Académique Documents
Professionnel Documents
Culture Documents
Julien Cabessut
Université Toulouse Jean Jaurès
5 allées Antonio Machado
31058 Toulouse
Résumé
Basée sur l'expérience acquise dans le cadre du projet de Cloud privé de l'Université Fédérale de Toulouse
Midi-Pyrénées (UFTMiP), cette présentation a pour objectif de faire un tour d'horizon du concept de
virtualisation des réseaux tel qu'il est implémenté par VMware. Je me focaliserai sur la version NSX-V
dédiée aux hyperviseurs ESXi, en la comparant brièvement avec la version NSX-T (pour hyperviseurs
KVM) et les technologies similaires proposées par d'autres solutions (OpenStack Neutron, Cisco ACI).
En première partie, j’expliquerai le fonctionnement général de cette plateforme et la façon dont elle
s'intègre dans un environnement vSphere. Je m’attarderai sur le concept de VXLAN et de VTEP
permettant l'abstraction de la couche réseau physique. Je détaillerai les avantages et inconvénients de cette
solution en termes d'implémentation et d'exploitation, en comparaison avec les réseaux traditionnels.
La deuxième partie se focalisera sur la sécurité, présentant les notions de micro-segmentation et de sécurité
contextuelle apportées par le pare-feu distribué. Nous verrons en quoi ce composant permet d'améliorer la
segmentation par rapport aux solutions historiques : pares feux périmétriques ou VLAN privés.
J’expliquerai également son intérêt dans un contexte de provisionnement de machines virtuelles en
association avec vRealize Automation.
Je terminerai par la description d'un composant essentiel de l'architecture NSX : l'Edge Service Gateway,
routeur périmétrique à la frontière des réseaux physiques et virtuels, en détaillant les différents services
qu'il permet d'implémenter sur les réseaux virtualisés (filtrage, NAT, VPN, routage et haute-disponibilité).
La conclusion présentera le bilan de deux ans d'exploitation de VMware NSX sur un environnement de
production.
Mots-clefs
Réseaux, virtualisation, NSX, vmware, vsphere, micro-segmentation, sdn.
1 Introduction
Le Cloud Privé de l’UFTMiP est une infrastructure communautaire d’hébergement de machines virtuelles,
sur un modèle IaaS/PaaS, s’appuyant sur des équipements répartis dans les datacenters de 3 établissements.
L’ensemble des fonctions de virtualisation est basé sur la solution vSphere de VMware.
Le modèle architectural est de type stretch-cluster : les ressources des 3 datacenters sont vues comme un
cluster unique, géré par un seul vCenter. La réplication synchrone du stockage repose sur la technologie
LiveVolume de DELL. L’interconnexion entre les sites est assurée par le réseau métropolitain REMIP.
2 Concepts fondamentaux
1
https://tools.ietf.org/html/rfc7348
3 Sécurité et micro-segmentation
L’installation de NSX déploie sur les hyperviseurs un troisième module : le pare-feu distribué (DFW). Si
les composants présentés jusqu’ici ne font que virtualiser des fonctionnalités déjà existantes sur les réseaux
physiques, le pare-feu distribué permet une nouvelle approche de la problématique de sécurité concernant
les datacenters virtualisés.
4.1 Routage
L’ESG est avant tout un routeur. À ce titre, elle participe au plan de contrôle et gère l’adjacence avec les
routeurs voisins (généralement top of rack). Elle dispose de dix interfaces utilisables pour la liaison
montante et les liens vers le réseau interne, et permet d’implémenter du routage statique et dynamique
(eBGP, iBGP, et OSPF).
4.2 Haute-disponibilité
L’ESG peut être déployée selon deux modèles différents en fonction des besoins : en mode HA
(actif/passif), ou en mode ECMP (actif/actif) pour assurer la répartition de charge et augmenter la bande
passante.
En mode ECMP, jusqu’à 8 ESG peuvent être actives simultanément, mais la plupart des services stateful
sont indisponibles. Seuls le routage et le forwarding sont possibles en raison de la nature asymétrique des
4.3 Firewall
L’ESG embarque un firewall dédié aux flux nord-sud. À l’instar du pare-feu distribué, il est stateful et
administré via l’interface de gestion de l’Edge dans le client vSphere. Ce firewall et le pare-feu distribué
peuvent être utilisés indépendamment ou de façon conjointe. L’utilisation de plusieurs ESG dans le cadre
du Cloud privé permet de gérer la politique de filtrage de façon distincte pour chaque tenant, pour s’adapter
aux politiques de sécurité propres aux établissements membres.
4.4 VPN
L’ESG peut être utilisée comme terminaison VPN de niveau 2 et 3. L’utilisation de tunnels de niveau 3 est
possible en IPSec ou en SSL. Ces deux services sont distincts et indépendants.
Dans le cadre du projet UFTMiP, nous utilisons des tunnels IPSec pour interconnecter les réseaux de
campus des établissements membres avec leurs tenants correspondant sur le Cloud. Les administrateurs de
VM et les responsables du maintien en condition opérationnelle peuvent ainsi accéder de façon transparente
au périmètre réseau qui leur est affecté.
Le service VPN SSL est disponible pour les administrateurs en mobilité. Une interface web gérée par l’ESG
permet de télécharger un package d’installation client prêt à l’emploi, pour les plateformes Windows, OSX
et Linux.
Ces deux services VPN ont été utilisés avec succès par des endpoints utilisant le client libre Openvpn, ou
en association avec des firewalls Stormshield, Palo Alto et Fortinet.
5 Conclusion
L’expérience acquise sur NSX durant ces trois années de mise en œuvre et d’exploitation peut se résumer
de la façon suivante :
5.1 Avantages
̶ Facilité de déploiement et de dimensionnement de l’infrastructure réseau virtualisée
̶ Simplification des opérations de configuration sur les équipements physiques
̶ Optimisation des ressources
̶ Gestion centralisée grâce à l’intégration au client vSphere
̶ Automatisation via l’API REST ou l’interaction avec vRealize
̶ Micro-segmentation et sécurité contextuelle
5.2 Inconvénients
̶ Coût des licences
̶ Solution propriétaire
̶ Learning curve
̶ Exploitation des logs