions de cluster est mis niveau. Cette vrification est effectue mme si un
profil d'hte n'est pas attach au cluster.
Si un profil d'hte est attach au cluster, le cluster est vrifi pour assurer la conformit au profil
d'hte. L'tat de conformit pour le profil d'hte est mis niveau.
(Facultatif) Cliquez sur [Description] ct des Conditions Cluster pour une liste des conditions de
cluster spcifiques.
(Facultatif) Cliquez sur [Description] ct des Profils d'hte pour une liste de vrifications de conformit
de profil d'hte spcifiques.
VMware, Inc.
(Facultatif) Cliquez sur [Modifier] pour modifier le profil d'hte qui est attach au cluster.
(Facultatif) Cliquez sur [Supprimer] pour dtacher le profil d'hte qui est attach au cluster.
Si le cluster n'est pas conforme, le profil doit tre appliqu sparment chaque hte dans le cluster.
VMware, Inc.
223
224
VMware, Inc.
Annexes
VMware, Inc.
225
226
VMware, Inc.
La plupart des commandes de cette annexe sont rserves l'utilisation de support technique et incluses
uniquement pour rfrence. Toutefois, dans quelques cas, ces commandes sont le seul moyen d'excuter une
tche de configuration pour l'hte. Aussi, si vous perdez la connexion votre hte, l'excution de certaines de
ces commandes via l'interface de ligne de commande peut tre votre unique recours (par exemple, si la mise
en rseau devient non fonctionnelle et l'accs au vSphere Client n'est par consquent pas disponible).
REMARQUE Si vous utilisez les commandes dans cette annexe, vous devez excuter la commande service mgmtvmware restart pour redmarrer le processus vmware-hostd et alerter le vSphere Client et d'autres outils de
gestion que la configuration a chang. En rgle gnrale, vitez d'excuter les commandes de cette annexe si
l'hte se trouve actuellement sous la gestion du vSphere Client ou de vCenter Server.
L'interface utilisateur graphique du vSphere Client fournit les moyens prfrs d'excution de tches de
configuration dcrites dans cette section. Vous pouvez utiliser cette rubrique pour connatre les commandes
du vSphere Client utiliser la place de ces commandes. Cette section propose un rsum des actions que
vous effectuez dans vSphere Client mais ne donne pas d'instructions compltes. Pour des dtails sur
l'utilisation des commandes et l'excution de tches de configuration via le vSphere Client, consultez l'aide en
ligne.
Tableau A-1 rpertorie les commandes de support technique fournies pour ESXi, rsume la fonction de chaque
commande et propose une alternative au vSphere Client. Vous pouvez effectuer la plupart des actions du
vSphere Client listes dans le tableau seulement aprs avoir slectionn un hte ESXi partir du panneau
d'inventaire et cliqu sur l'onglet [Configuration] . Ces actions sont prliminaires toute procdure voque
ci-dessous, sauf indication contraire.
VMware, Inc.
227
esxcfg-advcfg
228
esxcfg-dumppart
esxcfg-info
esxcfg-init
Effectue des routines d'initialisation interne. Cette commande est utilise dans le
processus d'amorce et ne doit en aucun cas tre employe. Cette commande peut
causer des problmes pour ESXi.
Il n'existe pas d'quivalent pour cette commande avec le vSphere Client.
esxcfg-module
Rgle les paramtres de pilote et modifie les pilotes charger durant le dmarrage.
Cette commande est utilise dans le processus d'amorce et elle est rserve
l'assistance technique de VMware. Ne lancez pas cette commande moins d'y tre
invit par un reprsentant de l'assistance technique de VMware.
Il n'existe pas d'quivalent pour cette commande avec le vSphere Client.
esxcfg-mpath
Configure les paramtres multichemins pour vos disques iSCSI ou Fibre Channel.
Afin de configurer les paramtres multichemins pour votre stockage dans vSphere
Client, cliquez sur [Stockage] . Slectionnez une banque de donnes ou un LUN
mapp et cliquez sur [Proprits] . Lorsque la bote de dialogue [Proprits]
apparat, slectionnez l'extension souhaite, si ncessaire. Cliquez ensuite sur
[Priphrique de domaine] > [Grer les chemins] et utilisez la bote de dialogue
[Grer les chemins] pour configurer les chemins.
esxcfg-nas
Gre les montages NFS. Vous utilisez cette commande pour crer ou dmonter une
banque de donnes NFS.
Pour consulter les banque de donnes NFS dans vSphere Client, cliquez sur
[Stockage > Banque de donnes] et parcourez la liste de banque de donnes. Vous
pouvez galement effectuer les activits suivantes depuis la vue [Stockage > Banque
de donnes] :
n Afficher les attributs d'une banque de donnes NFS : cliquez sur la banque de
donnes et consultez les informations sous [Dtails] .
n Crer une banque de donnes NFS : cliquez sur [Ajouter stockage] .
n Dmonter une banque de donnes NFS : cliquez sur [Supprimer] , ou cliquez
avec le bouton droit sur la banque de donnes dmonter et slectionnez
[Dmonter] .
VMware, Inc.
esxcfg-nics
Imprime la liste de adaptateurs rseau physiques ainsi que les informations sur le
pilote, le priphrique PCI et l'tat de liaison de chaque carte d'interface rseau. Vous
pouvez aussi utiliser cette commande pour contrler le duplexage et la vitesse d'un
adapteur rseau physique.
Pour afficher les informations des adaptateurs rseau physiques de l'hte dans
vSphere Client, cliquez sur [Adaptateurs rseau] .
Pour modifier la vitesse et le duplexage d'un adapteur rseau physique dans vSphere
Client, cliquez sur [Mise en rseau] > [Proprits] pour tout commutateur virtuel
associ la carte rseau physique. Dans la bote de dialogue [Proprits] , cliquez
sur [Adaptateurs rseau] > [Modifier] et slectionnez la combinaison de duplex et
de vitesse.
esxcfg-resgrp
esxcfg-route
esxcfg-swiscsi
esxcfg-scsidevs
esxcfg-vmknic
Cre et met niveau les paramtres VMkernel TCP/IP pour vMotion, NAS et iSCSI.
Pour configurer les connexions rseau de vMotion, NFS ou iSCSI dans vSphere Client,
cliquez sur [Gestion de rseaux > Ajouter gestion rseau] . Slectionnez [VMkernel]
et voluez travers l' [Assistant Ajouter rseau] . Dfinissez le masque de sousrseau, l'adresse IP et la passerelle par dfaut VMkernel l'tape [Paramtres de
connexion] .
Pour consulter vos paramtres, cliquez sur l'icne bleu gauche du port NFS, iSCSI
ou vMotion. Pour modifier l'un de ces paramtres, cliquez sur [Proprits] pour le
commutateur. Slectionnez le port dans la liste de la bote de dialogue [Proprits]
du commutateur et cliquez sur [Modifier] pour ouvrir la bote de dialogue
[Proprits] du port et modifier ses paramtres.
esxcfg-vswitch
VMware, Inc.
229
230
VMware, Inc.
Index
Symboles
* chemin le plus proche 127
A
acclration matrielle
propos 130
avantages 131
exigences 131
dsactivation 131
tat 131
accs au stockage 87
accs de gestion, ports TCP et UDP 163
accs direct 178
activation, vrifications de conformit de rgle de
profil d'hte 217
Active Directory 185, 186
adaptateurs actifs 23
adaptateurs de stockage
affichage 89
consulter dans vSphere Client 88
copier des noms 89
Fibre Channel 94
adaptateurs en veille 23
adaptateurs iSCSI
logiciel 95
matriel 95
adaptateurs iSCSI matriels
dpendant 95
indpendant 95
adaptateurs rseau physiques
ajouter un commutateur distribu
vNetwork 35
gestion 35
suppression 35
Adaptateurs rseau VMkernel, ajout 20, 36
adresse IP 29
adresse MAC
configuration 62, 63
gnration 63
statique 63
adresses de dcouverte dynamique 102
adresses de dcouverte statique 102
adresses IP 83
adresses MAC 56, 57
VMware, Inc.
ajout
groupes dvPort 31
stockage NFS 112
ajout d'un adapteur rseau VMkernel 20
Ajouter des utilisateurs dans des groupes 185
alias iSCSI 83
Architecture de stockage enfichable 122
Association de cartes rseau, dfinition 13
associations de scurit
ajout 170
disponible 171
liste 171
suppression 171
astrisque chemin le plus proche 127
attaques
802.1Q et balisage ISL 167
double encapsulation 167
force brute multidiffusion 167
l'arbre recouvrant 167
saturation MAC 167
trame alatoire 167
attaques 802.1Q et de balisage ISL 167
attaques double encapsulation 167
attaques trame alatoire 167
attaques de force brute multidiffusion 167
attributions de liaison montante 30
authentification
groupes 179
stockage iSCSI 174
utilisateurs 177, 178
vSphere Client pour ESXi 177
authentification CHAP 103, 174, 175
authentification daemon 177
authentification SAN iSCSI, dsactivation 175
autorisations
administrateur du vCenter Server 180
et privilges 180
prsentation 180
profils d'hte 187
utilisateur 180, 181
utilisateur racine 180
vpxuser 180
autorisations de l'utilisateur
dcui 181
vpxuser 181
231
B
baies de disques
actives/actives 128
actives/passives 128
baies de disques actives/actives 128
baies de disques actives/passives 128
baies de disques passives 128
bande passante
maximale 58, 59
moyenne 58, 59
bande passante maximale 5861
bande passante moyenne 58, 60, 61
banques de donnes
administration des duplications 119
affichage 91
ajout des domaines 118
augmentation de capacit 118
chemins 128
configuration sur des volumes NFS 112
consulter les proprits 92
cration sur un disque SCSI 110
dmontage 117
gestion 115
montage 120
NFS 84
actualisation 109
regroupesment 116
renommer 116
sur-abonnement du stockage 134
VMFS 84
banques de donnes NFS
dmontage 117
rfrentiels 112
banques de donnes VMFS
ajout des domaines 118
augmentation de capacit 118
configuration 110
cration 85
dmontage 117
modification des proprits 117
modifier des signatures 121
partage 86
resignature de copies 121
suppression 116
basculement 44, 45, 122
basculement de chemin, bas sur hte 125
blocage des ports, groupes dvPort 61
C
carte, virtuel 37
carte virtuelle, VMkernel 38
carte VMkernel 38
232
VMware, Inc.
Index
VMware, Inc.
RDM 143
stockage SCSI 110
configuration des ports 22
connexion racine, autorisations 180
console directe, accs 182
copier et coller
activation pour les systmes d'exploitation
invits 205
machines virtuelles 204
systmes d'exploitation client 204
copies de banque de donnes, montage 120
couche de virtualisation, scurit 148
cration, profils d'hte 214, 215
D
dcui 181
dconnexion d'un priphrique, interdiction 205
dcouverte
adresse 102
dynamique 102
statique 103
dcouverte dynamique, configuration 102
dcouverte statique, configuration 103
dlais d'attente, SSL 190
dlestage de segmentation TCP 64
dpannage
groupes de ports 75
rseau 69, 75
dplacement de port actif, groupes dvPort 32
dploiements des fins de scurit
dploiement limit clients multiples 198
dploiement ouvert clients multiples 197,
199
dsactivation
authentification SAN iSCSI 175
journalisation pour les systmes d'exploitation
invits 207, 209
SSL pour SDK de vSphere 191
taille variable d'informations 207
dsactivation de chemins d'accs 130
dtection de basculement de rseau 45, 47, 49,
51
disques, format 133, 134
disques allous dynamiquement, cration 133
disques virtuels, formats 132
DMZ 152
DNS 62
dvPorts
bloqus 61
contrle 32
dtection de basculement de rseau 51
quilibrage de charge 51
tats 32
notifier les commutateurs 51
ordre de basculement 51
233
ports bloqus 62
proprits 33
rgles d'association et de basculement 51
rgles de formation du trafic 61
rgles de port 62
rgles de VLAN 53
retour arrire 51
dvUplink 27
E
empreintes, htes 188
quilibrage de charge 44, 45, 47, 49, 51
espace de stockage 132
ESXi, rfrence de commande 227
tat actuel du multivoie 128
tat du multivoie 128
tats, dvPorts 32
exportation
groupes d'hte 183
profils d'hte 215
utilisateurs d'hte 183
extensions
agrandissement 118
ajouter la banque de donnes 118
F
Fibre Channel 80
fichiers de journalisation
limitation de la taille 208
limitation du nombre 208
filtres de stockage
dsactivation 134
hte identique et transports 135
RDM 135
ranalyse de l'hte 135
VMFS 135
format de nom de port, groupes dvPort 32
formats de disque
approvisionn pais 132
approvisionn lger 132
NFS 111
FTP et ports de pare-feu 162
G
gnrer des certificats 188
gestion d'utilisateurs 177
gestion des chemins 122
groupes
propos 182
afficher des listes de groupes 183
ajouter des htes 185
ajouter des utilisateurs 185
authentification 179
234
H
hte, rfrence 220
hte de rfrence 220
htes
ajouter un commutateur distribu
vNetwork 28
ajouter des groupes 185
ajouter des utilisateurs 183
dploiements et scurit 197
empreintes 188
mmoire 206
HTTPS PUT, charger des certificats et cls 189
VMware, Inc.
Index
I
ID VLAN
primaire 33
secondaire 33
IDE 80
importation du profil d'hte 216
initiateurs iSCSI
configurer les paramtres avancs 108
configurer les paramtres CHAP 103
configurer CHAP 104
matriel 96
paramtres avancs 107
initiateurs iSCSI logiciels
activation 98
configuration 98
configurer des adresses de dcouverte 102
initiateurs iSCSI matriels
affichage 97
changement de nom iSCSI 97
configuration 96
configurer des adresses de dcouverte 102
configuration des paramtres de nommage 97
installation 97
interfaces vMotion, cration 20, 36
IPsec, , voir Scurit du protocole Internet
(IPsec)
IPv4 43
IPv6 43, 44
iSCSI
adaptateurs iSCSI QLogic 173
authentification 174
avec NIC multiples 72
client logiciel et ports de pare-feu 162
protection des donnes transmises 175
rseau 20, 44
scurisation des ports 175
scurit 173
iSCSI HBA, alias 97
iSCSI matriel, et basculement 125
isolation
commutateurs virtuels 151
couche rseau virtuelle 151
machines virtuelles 149
VLAN 151
J
jonction VLAN 31, 53
journalisation, dsactivation pour les systmes
d'exploitation invits 207, 209
L
LAN virtuel 44
liaison de port 71, 101, 125
VMware, Inc.
M
machines virtuelles
activation des oprations copier et coller 205
avec RDM 143
copier et coller 204
dsactivation de la journalisation 207, 209
interdiction de dconnecter un
priphrique 205
isolation 151, 152
limitation de la taille variable
d'informations 207
migration depuis ou vers un commutateur
distribu vNetwork 39
recommandations de scurit 204
rseau 39
rservations et limites applicables aux
ressources 149
scurit 149
mappage de priphrique brut, voir RDM 137
mappages de partitions 140
matriel iSCSI dpendant
afficher les adaptateurs 100
considrations 99
et cartes rseau associes 100
matriel ISCSI dpendant, workflow de
configuration 99
meilleures pratiques
rseau 69
scurit 197
meilleures pratiques de mise en rseau 69
mtadonnes, RDM 141
mthodes d'authentification CHAP 103
mise niveau
commutateur distribu vNetwork 30
vDS 30
mise en forme du trafic
groupes de ports 59
vSwitch 59
235
N
NAS, montage 70
NAT 43
native Multipathing Plug-In 122
Native Multipathing Plug-In 123
netqueue, activation 66
NetQueue, dsactivation 67
NFS
ports de pare-feu 162
rseau 20
NIC
ajouter un commutateur distribu
vNetwork 35
mappage vers des ports 73
suppression d'un commutateur distribu
vNetwork 35
NIS et ports de pare-feu 162
236
O
ordre de basculement 45, 47, 49, 51
P
panne de chemin 125
paramtres de pool de ressources, vDS 40
paramtres de remplacement, groupes
dvPort 32
partition de diagnostic, configuration 113
Path Selection Plug-Ins 124
PCI 67
priphrique de relais, ajouter une machine
virtuelle 68
priphriques de stockage
affichage 89
affichage pour un adaptateur 90
affichage pour un hte 90
chemins 128
identificateurs 83, 91
noms 83
noms d'excution 83
priphriques de traitement par blocs 140
priphriques matriels, suppression 205
priphriques RAID 140
phrase de passe 179
plug-ins multichemin, rclamation de
chemin 127
point de dfaillance unique 93
politique de support logiciel tiers 154
pools de ressources, rseaux 40
ports bloqus, dvPorts 62
ports de commutateur virtuel, scurit 168
ports de pare-feu
chiffrement 187
configuration avec vCenter Server 158
configuration sans vCenter Server 160
connexion la console de machine
virtuelle 161
connexion vCenter Server 161
connexion directe de vSphere Client 160
VMware, Inc.
Index
gestion 162
hte hte 162
ouverture avec vSphere Client 162
prsentation 157
SDK et console de la machine virtuelle 161
services pris en charge 162
vSphere Client et console de machine
virtuelle 161
vSphere Client et vCenter Server 158
ports de pare-feu hte hte 162
ports TCP 163
ports UDP 163
ports VMkernel 73
privilges et autorisations 180
profil d'hte, attachement d'entits 218
profils, gestion 221
profils d'hte
accs 214
activation des vrifications de conformit de
rgle 217
application des profils 219
appliquer des autorisations 187
attachement des entits partir de l'hte 218
attachement des entits partir de la vue Profil
d'hte 218
cration 214
cration partir de l'hte 215
cration partir de la vue du profil d'hte 214
exportation 215
gestion des profils 218
importation des profils 216
mise niveau de l'hte de rfrence 221
modification d'une rgle 216
modification des profils 216
utilisation modle 213
vrification de la conformit 221, 222
proprits, dvPorts 33
Protocole dcouverte Cisco 24, 29
Protocole Internet 44
PSA, , voir Architecture de stockage enfichable
PSP, , voir Path Selection Plug-Ins
PSP de VMware, , voir Path Selection Plug-Ins
R
RDM
avec mise en cluster 142
avantages 138
cration 143
et fichiers de disque virtuel 142
et formats VMFS 140
et snapshots 140
gestion des chemins 144
VMware, Inc.
237
S
SAN Fibre Channel, WWN 82
SAS 80
SATA 80
SATP, , voir Storage Array Type Plug-Ins
SATP de VMware, , voir Storage Array Type PlugIns
saturation MAC 167
SDK, ports du pare-feu et console de machine
virtuelle 161
scurit
architecture 147
autorisations 180
certification 154
couche de virtualisation 148
couche rseau virtuelle 151
DMZ sur un hte 151, 152
ESXi 147, 157
fonctions 147
238
VMware, Inc.
Index
NFS 111
non partag 133
prsentation 79
provisionn 133
SAN 94
SCSI local 93
scurisation avec VLAN et commutateurs
virtuels 166
types 80
utilis par les machines virtuelles 133
stockage Fibre Channel, prsentation 94
Stockage iSCSI
initiateurs 94
logiciel 94
matriel 94
stockage NFS
ajout 112
prsentation 111
stockage SCSI local, prsentation 93
Storage Array Type Plug-Ins 123
support pdagogique 7
support technique 7
Supprimer des utilisateurs de groupes 185
systmes d'exploitation client
activation des oprations copier et coller 205
copier et coller 204
dsactivation de la journalisation 207, 209
limitation de la taille variable
d'informations 207
niveaux de journalisation 208
recommandations de scurit 204
systmes de fichiers, mise niveau 119
T
taille de rafale 5861
taille variable d'informations des systmes
d'exploitation invits
dsactivation 207
limitation 207
TCP/IP 20
TPM (Trusted Platform Module) 148
traduction d'adresse rseau 43
trames jumbo
activation 65
machines virtuelles 64, 65
Trames jumbo 65, 66
Transmissions forges 56, 57, 168, 169
TSO 64
type de VLAN 53
U
USB 80
utilisateur dlgu 111
VMware, Inc.
utilisateurs
propos 182
accs direct 178
afficher une liste d'utilisateurs 183
ajouter des groupes 185
ajouter des htes 183
authentification 178
autorisations et rles 178
du domaine Windows 178
exporter une liste d'utilisateurs 183
modification sur des htes 184
scurit 178
supprimer de l'hte 184
Supprimer des groupes 185
vCenter Server 178
utilisateurs de vCenter Server 178
V
vCenter Server
autorisations 180
connexion via un pare-feu 161
ports de pare-feu 158
vDS
ajouter un hte 28
carte rseau virtuelle 37
cartes rseau virtuelles 36
configuration 27
grer les htes 28
machines virtuelles 39
mise niveau 30
nom 29
paramtres 29
paramtres de pool de ressources 40
Trames jumbo 65
vrifications de conformit, profils d'hte 217
VLAN
configuration de scurit 166
dfinition 13
et iSCSI 175
priv 33
scnarios de dploiement 197
scurit 164, 166
scurit de la couche 2 166
VLAN hopping 166
VLAN priv
crer 33
primaire 34
secondaire 34
suppression 34
VMFS
partage 197
re-signature d'un volume 119
239
VMkernel
configuration 19
dfinition 13
rseau 20
scurit 148
Trames jumbo 66
vMotion
configuration rseau 19
dfinition 13
rseau 20
scurisation avec VLAN et commutateurs
virtuels 166
VMware NMP
flux d'E/S 124
Voir aussi native Multipathing Plug-In
Voir aussi Native Multipathing Plug-In
vmware-hostd 177
vmxnet amlior 64, 65
vpxuser 181
vSphere CLI 101
vSphere Client
ports de pare-feu avec vCenter Server 158
ports de pare-feu pour connexion directe 160
ports du pare-feu se connectant la console de
la machine virtuelle 161
240
vSwitch
affichage 15
configuration 22
configuration des ports 22
dfinition 13
dtection de basculement de rseau 45
quilibrage de charge 45
mise en forme du trafic 59
notifier les commutateurs 45
ordre de basculement 45
proprits 22
rgles d'association et de basculement 45, 47
retour arrire 45
scurit de la couche 2 54
utilisation 17
W
WWN 82
VMware, Inc.