Sunteți pe pagina 1din 77

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc.

. Toute divulgation, toute distribution et tout usage non autoriss sont


strictement interdits.
La virtualisation
durseau

dition spciale de VMware

par Mora Gozani

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
La virtualisation du rseau pour les Nuls, une dition spciale de VMware
Publi par
John Wiley & Sons, Inc.
111 River St.
Hoboken, NJ 07030-5774
www.wiley.com
Droit dauteur 2016 par John Wiley & Sons, Inc., Hoboken, New Jersey
Aucune partie de cet ouvrage ne peut tre reproduite, conserve dans un systme dextraction de
donnes ni transmise sous quelque forme ou par quelque moyen que ce soit, par voie lectronique ou
mcanique, photocopie, enregistrement, numrisation ou autre, sans laccord crit pralable de ldi-
teur, sauf si larticle 107 ou 108 de la loi des tats-Unis de 1976 relative au droit dauteur lautorise. Les
demandes de permission destines lditeur doivent tre adresses Permissions Department, John
Wiley & Sons, Inc., 111 River Street, Hoboken, NJ 07030, tl. (201) 748-6011, fax (201) 748-6008, ou en
ligne sur le site: http://www.wiley.com/go/permissions.
Marques de commerce: Wiley, For Dummies, Pour les Nuls, le logo de lhomme Nul, The Dummies Way,
Dummies.com, Making Everything Easier et les habillages de commerce associs sont des marques de
commerce ou des marques dposes de John Wiley & Sons, Inc. et/ou des socits qui lui sont affilies aux
tats-Unis et dans dautres pays, et ne peuvent tre utiliss sans accord crit. VMware, vSphere et vRealize
sont des marques dposes; VMware NSX, VMware vRealize Operations et vRealize Automation sont des
marques de commerce de VMware, Inc. Toutes les autres marques de commerce appartiennent leurs
propritaires respectifs. John Wiley & Sons, Inc. nest associ aucun produit ou distributeur mentionn
dans cet ouvrage.
LIMITE DE RESPONSABILIT/EXCLUSION DE GARANTIE: LDITEUR ET LAUTEUR NE DONNENT
AUCUNE ASSURANCE OU GARANTIE QUANT LEXACTITUDE OU LEXHAUSTIVIT DU CONTENU
DE CET OUVRAGE ET ILS EXCLUENT FORMELLEMENT TOUTE GARANTIE, Y COMPRIS, SANS AUCUNE
LIMITE, TOUTE GARANTIE DADQUATION UN USAGE PARTICULIER. AUCUNE GARANTIE NE PEUT
TRE TENDUE OU PROLONGE PAR DES SUPPORTS COMMERCIAUX OU PROMOTIONNELS. LES
CONSEILS ET STRATGIES CONTENUS DANS LES PRSENTES PEUVENT NE PAS CONVENIR TOUTES
LES SITUATIONS. CET OUVRAGE EST VENDU TANT ENTENDU QUE LDITEUR NE SENGAGE
AUCUNE PRESTATION DE SERVICES JURIDIQUES, COMPTABLES OU AUTRES SERVICES
PROFESSIONNELS. SI UNE ASSISTANCE PROFESSIONNELLE EST REQUISE, IL EST RECOMMAND DE
RECOURIR AUX SERVICES DUN PROFESSIONNEL COMPTENT. LDITEUR ET LAUTEUR NE
POURRONT TRE TENUS RESPONSABLES DE TOUT DOMMAGE EN DCOULANT. LE FAIT QUUNE
ORGANISATION OU UN SITE INTERNET SOIT MENTIONN DANS CET OUVRAGE, DANS UNE CITATION
ET/OU COMME SOURCE POTENTIELLE DINFORMATIONS COMPLMENTAIRES, NE SIGNIFIE PAS QUE
LDITEUR OU LAUTEUR CAUTIONNE LES INFORMATIONS QUE LORGANISATION OU LE SITE
INTERNET POURRONT FOURNIR NI LES RECOMMANDATIONS QUILS FERONT. EN OUTRE, IL EST
PORT LATTENTION DES LECTEURS QUE LES SITES INTERNET CITS DANS CET OUVRAGE
PEUVENT AVOIR CHANG OU DISPARU ENTRE LA RDACTION DE CET OUVRAGE ET SA LECTURE.

Pour obtenir des informations gnrales sur nos autres produits et services ou sur la faon de crer un
livrePour les Nuls pour votre entreprise ou organisation, veuillez contacter notre service de dveloppement
commercial aux tats-Unis au 877-409-4177, ladresse info@dummies.biz ou en visitant le site
www.wiley.com/go/custompub. Pour obtenir des informations sur lobtention dune licence de la marque
Pourles Nuls pour des produits ou services, veuillez contacter BrandedRights&Licenses@Wiley.com.
ISBN 978-1-119-28408-6 (pbk); ISBN 978-1-119-28407-9 (ebk)
Imprim aux tats-Unis dAmrique
10 9 8 7 6 5 4 3 2 1

Remerciements de lditeur
Cet ouvrage a t ralis avec la participation de certaines personnes dont les suivantes:

Rdactrice charge du dveloppement: Rdacteur en chef: Rev Mengle


Becky Whitney Dlgue au dveloppement des affaires:
Rdactrice charge du projet: Karen Hattan
ElizabethKuball Marketing Dummies: Jennifer Webb
Rdactrice charge des acquisitions: Rdacteur charg de la production:
KatieMohr Siddique Shaik

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Table des matires
Introduction...................................................................1
propos de cet ouvrage...........................................................................1
Hypothses de dpart................................................................................1
Icnes employes dans cet ouvrage ......................................................2
Quelle est la voie suivre?.......................................................................2

Chapitre1: La prochaine volution des rseaux:


la monte du Software-Defined Data Center . . . . . . . . . . . . . . . 3
Lentreprise a besoin de rapidit.............................................................4
Les impratifs de scurit vont en augmentant...................................5
Les applications doivent tre mobiles...................................................6
Les architectures rseau bases sur du matriel physique
ne sont pas la hauteur du SDDC.......................................................7
Le provisionnement du rseau est lent......................................7
Le positionnement et la mobilit de la charge de travail
sont limits...................................................................................8
Les limitations et contraintes du matriel
engendrent la complexit et la rigidit..................................9
Les procdures de configuration sont manuelles,
lentes et sujettes aux erreurs ..................................................9
Les OPEX et CAPEX sont trop leves.....................................10
Les ressources du Cloud hybride ne peuvent
pas tre utilises.......................................................................11
Les rseaux ont des dfenses inadquates.............................12

Chapitre2: Le moment est venu de virtualiser le rseau. . . . . 13


Fonctionnement de la virtualisation du rseau..................................13
Virtualisation du rseau contre Software-Defined Networking.......18
Appliances virtuelles contre intgration dans lhyperviseur..........19
Pourquoi lheure est-elle venue de passer la virtualisation
du rseau?.............................................................................................19
Pour satisfaire les exigences dune entreprise
dynamique.................................................................................20
Augmentation de la flexibilit par labstraction
de matriel.................................................................................20
Augmentation de la scurit grce la
micro-segmentation du rseau..............................................21
tablissement dune plate-forme pour le SDDC.....................22
Le rseau repens.....................................................................................22

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
iv La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Chapitre3: Transformation du rseau . . . . . . . . . . . . . . . . . . . . . . 25


Fonctionnalits cls dun rseau virtualis.........................................25
Superpositions...............................................................................25
Introduction VXLAN..................................................................27
Le gain majeur...........................................................................................29
Voici VMware NSX: mise en rseau pour le SDDC............................30
Fonctionnement........................................................................................30
Architecture NSX...........................................................................30
Intgration avec linfrastructure rseau existante.................31
Mise en rseau simplifie............................................................31
Souplesse et extensibilit extrmes..........................................32
Fonctionnement: capacits cls de NSX.............................................32
Tout sous forme logicielle...........................................................33
Services essentiels disolation, de segmentation
et de scurit avance.............................................................33
Performances et dimensionnement..........................................34
Visibilit du rseau incomparable.............................................35
Avantages cls de VMware NSX.............................................................36
Avantages fonctionnels................................................................36
Avantages conomiques..............................................................37

Chapitre4: Cas dutilisation de la virtualisation du rseau. . . 39


Scurisation du Data Center...................................................................39
Limitation des mouvements latraux au sein
du Data Center..........................................................................40
Croissance du trafic est-ouest au sein du Data Center.........41
Visibilit et contexte.....................................................................41
Isolation...........................................................................................42
Segmentation.................................................................................44
Automatisation..............................................................................45
Environnements dutilisateur scuriss:
micro-segmentation pour la VDI...........................................46
Automatisation des processus informatiques....................................46
Automatisation informatique.....................................................47
Cloud des dveloppeurs..............................................................47
Infrastructure multi-locataires...................................................48
Continuit des applications....................................................................48
Reprise aprs sinistre...................................................................48
Metro-pooling.................................................................................49
Mise en rseau dans un Cloud hybride....................................49

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Table des matires v
Chapitre5: Mise en pratique de la virtualisation du rseau. . 51
Secteurs dinvestissement pour la mise en pratique........................52
Organisation et ressources humaines......................................52
Processus et outils........................................................................54
Architecture et infrastructure....................................................55
Concentrez-vous sur la question dans son ensemble......................57

Chapitre6: Environ dix faons de se lancer dans


la virtualisation du rseau. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
Appuyez-vous sur les ressources essentielles.......................59
Matrisez les bases........................................................................60
Approfondissez.............................................................................60
Chattez avec des blogueurs........................................................61
Ateliers pratiques sur NSX..........................................................61
Apprenez dployer NSX dans votre environnement.........62
Faites le tour de la plate-forme NSX......................................................62
Approfondissez les dtails techniques................................................63
Dploiement de NSX avec une infrastructure Cisco UCS
et Nexus 9000.........................................................................................64
Intgration de NSX avec votre infrastructure du rseau actuelle..65
Intgration avec vos partenaires de lcosystme
de services rseau................................................................................66

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
vi La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Introduction
L a Virtualisation du rseau pour les Nuls, votre guide vers une
meilleure approche de la mise en rseau des Data Centers.

Avant de commencer et daller au cur de la question de la vir-


tualisation du rseau, je dcris brivement quelques sujets que
jaborde dans ces pages. Toutes les conditions suivantes abondent
dans le mme sens pour justifier labandon des rseaux physiques,
qui appartiennent au pass, au profit du monde souple de la virtua-
lisation du rseau, que je dcris en dtail dans le chapitre1:

Le rseau doit tre aussi mobile et rapide que lentreprise.


La scurit rseau doit aller plus vite que les cybercriminels.
Les applications doivent pouvoir se dplacer dun Data
Center un autre.
Alors, comment y parvenir? Avant tout, il faut simmerger dans les
concepts lis cette nouvelle approche de la mise en rseau des
Data Centers. Cest lobjectif de cet ouvrage.

propos de cet ouvrage


Ne vous laissez pas induire en erreur par son format. Cet ouvrage
regorge dinformations qui peuvent vous aider comprendre et
exploiter la virtualisation du rseau. En termes clairs et simples,
jexplique ce quest la virtualisation du rseau, pourquoi ce sujet
tient la une, comment commencer et les tapes suivre pour tirer
le meilleur de votre investissement en informatique.

Hypothses de dpart
En crivant cet ouvrage, jai fait quelques hypothses vous concer-
nant. Je suppose que

Vous travaillez dans une socit informatique.


Vous connaissez bien la terminologie des rseaux.
Vous comprenez le concept de la virtualisation.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
2 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Icnes employes dans cet ouvrage


Pour trouver encore plus facilement les informations les plus
utiles, ces icnes mettent en vidence les textes cls:

Prenez note de ces points essentiels retenir.

Lisez ces passages facultatifs si vous avez besoin dune explication


plus technique.

Suivez la cible pour dcouvrir des astuces qui vous feront cono-
miser du temps et des efforts.

Quelle est la voie suivre?


Cet ouvrage est crit comme un guide de rfrence; vous pouvez
le lire du dbut la fin ou aller directement aux sujets qui vous
intressent le plus. Quel que soit votre choix, vous ne pouvez pas
vous tromper. Les deux mthodes donnent le mme rsultat: une
meilleure comprhension de la virtualisation du rseau et de la
faon dont elle peut vous aider amliorer lagilit de votre entre-
prise, la scurit des Data Centers et la mobilit des applications.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre1
La prochaine volution
des rseaux: la monte
du Software-Defined
DataCenter
Dans ce chapitre
Prsentation du Software-Defined Data Center
Arguments en faveur de la virtualisation du rseau
Exploration des dfis actuels du rseau informatique

P ourquoi faut-il sintresser la virtualisation du rseau?


Cette question peut donner lieu plusieurs rponses. En fait,
dans ce chapitre, je dcris plusieurs thmes qui mettent le doigt
sur un besoin fondamental: il est temps dabandonner le pass
cbl pour entrer dans lre du rseau virtualis. Voici pourquoi:
Pour rester concurrentielles, les entreprises ont besoin de
lagilit du Software-Defined Data Center (SDDC).
Les architectures rseau vtustes ferment la voie au SDDC.
Les anciennes architectures rseau limitent lagilit des entre-
prises, laissent passer les menaces de scurit et font grimper
les cots.

Le SDDC rcrit les rgles et la manire dont les services infor-


matiques sont dlivrs. Lapproche du SDDC transforme un Data
Center statique, inflexible et inefficace en un Data Center dyna-
mique, agile et optimis.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
4 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Dans le monde daujourdhui, la virtualisation permet lintelli-


gence de linfrastructure des Data Centers de passer du matriel au
logiciel. Tous les lments de linfrastructure informatique (calcul,
mise en rseau et stockage) sont virtualiss et regroups en pools
de ressources. Ainsi, ces ressources peuvent tre automatique-
ment dployes sans aucune implication humaine ou trs peu.
Tout est flexible, automatis et contrl par logiciel.
Avec un SDDC, on peut oublier les journes ou semaines passes
au provisionnement de linfrastructure pour prendre en charge
une nouvelle application. Il est maintenant possible dinstaller et
dexploiter une application en quelques minutes pour que la renta-
bilit soit immdiate.
Cette approche de la virtualisation est en fait un cadre indispen-
sable pour amliorer lagilit et la ractivit des services infor-
matiques, le tout un cot rduit. Cest la cl du Data Center de
demain.
Le groupe Taneja a rcemment ralis une tude (en juin 2014) inti-
tule Transforming the Datacenter with VMwares Software-Defined
Data Center vCloud Suite (Transformation du Data Center avec
la suite SDDC vCloud de VMware) et a dcouvert que les SDDC
permettent une rduction de 56% des cots dexploitation annuels
de provisionnement et de gestion. Encore mieux, les approches
de virtualisation par logiciel peuvent fortement rduire le temps
ncessaire au dploiement du rseau de production dune nou-
velle application, de trois quatre semaines quelques minutes
seulement.

Lentreprise a besoin de rapidit


Lintroduction du chapitre prsente tous les aspects positifs des
Software-Defined Data Centers. Mais il existe un pige: les archi-
tectures du rseau bases sur le matriel physique ne peuvent pas
galer la vitesse et lagilit des SDDC.
Dans les grandes entreprises, le rythme des activits est soutenu
et le rythme des volutions, de plus en plus rapide. Tout doit tre
ralis pour la veille. Et tout repose aujourdhui sur la capacit de
linformatique soutenir lentreprise. Les implications de cette
nouvelle ralit sont importantes pour le rseau.
Quand une entreprise veut impressionner ses clients avec une
nouvelle application, lancer une offre trs comptitive ou adopter
une nouvelle mthode de commercialisation, elle doit disposer
des services informatiques ncessaires sur le champ, pas dans des

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre1: La prochaine volution des rseaux 5
semaines ou des mois. Dans le monde daujourdhui, il faut se lancer
immdiatement, sinon on passe ct. Notre re est celle du rtr-
cissement incroyable de la fentre dopportunit.
Quand lentreprise se tourne vers son partenaire informatique pour
des services essentiels, la rponse quelle attend est: Cesera fait.
Nous allons les lancer et les faire fonctionner immdiatement
au lieu de: Et bien, ce nest pas possible pour linstant, parce
quavant, il faut que nous fassions blablabla sur le rseau et cela
va nous prendre au moins quelques semaines. ane suffit pas.
En entendant ce genre de rponses, les dirigeants dune entreprise
risquent de tourner le dos leur service informatique interne pour
ouvrir les bras un prestataire de Cloud public.
Les activits ne vont pas ralentir. Nous sommes dans un monde qui
ressemble un circuit automobile, o les gens essaient de changer
un jeu complet de pneus, tout en faisant le plein en seulement sept
secondes. Cela signifie que linformatique doit aller beaucoup plus
vite. Dsormais, les rseaux doivent changer la vitesse turbo dune
entreprise numrique. Cela demande de grands changements des
approches actuelles, dans lesquelles les rseaux sont physiques.

Les impratifs de scurit vont


enaugmentant
Il y a longtemps, un jeune homme nomm Bob Dylan avertissait le
monde: Tas pas besoin dun Monsieur mto pour savoir do
vient le vent. Aujourdhui, on peut dire pratiquement la mme
chose pour la scurit des rseaux. Dans les entreprises actuelles,
un vent puissant souffle dans le sens dune scurit accrue des
rseaux.
Chacun sait que nous devons faire davantage pour viter des vio-
lations coteuses qui mettent des informations sensibles entre les
mains des cybercriminels. Et aucune entreprise nest labri. Ilsuffit
de considrer quelques-unes des violations de scurit qui ont fait
la une des journaux ces dernires annes: des attaques qui ont
mis des gants industriels genoux. Du groupe pharmaceutique
la banque dinvestissement, du dtaillant la socit de divertis-
sement, toutes les entreprises sont aujourdhui prisonnires de la
mme bataille coteuse pour dfendre leur rseau.
Cest comme un grand jeu de guerre. Une entreprise fortifie son
Data Center avec un nouveau pare-feu puissant et les cybercrimi-
nels se glissent par une porte drobe que personne ne connaissait
(comme une simple vulnrabilit dans un systme client), puis

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
6 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

se dchanent dans le Data Center. La stratgie traditionnelle qui


consiste dfendre le primtre doit tre mise jour afin dintgrer
galement une plus grande protection lintrieur du Data Center.
Dans le mme temps, les cots continuent grimper, quil sagisse
du prjudice caus la rputation de la marque ou des cots rels.
Selon un rapport dtude publi en mai 2015 par linstitut rput
de Ponemon et intitul2015 Cost of Data Breach Study: Global
Analysis (tude 2015 sur le cot des violations de donnes: ana-
lyse mondiale), le cot total moyen dune violation de donnes a
atteint 3,79millions de dollars US (3,469millions deuros) en 2014
et le cot moyen payer pour chaque enregistrement perdu ou
vol contenant des informations sensibles et confidentielles a
grimp de 6% 154$ (141euros).
Il est clair que quelque chose doit changer. Les entreprises ont
besoin dune meilleure architecture pour se dfendre contre les
trolls cachs sous le pont numrique. Et ce besoin dune meilleure
architecture est un argument de poids pour transformer le rseau
par le biais de la virtualisation.

Les applications doivent tre mobiles


La monte de la virtualisation des serveurs a rendu beaucoup de
choses possibles. Faisant un grand pas en avant, les applications
ne sont plus lies un seul serveur physique dans un lieu unique.
Les applications peuvent maintenant tre rpliques sur un Data
Center distant pour permettre une reprise aprs sinistre, les dpla-
cer dun Data Center dentreprise un autre ou les glisser dans un
Cloud hybride.
Mais il y a un hic: le rseau. Cest comme un bton dans les roues,
pour emprunter lexpression de nos anciens. La configuration
rseau est lie du matriel physique, et mme sil est relative-
ment facile de dplacer les applications, les connexions cbles du
rseau les retiennent.
Les services rseau ont tendance tre trs diffrents dun Data
Center un autre, et dun Data Center interne un Cloud. Cela
signifie quun degr important de personnalisation est ncessaire
pour que les applications soient exploitables dans des environne-
ments rseau diffrents. Cest une barrire majeure la mobilit
des applications et un autre argument en faveur de la virtualisation
pour transformer le rseau.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre1: La prochaine volution des rseaux 7

Les architectures rseau bases sur


du matriel physique ne sont pas
la hauteur du SDDC
Pour le Data Center moderne, le SDDC est larchitecture la plus
agile et la plus ractive, grce au dplacement de lintelligence dans
les logiciels pour tous les lments de linfrastructure. Alors, fai-
sons le point pour savoir o en sont les choses lheure actuelle:

La plupart des Data Centers se servent actuellement de la


virtualisation des serveurs pour gagner en efficacit de calcul.
Mission accomplie!
De nombreux Data Centers optimisent aujourdhui leurs
environnements de stockage par la virtualisation. Mission
accomplie!
Peu de Data Centers ont virtualis leurs environnements du
rseau. Mission non accomplie.
Bien que les entreprises capitalisent sur la virtualisation des ser-
veurs et du stockage, elles sont confrontes linfrastructure du
rseau hrite. Celle-ci repose sur des mthodes manuelles de
provisionnement bases sur du matriel physique, qui ont cours
depuis la premire gnration de Data Centers.
Dans les sections suivantes, je vais passer en revue certains des
dfis lis aux architectures hrites.

Le provisionnement du rseau est lent


Mme si certains processus de provisionnement du rseau
peuvent tre scripts (et les rseaux logiciels promettent den faire
une ralit) pour les systmes bass sur du matriel, il nexiste
aucun lien automatique vers la virtualisation du calcul ou du stock-
age. Par consquent, il nest pas possible de provisionner auto-
matiquement des rseaux quand le calcul et le stockage associ
sont crs, dplacs, capturs, supprims ou clons. Si bien que le
provisionnement du rseau reste lent, malgr lutilisation doutils
automatiss.
Dans le mme temps, ce qui compte le plus pour les entreprises
(avoir de nouvelles applications prtes lemploi) fait lobjet de fr-
quents retards en raison des processus manuels lents et sujets aux
erreurs qui servent provisionner les services rseau.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
8 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Cette situation est plutt ironique quand on prend du recul pour


apprhender la question dans son ensemble: les limites des
rseaux hrits retiennent le monde virtuel dynamique dau-
jourdhui avec du matriel ddi inflexible. Linfrastructure de ser-
veurs et de stockage qui devraient tre rapidement reconvertie doit
attendre que le rseau la rattrape. Le provisionnement devient alors
un jeu de va-et-vient entre la prcipitation et lattente.

Le positionnement et la mobilit de
la charge de travail sont limits
Dans les environnements rapides des entreprises daujourdhui,
les applications doivent avoir des jambes. Elles doivent pouvoir se
dplacer librement dun lieu un autre. Cela signifie ventuellement
la rplication sur un Data Center distant de sauvegarde et de reprise
aprs sinistre, le dplacement dune partie du Data Center dentre-
prise vers une autre partie, ou la migration dans ou hors dun envi-
ronnement de Cloud.
Ce genre de mobilit est possible grce la virtualisation des
serveurs et du stockage. Mais il faut avoir conscience dun autre
problme: le rseau. Quand il est question de mobilit des appli-
cations, les silos actuels du rseaux cbls volent aux applications
leurs chaussures de course. Les charges de travail, mme celles
des machines virtuelles, sont rattaches un matriel et des
topologies du rseau physique. Pour compliquer les choses, les
approches en matire de services rseau varient dun Data Center
un autre; alors, pour que ses performances soient optimales dans
le Data Center B, la configuration dune application exploite dans
le Data Center A peut impliquer un certain nombre de changements
importants.
Tout ceci limite le positionnement de la charge de travail et la mobi-
lit des applications, et rend le changement non seulement difficile,
mais aussi risqu. Cest toujours plus facile, et plus sr, de laisser les
choses simplement comme elles sont.
Lapproche actuelle du rseau, qui est centre sur le matriel, limite
la mobilit des charges de travail des sous-rseaux physiques
et des zones disponibles. Pour atteindre des ressources de calcul
disponibles dans le Data Center, les oprateurs de votre rseau
peuvent tre obligs de configurer sur chaque machine la commuta-
tion, le routage, les rgles de pare-feu, etc. Ce processus est non seu-
lement lent et compliqu, mais finira certainement par se heurter
un mur, notamment avec la limite technique de 4096 VLAN par LAN.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre1: La prochaine volution des rseaux 9
Les limitations et contraintes du matriel
engendrent la complexit et la rigidit
Lapproche ferme actuelle de la mise en rseau de type bote
noire (adopte vis--vis des systmes dexploitation person-
naliss, des ASIC, des interfaces de ligne de commande et de la
gestion) complique les oprations et limite lagilit. Cette vieille
approche vous rend prisonnier non seulement de votre matriel
actuel, mais aussi de toutes les complexits de votre architec-
ture du rseau actuelle, ce qui limite la capacit de votre quipe
informatique sadapter et innover, ce qui, son tour, place des
limites identiques sur lentreprise mme, car elle ne peut pas aller
plus vite que son informatique.
Selon une tude de Dynamic Markets intitule Network Agility
Research 2014 (tude 2014 sur lagilit des rseaux), 90% des
entreprises sont dfavorises par les complexits de leurs rseaux,
avec une incidence sur le moment, le lieu et le type dapplications
et de services qui peuvent tre dploys. Voici quelques conclu-
sions assez rvlatrices de cette mme tude:
Sur une priode de 12mois, le service informatique apporte
en moyenne dix modifications au rseau dentreprise, qui
ncessitent tous une fentre de maintenance. Lattente
moyenne pour obtenir une fentre de maintenance est
chaque fois de 27jours.
Les entreprises passent 270jours par an, soit 9,6mois,
attendre que leur service informatique livre un service nou-
veau ou amlior.
Dans les plus grandes entreprises, ces besoins de change-
ment sont nettement plus importants et lattente est encore
plus longue pour les fentres de maintenance.

Les procdures de configuration sont


manuelles, lentes et sujettes aux erreurs
Au jour le jour, les rseaux physiques obligent lquipe charge
de votre rseau raliser un grand nombre de tches manuelles
et rptitives. Si un secteur dactivit ou un service demande une
nouvelle application ou un nouveau service, vous devez crer des
VLAN, les mapper sur les commutateurs et les liaisons montantes,
crer des groupes de ports, mettre jour les profils de service et
ainsi de suite. En plus, ce travail de configuration est souvent ra-
lis via des interfaces de ligne de commande difficiles utiliser.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
10 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

La pousse du Software-Defined Networking (SDN ou mise en


rseau par logiciel), que jexplique au chapitre2, a pour but de
faciliter les choses par le biais dun matriel programmable, mais il
reste quand mme un grand nombre de changements apporter.
Vous aurez, par exemple, encore besoin de construire de multiples
rseaux identiques pour assister vos quipes de dveloppement,
de test et de production. Il vous manque toujours les capacits
ncessaires pour dployer votre rseau (bas sur le matriel) paral-
llement votre infrastructure virtualise de calcul et de stockage.
Et puis, un autre problme persiste: il est facile de faire des
erreurs avec tout ce travail manuel de configuration. En fait, les
erreurs manuelles sont les principales causes de panne. Les
tudes constatent rgulirement que le plus gros pourcentage
dincidents rseau, environ 32 33,3%, est li des erreurs de
configuration humaines. (Lestimation de 33,3% provient du rap-
port de Dimension Data, intitul 2015 Network Barometer Report
(Baromtre 2015 des rseaux), tandis que celle de 32% provient
du rapport de linstitut Ponemon intitul 2013 Cost of Data Center
Outages (Cot en 2013 des pannes de Data Centers).)

Les OPEX et CAPEX sont trop leves


Les limitations des architectures rseaux hrites font grimper les
cots des Data Centers, autant au niveau des dpenses dexploita-
tion (OPEX) quau niveau des dpenses dinvestissement (CAPEX).

OPEX
Lutilisation intensive de processus manuels fait grimper le cot
des oprations du rseau. Il suffit de penser toutes les tches
manuelles forte intensit de main duvre pour configurer, provi-
sionner et grer un rseau physique. Maintenant, multipliez leffort
de ces tches par le nombre denvironnements que vous devez
prendre en charge: dveloppement, tests, pr-production et pro-
duction; rseaux de services diffrents; environnements dapplica-
tion diffrents; sites primaires et de reprise aprs sinistre, etc. Les
tches qui peuvent tre ralises en quelques minutes par des pro-
cessus automatiss, ou mme instantanment avec le dploiement
automatique des rseaux, prennent des heures, des jours voire des
semaines dans un monde manuel.
Et noublions pas les cots cachs, qui sont engendrs par les
erreurs de configuration introduites manuellement. Une erreur peut
provoquer un problme de connectivit critique ou une panne qui
impacte lentreprise. Sur le plan financier, une interruption de Data
Center non prvue peut avoir un effet norme. Dynamic Markets
dans son tude Network Agility Research 2014 (tude 2014 sur

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre1: La prochaine volution des rseaux 11
lagilit des rseaux) estimait que la dure moyenne des incidents
signals tait de 86minutes pour un cot de 7,900$ (7250) par
minute. Le cot moyen par incident tait de 690200$ (633411).

CAPEX
Du point de vue de linvestissement, les architectures du rseaux
hrites exigent de votre organisation quelle investisse dans des
solutions autonomes pour une grande partie des fonctions du
rseau et de scurit, qui sont fondamentales pour les oprations
des Data Centers. Il sagit entre autres du routage, du pare-feu et de
lquilibrage de charge. Il revient trs cher de fournir ces fonctions
partout o elles sont ncessaires.
Parlons galement du besoin problmatique de sur provisionner
le matriel pour tre certain de faire face aux pics de charges, sans
oublier le besoin de dployer des configurations actives-passives.
En fait, le matriel doit tre achet deux fois aux fins de disponibilit.
Ensuite, il y a le cot des mises niveau de grande envergure. Pour
tirer profit des toutes dernires innovations de la technologie du
rseau, les oprateurs doivent souvent dmonter et remplacer le
matriel hrit, selon un cycle de renouvellement de trois cinq ans
dans la plupart des organisations. Les architectures rseau hrites,
qui reposent sur du matriel physique, ont aussi souvent besoin
dun sur provisionnement pour faire face aux pics dutilisation. Cette
inefficacit est due lincapacit des rseaux physiques sadapter
automatiquement la demande. Et voil les cots du rseau qui
grimpent.
Les architectures rseau hrites peuvent galement engendrer
dautres inefficacits. Les dveloppeurs du rseaux doivent souvent
rserver des parties dun rseau pour un usage spcifique afin de
tenir compte des conditions particulires de scurit ou de confor-
mit. Conjointement au sur provisionnement, les inefficacits sont
amplifies, entranant des tours de serveurs noirs conserves
juste au cas o, sans aucun autre rle utile. Le rsultat ressemble
un disque dur trs mal fragment.

Les ressources du Cloud hybride ne


peuvent pas tre utilises
Les prestataires de services en Cloud computing ont prouv que les
applications et services peuvent tre provisionns sur demande.
Les entreprises, o quelles soient, aimeraient bnficier du mme
niveau de rapidit et dagilit. En gardant cette ide lesprit, les
dirigeants tourns vers lavenir envisagent de recourir des Clouds
hybrides pour toutes sortes de cas dutilisation, allant du stockage
Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
12 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

de donnes et de la reprise aprs sinistre jusquau dveloppement


et aux tests de logiciels.
Mais encore une fois, un problme li au rseau apparat. Dans leur
dsir de passer dans le Cloud, les entreprises sont gnes par le
matriel du rseau spcifique un fournisseur et par la topologie
physique. Associes aux architectures de Data Centers hrits, ces
contraintes peuvent rendre difficile la mise en uvre de Clouds
hybrides. Les Clouds hybrides dpendent dune extension parfaite
du Data Center sur site vers un Cloud public, et comment y parvenir
quand on ne contrle pas le rseau du Cloud public pour rpliquer
ses systmes du rseau physiques?

Les rseaux ont des dfenses inadquates


Une grande partie des cyberattaques clbres de ces dernires
annes ont une caractristique en commun: une fois dans le pri-
mtre du Data Center, le code malveillant se dplace dun serveur
lautre, o des donnes sensibles sont recueillies puis envoyes
aux cybercriminels. Ces cas mettent en avant une faiblesse des Data
Centers actuels: leurs contrles de scurit rseau sont trop limits
pour empcher les attaques de se rpandre dans tout le Data Center.
Les pare-feux de primtre sont plutt efficaces pour arrter un
grand nombre dattaques, mais pas toutes. Comme les rcentes
attaques lont montr, des menaces arrivent encore se faufiler
dans le Data Center au travers de points daccs lgitimes. Une fois
lintrieur, ils se rpandent comme une maladie virale mortelle.
Cest un problme qui a t difficile rsoudre en raison des ralits
qui accompagnent les architectures du rseau physiques. En termes
simples, avec des systmes du rseau hrits, il revient trop cher de
crer un pare-feu pour le trafic entre toutes les charges de travail qui
se droule lintrieur du Data Center. Avec les rseaux actuels, il
est difficile dempcher quune attaque ne se propage latralement
dun serveur un autre par le biais dun trafic est-ouest.
Rcapitulons. Jusquici, jai not que:
Pour rester concurrentielles, les entreprises ont besoin de lagi-
lit du Software-Defined Data Center.
Les architectures rseau vtustes ferment la voie au SDDC.
Les architectures rseau hrites limitent lagilit des entre-
prises, laissent passer les menaces de scurit et font grimper
les cots.

Ces thmes mettent le doigt sur un besoin fondamental unique: il


est temps dabandonner le pass cbl pour entrer dans lre du
rseau virtualis.
Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre2
Le moment est venu de
virtualiser le rseau
Dans ce chapitre
Explication des bases de la virtualisation du rseau
Mise en vidence des avantages de cette nouvelle dmarche
Principales caractristiques cls dun rseau virtualis

D ans ce chapitre, je me penche sur le concept de la virtuali-


sation du rseau: ce dont il sagit, comment elle diffre des
autres approches du rseau et pourquoi lheure est venue pour une
telle approche.

Pour mettre les choses en perspective, commenons par quelques


informations historiques sur la virtualisation du rseau, la situation
actuelle des rseaux et comment nous en sommes arrivs l.

Fonctionnement de la
virtualisation du rseau
Grce la virtualisation du rseau, il est possible de programmer,
provisionner et grer des rseaux, le tout de manire logicielle, le
rseau physique sous-jacent ntant quun simple fond de panier
pour le transfert des paquets. Les services rseau et de scurit
logiques sont distribus des hyperviseurs et joints des
machines virtuelles (VM pour Virtual Machine) individuelles selon
des politiques du rseaux et de scurit dfinies pour chaque appli-
cation connecte. Quand une VM est transfre sur un autre hte,
il en va de mme pour ses services rseau et scurit. Et quand de
nouvelles VM sont cres pour dimensionner une application, les
politiques ncessaires sont galement appliques dune manire
dynamique.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
14 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

De la mme faon quune machine virtuelle est un conteneur de


logiciels qui prsente une application des services logiques de
calcul, un rseau virtuel est un conteneur de logiciels qui prsente
des charges de travail connectes des services logiques du rseau
(commutation logique, routage logique, pare-feu logique, quilibrage
de charge logique, VPN logiques et bien plus). Ces services rseau et
scurit sont assurs par des logiciels, et le seul rle du rseau phy-
sique sous-jacent consiste raliser le racheminement des paquets
IP. Quant aux charges de travail, elles sont connectes via une repr-
sentation logicielle dun cble du rseau physique. Il est ainsi pos-
sible de crer tout le rseau sous forme logicielle (cf. figure 2-1).

Application Application Application Charge Charge Charge


de travail de travail de travail

Environnement X86 Services rseau couche 2, couche 3, couches 4-7


Machine Machine Machine Rseau Rseau Rseau
virtuelle virtuelle virtuelle virtuel virtuel virtuel

Hyperviseur de serveurs Dissoci Plate-forme de virtualisation du rseau


Configuration requise : x86 Configuration requise : Transport IP

Ordinateur physique et mmoire Rseau physique

Figure 2-1: Calcul et virtualisation du rseau.

La virtualisation du rseau coordonne les commutateurs virtuels


dans les hyperviseurs du serveur ainsi que les services rseau qui
leur sont envoys pour les VM connectes, afin de fournir effecti-
vement une plate-forme (ou un hyperviseur du rseau) pour la
cration du rseaux virtuels (cf. figure 2-2).
Lutilisation dune plate-forme de gestion du Cloud (CMP pour Cloud
Management Platform) constitue une faon possible de provisionner
des rseaux virtuels en demandant les services rseau et de scurit
virtuels pour les charges de travail correspondantes. Le contrleur
distribue alors les services ncessaires aux commutateurs virtuels
et les attache dune manire logique aux charges de travail corres-
pondantes (cf. figure 2-3).

Cette approche permet non seulement dassocier diffrents rseaux


virtuels des charges de travail diffrentes sur le mme hyperviseur,
mais aussi de tout crer, des rseaux virtuels de base composs de
seulement deux nuds jusqu des constructions trs sophistiques
correspondant des topologies complexes du rseaux segments
multiples qui servent fournir des applications multiniveaux.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre2: Le moment est venu de virtualiser le rseau 15
Pour les charges de travail connectes, un rseau virtuel a le mme
aspect et le mme fonctionnement quun rseau physique tradi-
tionnel (cf. figure 2-4). Les charges de travail voient les mmes
services rseau de couche2 et3, et4 7 quavec une configuration
physique traditionnelle. La seule diffrence, cest que les services

Rseaux virtuels

Internet

Netw
ork H
yper
viso
r

Rseau physique
existant

Figure 2-2: Lhyperviseur du rseau.

Contrleur de clusters

VM

Com
muta
teur
Hyp v
ervis irtuel
eur

VM

Services de rseau distribus


(couche 2, couche 3, listes de contrle
Com
muta daccs, pare-feu, qualit de service)
teur Rseau physique
Hyp v
ervis irtuel
eur existant

Services de rseau distribus


(couche 2, couche 3, listes de contrle
daccs, pare-feu, qualit de service)

Plate-forme de gestion du Cloud

Figure 2-3: Provisionnement du rseau virtuel.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
16 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

rseau sont maintenant des instances logiques de modules logiciels


distribus sur lhte local dans lhyperviseur et appliqus linter-
face virtuelle du commutateur virtuel.

Pour le rseau physique, un rseau virtuel a le mme aspect et le


mme fonctionnement quun rseau physique traditionnel (cf.figure
2-5). Le rseau physique voit les mmes trames rseau de la

VM

el Com
virtu muta
eau teur
v
Rs
Hyp
ervis irtuel
eur

VM

Services de rseau distribus


(couche 2, couche 3, listes de contrle
Com
muta daccs, pare-feu, qualit de service)
teur Rseau physique
Hyp v
ervis irtuel
eur existant

Services de rseau distribus


(couche 2, couche 3, listes de contrle
daccs, pare-feu, qualit de service)

Figure 2-4: Le rseau virtuel du point de vue (logique) de la charge de travail.

VM

el
virtu
Com
muta
eau Hyp teur virtu
Rs ervis
eur
el

VM

,
nt VLAN
Com
muta
e e x i s t a , p a s d e- f e u
u fi pare
hysiq mpli
teur
Hyp v
ervis irtuel
eur
s e au p es IP si gles de
R dres s ou r
da cs
p a nier le dac
de ntr
Fond te de co
lis

Figure 2-5: Le rseau virtuel, du point de vue du rseau (physique).

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre2: Le moment est venu de virtualiser le rseau 17
couche2 quavec un rseau physique traditionnel. La VM envoie
lhyperviseur source une trame rseau de couche2 qui encapsule
galement des en-ttes de protocoles IP ou UDP (user datagram pro-
tocol ou protocole de datagramme utilisateur) et du rseaux locaux
virtuels extensibles (VXLAN). Le rseau physique envoie la trame
comme une trame rseau standard de couche2 et lhyperviseur de
destination dcapsule les en-ttes, puis livre la trame originale de la
couche2 la VM de destination.

La capacit mettre en uvre et appliquer des services de scurit


au niveau de linterface virtuelle du commutateur virtuel limine
aussi le hairpinning (cf. chapitre3) dans les situations o le trafic
est-ouest entre deux VM sur le mme hyperviseur, mais dans des
sous-rseaux diffrents, doit traverser le rseau pour atteindre des
services essentiels comme le routage et le pare-feu.

Quelle est la diffrence entre un rseau


virtuel et un VLAN?
Si vous travaillez dans les rseaux, vous pas la sauvegarde, la prise dinstan-
savez tout des VLAN ou rseaux locaux tans, la suppression, le clonage ou le
virtuels. Ils existent depuis longtemps. dplacement du rseaux. Sans oublier
Alors, pourquoi les VLAN ne suffisent-ils le problme de scurit inhrent aux
pas? Examinons les diffrences entre VLAN: on ne peut pas contrler le trafic
les VLAN et les rseaux virtuels. entre deux systmes sur le mme VLAN.
Cela signifie quune attaque lance sur
Avec un VLAN, on peut dcomposer le
un systme peut sauter sur un autre
rseau local physique en de multiples
systme.
rseaux virtuels. Des groupes de ports
sont isols les uns des autres comme La virtualisation du rseau va bien au-
sils taient sur des rseaux physiques del des VLAN, elle rend possible la
diffrents. Avec un VLAN, cest comme cration du rseaux entiers de manire
dcouper un gros gteau (le rseau) logicielle (commutateurs, routage, pare-
en de nombreuses petites parts (les feu et quilibrage de charge compris).
rseaux virtuels). Considrant lavenir, Elle permet une plus grande souplesse
mesure que le rseau se dveloppe, par rapport au pass. Comme tous les
on peut finir par se trouver dans une services rseau et de scurit sont
impasse, en raison de la limite totale de grs sous forme logicielle et lis
4096 VLAN dans un seul rseau local des VM, les processus de gestion et de
physique. configuration lourds en main-duvre
peuvent tre simplifis et automatiss,
Ce ne sont pas les seuls problmes lis
et des rseaux sont crs automatique-
aux VLAN. Il existe une autre limitation
ment pour rpondre aux exigences de
importante : les VLAN ne permettent
charges de travail.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
18 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Virtualisation du rseau contre


Software-Defined Networking
La virtualisation du rseau a lair de ressembler fortement au
Software-Defined Networking (SDN), mais ces termes sont en fait trs
diffrents. Examinons ces deux concepts.

Bien que le terme Software-Defined Networking recoupe une dfinition


diffrente en fonction des individus, une chose est claire: grce au
SDN, il est possible de contrler le rseau et ses appareils physiques
au moyen de logiciels. Quand on parle de SDN, il est question de
communication entre logiciel et matriel; en dautres termes, il sagit
essentiellement dune solution de gestion du rseau de nouvelle
gnration. Bien que la gestion soit centralise et quil soit possible
de contrler les commutateurs et les routeurs du rseau avec des
logiciels, le SDN ne virtualise pas toutes les fonctions et composantes
de la mise en rseau. Autrement dit, le SDN ne permet pas une ges-
tion complte du rseau avec des logiciels. Le matriel reste la force
motrice du rseau.

Contrairement au SDN, la virtualisation du rseau spare entirement


les ressources du rseau du matriel sous-jacent. Toutes les compo-
santes et fonctions de la mise en rseau sont fidlement rpliques
sous forme logicielle. Les principes de la virtualisation sont appliqus
linfrastructure du rseau physique pour crer un pool flexible de
capacits de transport pouvant tre alloues, utilises et raffectes
la demande.

Une fois les ressources rseau spares de linfrastructure physique,


il nest pratiquement pas ncessaire de modifier le matriel sous-
jacent. Des machines virtuelles peuvent se dplacer dun domaine
logique un autre sans que personne nait reconfigurer le rseau ni
cbler les connexions dun domaine. La virtualisation du rseau est
mise en uvre dans la couche de lhyperviseur sur des serveurs x86
plutt que sur des commutateurs du rseau. Comme mentionn plus
haut, le rseau physique fonctionne comme un fond de panier pour le
racheminement des paquets, qui est contrl un niveau plus lev.

Le Software-Defined Networking permet de contrler les commu-


tateurs et routeurs du rseau avec des logiciels. Il ne virtualise pas
toutes les fonctions et composantes de la mise en rseau.

La virtualisation du rseau rplique sous forme logicielle toutes les


composantes et fonctions de la mise en rseau. Elle permet de grer
lensemble du rseau avec des logiciels.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre2: Le moment est venu de virtualiser le rseau 19

Appliances virtuelles contre


intgration dans lhyperviseur
Quen est-il des appliances virtuelles? Les fonctions de mise en
rseau peuvent bien sr tre assures via des appliances virtuelles
(des machines virtuelles prtes lemploi qui sexcutent sur un
hyperviseur). Les appliances virtuelles permettent normalement
dexcuter une seule fonction du rseau, comme un routeur, un acc-
lrateur WAN ou un pare-feu du rseau.

Mme si elles satisfont des besoins prcis, les appliances virtuelles


prsentent certains inconvnients caractristiques. Pour commen-
cer, les appliances virtuelles sexcutent sur un hyperviseur en tant
quinvits, ce qui limite les performances. Ensuite, il y a le problme
de lexpansion des appliances virtuelles. En raison des performances
restreintes des appareils, il peut tre ncessaire de dployer des
dizaines, des centaines ou mme des milliers dappliances virtuelles
pour recouvrir lintgralit du Data Center. Cest non seulement un
obstacle norme au niveau des investissements, mais aussi un cau-
chemar oprationnel.

La vritable valeur de la virtualisation du rseau apparat lors de


lintgration de toutes les fonctions de mise en rseau au sein de
lhyperviseur. Cette approche plus sophistique permet au rseau et
lventail complet de ses fonctions de suivre les machines virtuelles
quand elles se dplacent dun serveur un autre. Inutile de reconfigu-
rer des connexions du rseau parce quelles sont toutes sous forme
logicielle. En fait, le rseau peut se dplacer librement dans le Data
Center virtualis.

La dmarche de virtualisation du rseau base sur lhyperviseur pr-


sente bien dautres avantages. Je les aborde au chapitre3. Pour lins-
tant, disons juste quen matire du rseau, cette nouvelle approche
amliore grandement lagilit de votre Data Center. Cest un peu
comme le passage chez soi dun rseau cbl un rseau sans fil. Les
choses peuvent tre dplaces et tous les lments du rseau suivent.

Pourquoi lheure est-elle venue de


passer la virtualisation du rseau?
On parle de la virtualisation du rseau depuis des annes. Le moment
est venu de passer laction pour rpondre des besoins pressants
des Data Centers actuels.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
20 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Voici quelques raisons expliquant quil est temps de passer la vir-


tualisation du rseau.

Pour satisfaire les exigences dune


entreprise dynamique
En clair, le logiciel va plus vite que le matriel. Il est plus facile de
dployer des services, deffectuer des modifications et de restaurer
une version prcdente quand tout le rseau est sous forme logicielle.
Les besoins des entreprises actuelles sont en volution constante,
ce qui augmente les exigences sur le service informatique qui doit
prendre en charge ces changements. Quand lenvironnement du
rseau sexcute uniquement de manire logicielle, il est plus souple
et sadapte mieux aux changements, ce qui permet aux organisations
informatiques de mieux rpondre aux exigences des entreprises.

Augmentation de la flexibilit par


labstraction de matriel
La virtualisation du rseau fait passer lintelligence dun matriel
ddi un logiciel souple qui augmente lagilit du service de linfor-
matique et de lentreprise. Ce concept est connu sous le terme dabs-
traction. Pour lexpliquer, commenons par le monde bien tabli de la
virtualisation des serveurs.

Dans une virtualisation de serveurs, une couche dabstraction (ou


hyperviseur) reproduit les attributs du serveur physique (unit
centrale, RAM, disque dur, etc.) sous forme logicielle. Labstraction
permet dassembler ces attributs instantanment pour crer une
machine virtuelle unique.

Le fonctionnement de la virtualisation du rseau est identique. Dans


le cas de la virtualisation du rseau, lquivalent fonctionnel dun
hyperviseur du rseau reproduit des services de mise en rseau
(comme la commutation, le routage, le contrle daccs, le pare-feu, la
qualit de service et lquilibrage de charge) dans un logiciel. Tous les
lments tant sous forme logicielle, les services virtualiss peuvent
tre assembls selon nimporte quelle combinaison pour crer un
rseau virtuel unique en quelques secondes.

Ce degr dagilit est un des gros avantages du Software-Defined Data


Center et un des principaux arguments en faveur de la virtualisation
du rseau.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre2: Le moment est venu de virtualiser le rseau 21
Augmentation de la scurit grce
la micro-segmentation du rseau
Autre argument en faveur de la virtualisation du rseau, la ncessit
dune scurit plus solide. La virtualisation du rseau augmente la
scurit en servant de constituant fondateur de la micro-segmentation
(lutilisation de politiques trs prcises et dun contrle du rseau
permettant la scurit au sein du Data Center). La micro-segmentation
permet disoler chaque charge de travail avec une scurit indpen-
dante, empchant ainsi les menaces de se propager de serveur en
serveur. Jexplique ce concept plus en dtail au chapitre4.
Grce la virtualisation du rseau, les rseaux sont isols par dfaut,
ce qui veut dire que les charges de travail sur deux rseaux non asso-
cis ne peuvent absolument pas communiquer entre elles. Lisolation
est fondamentale pour la scurit du rseau, que ce soit pour des
raisons de conformit, de confinement ou simplement pour empcher
linteraction entre les environnements de dveloppement, de test et
de production. Lorsquils sont crs, les rseaux virtuels restent isols
les uns des autres sauf sil est dcid de les connecter entre eux. Pas
besoin de sous-rseau physique, de VLAN, de listes de contrle dac-
cs ni de rgles de pare-feu pour permettre cette isolation.

Les rseaux virtuels sont aussi isols du rseau physique sous-jacent.


Cette isolation empche non seulement les modifications dun rseau
virtuel den affecter un autre, mais elle protge aussi linfrastructure
physique sous-jacente contre les attaques lances partir de charges
de travail appartenant nimporte lequel de vos rseaux virtuels.
Encore une fois, pas besoin de VLAN, de listes de contrle daccs ni
de rgles de pare-feu pour obtenir cette isolation. Cest tout simple-
ment comme a que fonctionne la virtualisation du rseau.

Examinons la micro-segmentation de plus prs


Pour approfondir vos connais- Segmentation_Reg?CID=70
sances sur le concept de la 134000000NzKR&src=test
micro-segmentation, tl- &touch=1. Cet ouvrage concis,
chargez une copie (en version commandit par Vmware, permet
anglaise) de Micro-segmentation dexaminer en dtail les concepts,
For Dummies (Wiley) sur le site technologies et avantages de
http://info.vmware.com/ la micro-segmentation grce
content/33851_Micro- VMware NSX.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
22 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

tablissement dune plate-forme


pour le SDDC
Comme je lindique dans le chapitre1, le Software-Defined Data
Center est un cadre indispensable pour assurer une meilleure agilit
et des services informatiques plus ractifs, le tout un cot rduit.
Outre les piliers de la virtualisation du calcul et du stockage, la vir-
tualisation du rseau est le troisime pilier primordial du SDDC.

La virtualisation du rseau est une architecture de transformation


qui rend possible la cration du rseaux entiers et leur fonctionne-
ment en parallle sur du matriel du rseau existant. Les charges de
travail sont ainsi dployes plus rapidement, avec un gain dagilit
et de scurit face des Data Centers de plus en plus dynamiques.

Le rseau repens
Bien quelle exploite le matriel du rseau existant, la virtualisation
du rseau est une approche totalement nouvelle dans ce domaine.
Ildevient donc ncessaire de rflchir au rseau de faons nou-
velles. Par le pass, les fonctions rseau sarticulaient toutes autour
du matriel. Aujourdhui, elles disposent de toute la souplesse du
logiciel.

Un rseau virtualis devrait permettre de dupliquer sous forme logi-


cielle un rseau complet, avec ses configurations et ses fonctions.

Il devrait tre possible de crer et dexcuter votre rseau virtualis


en parallle sur votre matriel du rseau existant. Un rseau virtuel
peut tre cr, sauvegard, supprim ou restaur, de la mme faon
quavec des machines virtuelles, mais dans ce cas, il est question
dun rseau dans son intgralit.

De manire plus spcifique, un rseau virtualis devrait permettre


de:

Dissocier le rseau du matriel sous-jacent et appli-


quer les principes de virtualisation linfrastructure du
rseau.
Crer un pool flexible de capacits de transport pouvant
tre alloues, utilises et raffectes la demande.
Dployer des rseaux sous forme logicielle, qui sont
entirement isols les uns des autres, mais aussi dautres
modifications dans le Data Center.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre2: Le moment est venu de virtualiser le rseau 23
Transfrer, dplacer et rpliquer le rseau, exactement
comme avec des ressources virtualises de calcul et de
stockage.
Assurer une fonctionnalit rseau cohrente partout
dans lentreprise.
Alors, comment y parvenir? Jaborde cette partie de la question au
chapitre3, o jexplore les technologies qui se cachent derrire la
transformation du rseau.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
24 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre3
Transformation du rseau
Dans ce chapitre
Fonctionnalits cls dun rseau virtualis
Prsentation des technologies de virtualisation du rseau
Principales caractristiques cls dun rseau virtualis
Avantages fonctionnels et conomiques

D ans ce chapitre, je me penche sur les technologies ncessai-


res pour que votre environnement rseau profite des avan-
tages de la virtualisation. Je commence par prsenter les concepts
qui sous-tendent la virtualisation du rseau et je conclus par des
prcisions sur VMware NSX, une plate-forme de virtualisation du
rseau pour la gestion dhyperviseurs et de clouds multiples.

Fonctionnalits cls dun rseau


virtualis
Examinons de plus prs certaines des fonctionnalits cls dun
rseau virtualis, superpositions et flux de paquets compris.

Superpositions
La virtualisation du rseau sappuie sur les technologies de super-
position, qui se trouvent au-dessus du matriel du rseau physique
et interagissent avec la couche des hyperviseurs de serveur. On
obtient une commutation logique par lutilisation de superpositions
comme illustr la figure3-1.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
26 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

e
Sorti VM
/24
1.1.1.0 Com
mu
virtutateur
el
e
Entr e 2) Hype
ouch
rvise
ur
ue (C
r logiq
VM u tateu
Comm
Com
mu
virtutateur
el
Hype
rvise
ur

Figure 3-1: Commutation logique grce lutilisation de superpositions.

Par le biais des superpositions du rseaux, il est possible dexcuter


des rseaux entirement logiciels, extrapols de linfrastructure du
rseau physique. En fait, elles crent des tunnels au sein du rseau
du Data Center.

Flux de paquets de lexpditeur au destinataire


Comme prcis ailleurs, les rseaux virtuels utilisent le rseau
physique sous-jacent comme un simple fond de panier pour rache-
miner des paquets. Quand des machines virtuelles (VM) commu-
niquent entre elles, le paquet est encapsul avec les informations
dadresse IP de lhyperviseur de destination. Le rseau physique
livre la trame lhyperviseur de destination, qui peut supprimer
len-tte extrieure, puis le commutateur vSwitch local la livre la
machine virtuelle.

De cette manire, le rseau physique sous-jacent permet la com-


munication comme un simple fond de panier dadresses IP, pour
lequel il nest pas besoin de STP, VLAN, liste de contrle daccs ou
rgles de pare-feu. Cette dmarche simplifie fortement la gestion
de la configuration et limine les modifications du rseau physique
dcoulant du processus de provisionnement du rseau.

Technologies de superposition
Il existe diverses technologies de superposition. Une technologie
normalise de lindustrie sappelle Virtual Extensible Local Area
Network (rseau local virtuel extensible) ou VXLAN. VXLAN fournit
un cadre pour superposer des rseaux virtualiss de couche2 sur
des rseaux de couche3.

Vous avez peut-tre aussi entendu parler de NVGRE, un autre type


de superposition. NVGRE est labrviation de Network Virtualization
using Generic Routing Encapsulation (virtualisation du rseau
par lencapsulation gnrique de routage). Le protocole NVGRE
ressemble VXLAN dans ses objectifs, mais il sappuie sur des
dmarches diffrentes pour crer la superposition. Le taux dadop-

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre3: Transformation du rseau 27
tion du NVGRE est limit par rapport celui du VXLAN dont le
rythme est soutenu.

Dans un environnement VMware, la virtualisation du rseau se


base sur le VXLAN. Cette norme trs courante a t dveloppe par
VMware conjointement de grands fournisseurs du rseaux.

Introduction VXLAN
De par le soutien de lindustrie dont il jouit, VXLAN est devenu de
fait la norme pour le protocole de superposition (ou dencapsula-
tion). VXLAN est essentiel pour btir des rseaux logiques qui four-
nissent une contigut de couche2 entre les charges de travail, sans
les problmes et les inquitudes lies lvolutivit des technologies
conventionnelles de couche2.

VXLAN est une technologie de superposition qui encapsule les


trames Ethernet originales gnres par les charges de travail (vir-
tuelles ou physiques) connectes au mme segment logique de
couche2, appele couramment commutateur logique (LS).

VXLAN est une technologie dencapsulation de la couche2 sur


la couche3 (L2oL3). La trame Ethernet originale gnre par une
charge de travail est encapsule avec des en-ttes VXLAN, UDP, IP et
Ethernet externes pour veiller son bon transport travers linfras-
tructure du rseau qui connecte entre eux les points de terminaison
VXLAN (machines virtuelles).

Le dimensionnement au-del de la limitation des 4096VLAN sur les


commutateurs conventionnels a t rsolu au moyen dun identi-
fiant de 24bits, appel VNI (VXLAN Network Identifier ou identi-
ficateur du rseau VXLAN), qui est associ chaque segment de
couche2 cr dans lespace logique. Cette valeur est dtenue dans
len-tte du VXLAN et est normalement associe un sous-rseau IP,
dune manire semblable ce qui se passe traditionnellement avec
les VLAN. La communication au sein du sous-rseau IP se produit
entre les appareils connects au mme rseau virtuel (commutateur
logique).
Le hachage des en-ttes des couches2, 3et 4, prsents dans la
trame Ethernet originale, est ralis pour obtenir la valeur du port
source pour len-tte UDP externe. Ce point est important pour
assurer un quilibrage des charges du trafic VXLAN travers des
chemins de cot gal ventuellement disponibles au sein de linfras-
tructure du rseau de transport.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
28 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Les adresses IP de source et de destination utilises dans len-tte


IP externe identifient les htes de dpart et darrive de lencapsu-
lation VXLAN des trames. Cette fonctionnalit logique base sur
lhyperviseur est communment appele VTEP (VXLAN Tunnel
EndPoint ou point de terminaison des tunnels VXLAN).

Lencapsulation de la trame Ethernet originale dans un paquet UDP


augmente la taille du paquet IP. Nous recommandons daugmen-
ter la taille globale de lunit de transmission maximale (MTU)
1600octets au moins pour toutes les interfaces de linfrastructure
physique qui transporteront la trame. La MTU pour les liaisons mon-
tantes du commutateur virtuel des VTEP chargs de lencapsulation
VXLAN augmente automatiquement au moment de la prparation
du VTEP pour le VXLAN.

La figure3-2 dcrit ( un niveau lev) les tapes requises pour ta-


blir des communications de couche2 entre des VM en utilisant la
fonctionnalit de superposition VXLAN:

VM1 envoie une trame destination de la partie de VM2 du


mme segment logique de couche2 (sous-rseau IP).
Le VTEP source identifie le VTEP destinataire o la VM2 est
connecte et il encapsule la trame avant de lenvoyer au
rseau de transport.
Le seul rle du rseau de transport est de permettre la com-
munication IP entre les VTEP de source et de destination.
Le VTEP destinataire reoit la trame VXLAN, la dcapsule et
dtermine le segment de couche2 auquel elle appartient.
La trame est livre la VM2.

VDS VDS

VM1 Rseau de transport VM2


Hyperviseur (VETP) Hyperviseur (VETP)

HDR HDR
Trame de Trame de VXLAN UDP IP MAC
Trame de
couche 2 couche 2 HDR HDR externe externe couche 2

La VM envoie une trame Hyperviseur source Le rseau physique de Hyperviseur de destination Trame originale
standard de couche 2 (VETP) ajoute des transport achemine la trame (VETP) dcapsule les de couche 2 livre la VM
en-ttes VXLAN, UDP & IP comme une trame IP standard en-ttes

Figure 3-2: tablissement dune communication de couche 2 entre des


VM laide du VXLAN.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre3: Transformation du rseau 29

La virtualisation rseau en action: exemple


Voici un des nombreux exemples (pare-feu centralis), puis tre redi-
de virtualisation du rseau qui peut rig vers lenvironnement virtuel. Ce
faciliter la vie des administrateurs de processus sappelle le hairpinning. Il
votre scurit et de votre rseau. ajoute de la complexit, augmente
Sur un rseau conventionnel, la com- linstabilit et rend plus difficile le
munication peut manquer deffica- dplacement de charges de travail.
cit quand on applique des services, Par contraste, si les services rseau
par exemple de pare-feu. Le trafic sont intgrs dans lhyperviseur, le
doit tre rout hors de lenvironne- processus de hairpinning est inutile.
ment virtuel, il doit passer travers Ces concepts sont illustrs dans la
linfrastructure physique de scurit figure qui suit.
Pare-feu est-ouest/Mme hte Pare-feu est-ouest/Mme hte

Avant NSX Avec NSX Avant NSX Avec NSX

Pare-feu virtuel distribu Pare-feu virtuel distribu

Commutateur Spine Commutateur Spine Commutateur Spine Commutateur Spine

Commutateur Leaf A Commutateur Leaf B Commutateur Leaf A Commutateur Leaf B


Commutateur Leaf A Commutateur Leaf B Commutateur Leaf A Commutateur Leaf B

Serveur lame 1
Serveur lame 1 Serveur lame 2 Serveur lame 1 Serveur lame 2
Serveur lame 1
Commutateur virtuel NSX Commutateur Commutateur Commutateur
virtuel virtuel virtuel NSX

6 triers mtalliques 0 trier mtallique 6 triers mtalliques 2 triers mtalliques

Le gain majeur
La virtualisation du rseau permet aux entreprises de faire des pro-
grs substantiels en matire de rapidit, dagilit et de scurit par
lautomatisation et la simplification dun grand nombre de processus
qui contribuent au fonctionnement dun rseau de Data Center.

Voici une liste de contrle rapide de certains des principaux avan-


tages associs cette approche nouvelle en matire du rseau. La
virtualisation du rseau facilite

La rduction du temps de provisionnement du rseau, qui


passe de quelques semaines quelques minutes.
Lobtention dune efficacit oprationnelle suprieure par
lautomatisation des processus manuels.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
30 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Le positionnement et le dplacement des charges de travail,


indpendamment de la topologie physique.
Lamlioration de la scurit du rseau au sein du Data Center.

Voici VMware NSX: mise en


rseau pour le SDDC
Commenons par une dfinition simple: VMware NSX est la plate-
forme de virtualisation rseau et de scurit pour le Software-
Defined Data Center. NSX reproduit tout le modle rseau sous
forme logicielle. Ce modle de bout en bout permet de crer et de
provisionner en quelques secondes nimporte quelle topologie du
rseau, quil sagisse du rseaux simples ou du rseaux complexes
multiniveaux. Il donne accs tous les lments positifs de la virtua-
lisation rseau que je cite au chapitre2.

NSX permet la fois daugmenter lagilit de votre rseau et de


simplifier votre approche, mais aussi damliorer la scurit au sein
du Data Center. Ces gains de scurit sont assurs grce des poli-
tiques automatises trs prcises qui protgent par des contrles
des machines virtuelles individuelles ou des petits groupes de
ressources virtualises. Cette dmarche peut tre trs utile pour
bloquer des attaques qui se dplacent latralement au sein du Data
Center, sautant dune charge de travail une autre avec peu ou
pas de contrle pour en bloquer la propagation. Grce NSX, les
charges de travail peuvent tre isoles les unes des autres, comme si
chacune se trouvait sur son propre rseau.

Fonctionnement
Allons donc jeter un coup dil sous le capot de VMware NSX.

Architecture NSX
La dmarche de virtualisation rseau de NSX permet de traiter votre
rseau physique comme un pool de capacits de transport qui
peuvent tre consommes et raffectes la demande. Les rseaux
virtuels sont crs, provisionns et grs dans des logiciels, votre
rseau physique tant utilis comme un simple fond de panier pour
le racheminement des paquets.

Les services rseau virtualiss sont partags sur chaque machine


virtuelle indpendamment du matriel ou de la topologie rseau

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre3: Transformation du rseau 31
sous-jacents. Des charges de travail peuvent ainsi tre ajoutes ou
dplaces instantanment et tous les services rseau et de scurit
lis cette machine virtuelle la suivent dans tous ses dplacements
au sein du Data Center. Les applications actuelles fonctionnent sans
tre modifies. Elles ne remarquent aucune diffrence entre une
connexion du rseau virtuel et une connexion du rseau physique.

Intgration avec linfrastructure


rseau existante
NSX fonctionne avec linfrastructure de calcul et de mise en rseau,
les applications et les produits de scurit existants. Le dploiement
de NSX sur linfrastructure actuelle peut tre ralis sans perturba-
tion.

Encore mieux, NSX ne fonctionne pas sur le mode du tout ou rien. Il


nest pas ncessaire de virtualiser le rseau entier. On a la possibilit
de virtualiser des portions du rseau en ajoutant simplement des
nuds dhyperviseurs sur la plate-forme NSX.

Par le biais de passerelles, disponibles sous forme logicielle auprs


de VMware ou sous forme de matriel de commutation ToR (Top-of-
Rack) fourni par des partenaires de VMware, il est possible dinter-
connecter facilement des rseaux physiques et virtuels. Ils peuvent
par exemple servir prendre en charge laccs au rseau de charges
de travail connectes des rseaux virtuels ou connecter direc-
tement des VLAN hrits et des charges de travail bare-metal des
rseaux virtuels.

Mise en rseau simplifie


Aprs le dploiement de NSX, peu dinteraction est ncessaire avec
le rseau physique. Plus la peine de soccuper de la configuration
sur le rseau physique des VLAN, listes de contrle daccs, du
protocole STP, densembles complexes de rgles de pare-feu et de
modles de trafics hairpinning alambiqus: ils nont plus aucune uti-
lit ds que le rseau est virtualis.

Avec le dploiement du rseaux virtuels NSX, la configuration et


la conception du rseau physique peuvent tre de plus en plus
simplifies. La dpendance un fournisseur devient obsolte car le
seul rle du rseau physique est le racheminement fiable et haut
dbit des paquets. Le matriel peut donc provenir de fournisseurs et
gammes de produits varis.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
32 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Souplesse et extensibilit extrmes


NSX est extrmement souple, trs extensible et largement rpandu.
Une capacit puissante dorientation du trafic permet de chaner
ensemble dans nimporte quel ordre une combinaison quelconque
de services rseau et de scurit. Tout est dfini par les politiques
dapplication que vous configurez pour chaque charge de travail.

Ce degr lev de flexibilit sapplique non seulement aux services


NSX natifs, mais aussi une grande varit de solutions tierces com-
patibles, y compris aux instances virtuelles et physiques de pare-feu
de nouvelle gnration, aux contrleurs de mise disposition dap-
plications et aux systmes de prvention des intrusions.

Prenons du recul pour apprhender cette question dans son


ensemble. Le fait que de nombreux produits compatibles NSX soient
disponibles chez les partenaires de VMware indique le soutien de
lindustrie pour ce nouveau modle oprationnel assur par la plate-
forme NSX. On peut ainsi tre plus confiant lorsque lon commence
voluer dans le domaine du rseau virtualis. On profite dun vaste
cosystme.

Fonctionnement: capacits
clsde NSX
Examinons certaines des principales capacits techniques de
VMware NSX. Au dbut, il ne faut pas oublier que NSX virtualise
toutes les fonctions du rseau. Ainsi, les choses effectues aupa-
ravant avec du matriel physique le sont maintenant de manire
logicielle. En ce sens, NSX est comme un tapis volant qui flotte au-
dessus de lensemble de lquipement de mise en rseau dcrit dans
les parties prcdentes.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre3: Transformation du rseau 33
Tout sous forme logicielle
Caractristiques principales de VMware NSX:

Commutation logique: NSX permet de reproduire la fonction-


nalit de commutation de couches2 et 3 complte dans un
environnement virtuel, isol du matriel sous-jacent.
Passerelle NSX: cette passerelle de couche2 permet une
connexion transparente des charges de travail physiques et
des VLAN hrits.
Routage logique: le routage entre commutateurs logiques
permet un routage dynamique au sein du rseaux virtuels
diffrents.
Pare-feu logique distribu: NSX permet de crer un pare-feu
distribu, intgr dans lhyperviseur et assurant la scurit de
chaque charge de travail.
quilibreur de charge logique: NSX donne accs un quili-
breur de charges complet avec terminaison SSL.
VPN logique: NSX prend en charge sous forme logicielle les
VPN site site et ceux daccs distance.
API NSX: lAPI RESTful permet lintgration dans nimporte
quelle plate-forme de gestion de Cloud.

Services essentiels disolation, de


segmentation et de scurit avance
Chaque anne, les entreprises dpensent des milliards de dollars
pour scuriser le primtre de leurs Data Centers. Et surprise, sur-
prise, les violations se font de plus en plus nombreuses. Bien quil
sagisse dun lment fondamental de la stratgie de scurit, la
protection du primtre ne remplit pas toutes les fonctions nces-
saires. Un nouveau modle de scurit est ncessaire pour les Data
Centers. La micro-segmentation, concept que jaborde au chapitre2,
correspond ce modle.

NSX amne la scurit au cur du Data Center grce des poli-


tiques automatises trs prcises qui sont lies aux machines
virtuelles. Les politiques de scurit du rseau sont appliques
au moyen de contrles de pare-feu intgrs dans les hyperviseurs
dj distribus dans tout le Data Center. Ces politiques de scurit

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
34 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

suivent les VM dans leurs mouvements et sadaptent de manire


dynamique aux modifications apportes au Data Center.

Les rseaux virtuels peuvent fonctionner dans leur propre espace


dadressage ou dans des espaces dadressage qui se chevauchent
ou sont dupliqus, le tout sans interfrer les uns avec les autres. Par
dfaut, les rseaux virtuels sont intrinsquement isols de tous les
autres rseaux virtuels et du rseau physique sous-jacent. Chaque
rseau virtuel est une le dans la mer du Data Center. Cette approche
permet disoler les rseaux les uns des autres en matire de scurit.
Le modle de scurit du Data Center en est intrinsquement meil-
leur. Les logiciels malveillants qui se glissent au travers du pare-feu
ne peuvent plus sauter dun serveur un autre.

Bien entendu, il est inutile dabandonner vos solutions prfres


pour la scurit du rseau. NSX est une plate-forme qui permet
daccder aux solutions leader de mise en rseau et de scurit dans
le Software-Defined Data Center. Du fait dune intgration troite
avec la plate-forme NSX, des produits et solutions tiers peuvent
tre dploys selon les besoins et sadapteront dune manire dyna-
mique lvolution des conditions du Data Center.

Les capacits de virtualisation rseau de NSX assurent les trois fonc-


tions majeures de la micro-segmentation:

Isolation: aucune communication entre des rseaux sans


relation
Segmentation: communication contrle au sein dun rseau
Scurit accompagne de services avancs: rendue possible
grce une intgration troite avec les solutions de scurit
tierces

Performances et dimensionnement
Les performances et le dimensionnement de NSX sont prouvs. Les
fonctions de mise en rseau tant intgres dans lhyperviseur, NSX
dispose dune architecture volutive qui permet de dimensionner
facilement une capacit supplmentaire, tout en assurant un excel-
lent niveau de disponibilit et de fiabilit.

Voici un exemple de lextrme volutivit de NSX: dans le dploie-


ment rel de NSX, un seul cluster de contrleurs sert assurer plus
de 10000rseaux virtuels, qui prennent en charge leur tour plus
de 100000machines virtuelles.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre3: Transformation du rseau 35
Dans lenvironnement de NSX:

Le traitement ncessaire lexcution de services rseau


partags est uniquement proportionnel ce que le vSwitch
ralise dj pour les charges de travail connectes.
Le vSwitch est un module intgr au noyau de lhyperviseur,
avec tous les services rseau et de scurit de NSX.
La capacit de transport du rseau virtuel volue de manire
linaire (en mme temps que celle de la VM) chaque fois
quun nouvel hyperviseur/hte est introduit, ajoutant
20Gbit/s de capacit de commutation et de routage et
19,6Gbit/s de capacit de pare-feu.

Visibilit du rseau incomparable


Avec NSX, la visibilit au sein dun rseau atteint un tout autre
niveau. Avec les approches conventionnelles de la mise en rseau,
la configuration et ltat dacheminement sont rpartis travers un
grand nombre dappareils du rseau diffrents. Cette fragmentation
peut brouiller et compliquer le diagnostic derreurs.

En revanche, NSX fournit un seul endroit toutes les informations


de configuration et dtat pour tous les services et connexions du
rseau. Ltat de connectivit et les journaux de lensemble des com-
posantes de NSX et des lments du rseau virtuel (commutateurs
logiques, routeurs, etc.) sont facilement accessibles, tout comme le
mappage entre les topologies du rseaux virtuels et le rseau phy-
sique sous-jacent. Ainsi, on dispose dune visibilit totale du trafic
entre les VM, mme quand les VM qui communiquent entre elles
sont sur le mme hte et que le trafic du rseau ne parvient jamais
jusquau rseau physique.

Encore mieux, avec NSX, des outils de diagnostic avancs comme


TraceFlow sont disponibles. Cette fonction injecte un paquet synth-
tique dans un port de commutateur virtuel, donnant ainsi la possi-
bilit dobserver le chemin rseau alors quil traverse les systmes
rseau physiques et logiques. Les administrateurs peuvent ainsi
identifier le chemin complet que suit un paquet et dtecter tous les
points o des paquets sont perdus en cours de route (notamment
cause de politiques de pare-feu).

Ce degr de visibilit nest pas possible avec du matriel physique


conventionnel de mise en rseau, et pour tous les types de mise en
rseau physique, il nest absolument pas possible dans les situations
o deux VM communiquent entre elles sur le mme hte.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
36 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Avantages cls de VMware NSX


Nous en venons maintenant aux vritables atouts. Examinons
comment une organisation peut tirer profit des capacits de virtuali-
sation du rseau grce VMware NSX. On peut distinguer deux cat-
gories: les avantages fonctionnels et les avantages conomiques.

Avantages fonctionnels
Les avantages fonctionnels de NSX sarticulent autour de quatre
piliers du Software-Defined Data Center: vitesse, agilit, scurit et
fiabilit. Voyons comment sont assurs ces avantages.

Cration en quelques secondes du rseaux complets sous


forme logicielle
NSX vous quipe dune panoplie dlments et services logiques
de mise en rseau, notamment les commutateurs logiques, les rou-
teurs, les pare-feu, les quilibreurs de charge, les VPN et la scurit
des charges de travail. Il est possible de combiner ces composantes
pour crer en quelques secondes des topologies du rseaux virtuels
isoles.

Diminution du risque et de limpact dune violation de


donnes
Il est possible dutiliser NSX pour isoler des charges de travail, cha-
cune disposant de ses propres politiques de scurit. Cette capacit
facilite le confinement des menaces et le blocage des mouvements
de logiciels malveillants au sein du Data Center. Une meilleure scu-
rit interne peut aider viter ou rduire les cots lis ces viola-
tions de donnes.

Acclration des prestations du service informatique et


de la mise sur le march
Grce la virtualisation du rseau, le temps requis pour provision-
ner des services multiniveaux de mise en rseau et de scurit passe
de quelques semaines quelques minutes. Certaines entreprises
utilisent NSX pour donner leurs quipes dapplication des capaci-
ts compltes de provisionnement en libre-service. Encore mieux,
les capacits dautomatisation et dorchestration de NSX permettent
dviter le risque derreurs de configuration manuelles.

Simplification des flux de trafic rseau


NSX peut servir rduire la charge de trafic de serveur serveur
(trafic est-ouest) sur le cur du rseau surcharg. Dans un rseau
virtuel, les VM communiquent entre elles par lintermdiaire du

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre3: Transformation du rseau 37
vSwitch ou de la structure dagrgation. Les sauts de trafic est-ouest
en sont fortement rduits pour aider viter les piges des modles
de trafic alambiqus. Lobjectif est de faire un meilleur usage de vos
actifs actuels tout en vitant les cots associs au dveloppement
de la capacit de base en augmentant le matriel.

Augmentation de la disponibilit de service


Les Data Centers dans le Cloud ont peu dinterruptions parce que
leurs structures sont plus plates et quils disposent dun routage
de chemins multiples de cot gal entre nimporte quels points du
rseau. Les liaisons ou appareils individuels nont plus la mme
importance du fait des structures simplifies de type Leaf-Spine. Le
rseau peut supporter sans interruption les pannes simultanes de
plusieurs appareils. Grce aux capacits de virtualisation rseau de
NSX, il est possible datteindre le mme niveau lev de disponibilit
dans le Data Center.

Avantages conomiques
Les avantages conomiques de la virtualisation rseau de NSX se
traduisent par des conomies la fois sur les dpenses dexploita-
tion et dinvestissement.

Rduction du risque de violations coteuses


Historiquement, pour beaucoup dentreprises, le cot du dploie-
ment dun pare-feu pour contrler un volume croissant de trafic
est-ouest dans le Data Center est prohibitif. En outre, le nombre
mme dappareils et defforts requis pour installer et grer une
matrice complexe de rgles de pare-feu fait de cette dmarche une
impossibilit oprationnelle. Les capacits de micro-segmentation
que permet la virtualisation du rseau rendent non seulement ceci
possible, mais aussi abordable. Il est maintenant possible de rduire
le risque de violations de scurit travers les Data Centers, tout en
vitant des investissements levs pour lachat de matriel ou logi-
ciels supplmentaires.

Temps et efforts rduits


La virtualisation du rseau peut fortement rduire les efforts et le
temps ncessaires la ralisation des tches associes au rseau.
De faon gnrale, grce NSX, les efforts qui demandaient des
heures se comptent aujourdhui en minutes. Quant aux temps de
cycles, ils sont passs de quelques jours, quelques minutes. Quand
on considre toutes les tches manuelles ncessaires pour provi-
sionner et grer un rseau physique ( travers les environnements
de dveloppement, tests, pr-production et production) et le fait que

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
38 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

NSX les automatise, on commence envisager les nombreuses pos-


sibilits de rduire les cots dexploitation.

Amlioration de lutilisation des actifs de serveur


Dans les topologies conventionnelles, chaque cluster du rseaux
dispose de sa propre capacit de calcul. Ladministrateur informa-
tique sur provisionne souvent le calcul pour viter la longue reconfi-
guration du rseau sujette des erreurs qui est ncessaire pour
accder la capacit dun autre cluster. NSX offre une bien meilleure
mthode. NSX peut servir relier deux clusters du rseaux ou plus
et dployer des charges de travail vers la capacit non utilise. En
exploitant mieux la capacit existante des serveurs, il est possible
dviter lachat de nouveaux serveurs physiques.

Meilleures conomies au niveau du rapport prix/


performances
De nombreuses entreprises sappuient sur les capacits de NSX et
de la virtualisation du rseau pour remplacer leur matriel propri-
taire coteux par une infrastructure plus bas prix quelles peuvent
se procurer auprs de fournisseurs divers, selon celui qui propose le
meilleur rapport prix/performances.

Prolongement du cycle de vie du matriel


NSX permet de tirer davantage de valeur de linfrastructure du
rseau existante. Voici comment: NSX dcharge le cur du rseau
dun volume croissant de trafic est-ouest. La dure de vie du mat-
riel est ainsi prolonge sans devoir ajouter des capacits onreuses.
Grce NSX, le matriel du rseau sous-jacent devient simplement
un fond de panier pour racheminer des paquets. Au lieu de renou-
veler lquipement de mise en rseau la fin du cycle de dprcia-
tion comptable, il peut tre utilis plus longtemps. Cette dmarche
permet de ne toucher au matriel que pour ajouter de la capacit ou
pour remplacer des appareils individuels dfaillants.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre4
Cas dutilisation de la
virtualisation du rseau
Dans ce chapitre
Amlioration de la scurit des Data Centers
Automatisation des processus informatiques
Amlioration de la continuit des applications

D ans ce chapitre, je passe en revue une srie dexemples sur


la mise en pratique de la virtualisation du rseau. Comme
indiqu au chapitre3, NSX ne fonctionne pas sur le mode tout ou
rien. Il nest pas ncessaire de virtualiser lintgralit du rseau.
Ilest possible de virtualiser des portions dun rseau pour des cas
dusage cibl, puis dtendre lutilisation de la virtualisation dans
letemps.

Fait intressant: les entreprises peuvent souvent justifier le


cot de NSX par un seul cas dutilisation, tout en tablissant une
plate-forme stratgique qui automatise le service informatique et
engendre dautres cas dutilisation et projets au fil du temps.

Dans les sections qui suivent, jexamine de plus prs, certains des
cas dutilisation les plus courants, je montre comment la virtuali-
sation du rseau permet dacclrer les processus, de renforcer la
scurit et dassurer la bonne marche des applications.

Scurisation du Data Center


Comme je le mentionne ailleurs, la scurit est une proccupation
norme et toujours croissante pour les entreprises. Voici certaines
mthodes dutilisation de la virtualisation du rseau pour attnuer
les risques de violation de donnes.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
40 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Limitation des mouvements


latraux au sein du Data Center
Pour sinfiltrer dans les Data Centers des entreprises, les attaques
modernes exploitent les faiblesses inhrentes des stratgies
conventionnelles de scurit rseau bases sur la protection
du primtre. Aprs avoir russi contourner les dfenses du
primtre du Data Center, une attaque peut emprunter des voies
latrales au sein du Data Center, passant dune charge de travail
une autre, sans aucun contrle ou trs peu pour bloquer sa
propagation.

La micro-segmentation du rseau dun Data Center limite les mou-


vements latraux non autoriss, mais jusqu prsent, elle ntait
pas possible sur le plan oprationnel.

Les pare-feux conventionnels filtrant les paquets, ainsi que les


pare-feux avancs de nouvelle gnration, mettent en uvre des
contrles sous forme de goulots dtranglement physiques ou
virtuels sur le rseau. Lorsque le trafic de charges de travail dune
application passe par ces points de contrle, les paquets du rseau
sont soit bloqus soit autoriss traverser le pare-feu en fonction
des rgles qui ont t configures ce point de contrle.

Avec les pare-feux conventionnels, il existe deux obstacles opra-


tionnels la micro-segmentation: la capacit de dbit et la gestion
de la scurit.

Les limitations de la capacit de transport peuvent tre surmon-


tes, mais pas moindre cot. Il est possible dacheter des pare-
feux physiques ou virtuels pour obtenir la capacit ncessaire la
micro-segmentation, mais pour la plupart des organisations (sinon
toutes), lachat du nombre de pare-feux ncessaires pour assurer
une micro-segmentation efficace nest financirement pas rali-
sable. En fait, je parle dun pare-feu spar pour chaque machine
virtuelle. Combien de machines virtuelles votre Data Center com-
porte-t-il? Des centaines? Des milliers? Il faudrait potentiellement
des milliers de pare-feux pour un Data Center classique.

Le fardeau de la gestion de la scurit crot galement de manire


exponentielle avec le nombre de charges de travail et la nature
de plus en plus dynamique des Data Centers daujourdhui. Si les
rgles de pare-feux doivent tre ajoutes, supprimes et/ou modi-
fies manuellement chaque fois quune nouvelle VM est ajoute,
dplace ou mise hors service, le service informatique est rapide-
ment submerg par le rythme des modifications. Cet obstacle est

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre4: Cas dutilisation de la virtualisation du rseau 41
lorigine de lchec de la plupart des meilleurs plans labors
par les quipes de scurit visant raliser une micro-segmenta-
tion complte dans le Data Center ou adopter une stratgie de
confiance de moindre privilge au niveau de lunit.

Le Software-Defined Data Center (SDDC) sappuie sur une plate-


forme de virtualisation du rseau pour apporter plusieurs avan-
tages de taille par rapport aux approches conventionnelles de
scurit rseau: provisionnement automatis, automatisation des
dplacements/ajouts/modifications pour les charges de travail,
mise en application distribue sur chaque interface virtuelle et au
sein du noyau, performances volutives de pare-feu, distribu sur
chaque hyperviseur et intgr dans la plate-forme.

Croissance du trafic est-ouest


ausein du Data Center
Au cours de la dernire dcennie, les applications ont de plus en
plus t dployes sur des infrastructures de serveurs plusieurs
niveaux. lheure actuelle, les communications est-ouest de ser-
veur serveur constituent une partie nettement plus importante
du trafic du Data Center, par rapport aux communications nord-
sud de client serveur et sur Internet. En fait, le trafic au sein du
Data Center reprsente actuellement jusqu 80% de tout le trafic
rseau. Ces infrastructures dapplications multiniveaux sont nor-
malement conues sans aucun contrle de scurit, ou trs peu,
pour restreindre les communications entre les systmes.

Les pirates ont modifi leurs stratgies dattaque pour tirer parti
du changement fondamental du trafic du Data Center, mais aussi
du fait que les stratgies prdominantes de dfense bases sur le
primtre noffrent aucun contrle ou trs peu sur les communica-
tions rseau au sein du Data Center. De la mme faon, les quipes
de scurit doivent tendre leurs stratgies de dfense au sein
du Data Center (o se trouve en fait la grande majorit du trafic
rseau, sans tre protge) au lieu de se concentrer presque exclu-
sivement sur les dfenses du primtre.

Visibilit et contexte
La croissance du trafic est-ouest au sein du Data Center et la
monte de la virtualisation des serveurs sont deux tendances qui
contribuent un manque alarmant de visibilit et de contexte au
sein du Data Center.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
42 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Dans lensemble, les communications est-ouest au sein du Data


Center ne passent pas par un pare-feu et ne sont donc pas inspec-
tes. Ce trafic est, tous points de vue, invisible pour les quipes
de scurit. Quand un trafic est-ouest est forc travers un pare-
feu (par des techniques comme le hairpinning visant ramener le
trafic travers le goulot dtranglement dun pare-feu), le rsultat
obtenu est un chemin de communication complexe et inefficace,
qui affecte ngativement les performances du rseau dans tout le
Data Center.
Quand il est question de la virtualisation de serveurs, le rythme
de linnovation a largement dpass les concepts sous-jacents du
rseau et de scurit en matire de donnes conventionnelles et de
contexte dans le Data Center. Le dploiement de multiples charges
de travail virtuelles sur un seul hte physique configur avec de
multiples cartes dinterface rseau est monnaie courante dans les
environnements de serveurs virtuels. Sans commutateurs virtuels,
il est difficile didentifier le trafic qui circule entre des VM indivi-
duelles. Quand elles essayent de dterminer et de diagnostiquer
les problmes, de graves difficults peuvent apparatre pour les
quipes charges de la gestion du rseau et cela peut constituer un
terrain fertile pour un pirate.

Lhyperviseur dun rseau virtualis occupe une position privil-


gie pour voir tout le trafic au sein du Data Center, jusquau niveau
des charges de travail de VM individuelles. Ce degr de visibilit
et de contexte permet une micro-segmentation base sur des
attributs qui sont uniques chaque charge de travail, comme le
systme dexploitation, le niveau de correctif, les services en cours
dexcution et bien dautres proprits. son tour, cette capa-
cit permet la prise de dcisions plus intelligentes en matire de
politique rseau et de scurit, qui peuvent tre dfinies en com-
prenant le but particulier de chaque charge de travail individuelle
dans le Data Center. Par exemple, des politiques uniques peuvent
tre spcifiquement dfinies pour la partie Web dune application
de prise de commande ou bien pour un systme de gestion des
ressources humaines dune entreprise, daprs les besoins de la
charge de travail individuelle plutt que dtre restreintes par la
topologie sous-jacente du rseau.

Isolation
Lisolation est un principe important de la scurit du rseau, que
ce soit pour des raisons de conformit, de confinement ou sim-
plement pour sparer les environnements de dveloppement, de
test et de production. Traditionnellement, le routage, les listes de

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre4: Cas dutilisation de la virtualisation du rseau 43
contrle daccs et/ou les rgles de pare-feux configurs et grs
manuellement sur des appareils physiques servaient tablir et
forcer une isolation au sein des rseaux du Data Center.

Forrester Research donne les grandes lignes de son modle Zero


Trust (confiance zro) de scurit et disolation des informations,
selon lequel les contrles de scurit du primtre sont tendus
dans tout le Data Center. Il exige des organisations quelles pro-
tgent les ressources de donnes internes et externes et quelles
mettent en uvre des contrles daccs stricts. Zero Trust intgre
le principe du moindre privilge, un fondement de la scurit de
linformation, qui limite laccs et les permissions au minimum
requis pour raliser une fonction autorise. Enfin, le concept
Trust, But Verify (faire confiance, mais vrifier) relve trop
des annes 1980. Never Trust, Always Verify (ne jamais faire
confiance, toujours vrifier) est le nouveau modle pour un monde
sr et scuris.

De par leur conception, les rseaux virtuels sont intrinsquement


isols des autres rseaux virtuels et du rseau physique sous-
jacent. Ce concept est clairement diffrent de lapproche hrite
qui prsume un certain niveau de confiance par dfaut au sein du
Data Center. Lisolation est inhrente la virtualisation du rseau:
pas besoin de sous-rseau physique, de VLAN, de listes de contrle
daccs ni de rgles de pare-feux pour permettre cette isolation.
Les rseaux virtuels sont crs sparment et ils restent isols sauf
sils sont dlibrment et explicitement connects.

Nimporte quel rseau virtuel isol peut tre compos de charges


de travail distribues partout dans le Data Center et les charges de
travail du mme rseau virtuel peuvent rsider sur le mme hyper-
viseur ou sur deux hyperviseurs spars. De plus, les charges de
travail de plusieurs rseaux virtuels isols peuvent rsider sur le
mme hyperviseur. Lisolation entre des rseaux virtuels permet
galement un chevauchement des adresses IP. Il est ainsi possible
davoir des rseaux virtuels isols de dveloppement, de test et de
production, dots chacun dune version dapplication diffrente,
mais des mmes adresses IP et fonctionnant tous en mme temps
sur la mme infrastructure physique sous-jacente.

Enfin, les rseaux virtuels sont aussi isols de linfrastructure


physique sous-jacente. Comme le trafic entre hyperviseurs est
encapsul, les appareils physiques du rseau fonctionnent dans
un espace dadressage compltement diffrent de celui des
charges de travail connectes aux rseaux virtuels. Un rseau
virtuel peut notamment prendre en charge des charges de travail

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
44 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

dapplications IPv6 sur un rseau physique IPv4. Cette isolation


protge linfrastructure physique sous-jacente de toute attaque
ventuelle provenant de charges de travail de tout rseau virtuel.
Encore une fois, tout ceci se droule sans les VLAN, listes de
contrle daccs ou rgles de pare-feux dont on aurait traditionnel-
lement besoin pour obtenir cette isolation.

Segmentation
La segmentation est lie lisolation, mais elle sapplique plu-
sieurs niveaux dans un rseau virtuel. Traditionnellement, la
segmentation sobtient par le biais dun pare-feu ou dun routeur
physique qui permet ou refuse un trafic entre des segments ou des
niveaux du rseau, en segmentant par exemple le trafic entre un
niveau Web, un niveau application et un niveau base de donnes.
Cest un principe important de la conception de la scurit parce
quelle permet des organisations de dfinir diffrents degrs de
confiance pour diffrents segments du rseau et elle rduit la sur-
face expose aux attaques au cas o un pirate viendrait violer
les dfenses du primtre. Malheureusement, les segments rseau
dun Data Center sont souvent bien trop grands pour tre efficaces
et les processus conventionnels de dfinition et de configuration
de la segmentation sont chronophages et sujets lerreur humaine,
ce qui entrane souvent des violations de scurit.

La segmentation du rseau, tout comme lisolation, est une capa-


cit de base dune plate-forme de virtualisation du rseau. Un
rseau virtuel peut prendre en charge un environnement rseau
multi-niveaux: plusieurs segments de couche2 avec une segmenta-
tion de couche3 (ou micro-segmentation) sur un seul segment de
couche2, par le biais dun pare-feu distribu, qui est dfini par les
politiques de scurit des charges de travail. Celles-ci pourraient
reprsenter par exemple un niveau Web, un niveau application et
un niveau base de donnes.

Dans un rseau virtuel, les services rseau et de scurit


(couche2, couche3, listes de contrle daccs, pare-feu, qualit
de service, etc.), qui sont provisionns au moyen dune charge de
travail, sont crs par un programme et distribus sur le commu-
tateur virtuel de lhyperviseur, puis mis en vigueur linterface
virtuelle. Au sein dun rseau virtuel, la communication ne quitte
jamais lenvironnement virtuel, supprimant ainsi le besoin de
configurer et de maintenir une segmentation rseau dans le rseau
physique ou le pare-feu.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre4: Cas dutilisation de la virtualisation du rseau 45
Automatisation
Lautomatisation du provisionnement permet de provisionner les
politiques correctes de pare-feux quand une charge de travail est
cre par un programme et celles-ci suivent la charge de travail
dans tous ses dplacements au sein du Data Center ou entre les
Data Centers.

Tout aussi important, en cas de suppression de lapplication,


ses politiques de scurit sont automatiquement supprimes du
systme. Cette capacit limine un autre problme majeur (la
propagation incontrle des rgles de pare-feux), qui peut laisser
en place des milliers de rgles de pare-feux obsoltes, avec pour
rsultat frquent des problmes de scurit et une dgradation des
performances.

Les entreprises peuvent galement appliquer une combinaison


de capacits provenant de plusieurs partenaires en chanant
ensemble des services de scurit avancs et en mettant en
vigueur diffrents services en fonction de situations de scurit
diffrentes. Les organisations peuvent ainsi intgrer leurs techno-
logies de scurit existantes pour tablir au sein du Data Center
une capacit de scurit plus complte et cohrente. La micro-seg-
mentation permet en fait aux technologies de scurit existantes
de mieux fonctionner parce quelles ont un degr plus important
de visibilit et de contexte du trafic des charges de travail des
VM individuelles au sein du Data Center. De plus, les mesures de
scurit peuvent tre adaptes en fonction des charges de travail
des VM individuelles dans le cadre dune solution complte de
scurit.
Une charge de travail peut notamment tre provisionne avec des
politiques de pare-feu standard, qui permettent ou limitent son
accs dautres types de charges de travail. La mme politique
peut aussi dfinir que, si une vulnrabilit est dtecte dans la
charge de travail au cours du processus de dtection normal, une
politique de pare-feu plus restrictive sappliquerait pour limiter
laccs la charge de travail aux seuls outils permettant de corri-
ger les vulnrabilits.

Les fournisseurs de produits de scurit peuvent tirer parti de


la plate-forme de virtualisation du rseau pour dclencher des
rponses des services de scurit avancs partir de la solution
technologique dun tout autre fournisseur de produits de scurit,
une innovation que la virtualisation du rseau acclre.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
46 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Environnements dutilisateur scuriss:


micro-segmentation pour la VDI
De nombreuses entreprises ont dploy une infrastructure de
bureau virtuel (Virtual Desktop Infrastructure ou VDI) pour exploi-
ter les technologies de virtualisation au-del du Data Center. La
micro-segmentation permet ces organisations dlargir au bureau,
voire des environnements mobiles, la plupart des avantages de
scurit du SDDC, entre autres:
Lintgration dans la gestion de la VDI des capacits rseau et
de scurit essentielles
Llimination de jeux de politiques complexes et de topologies
pour diffrents utilisateurs de VDI
Ltablissement dun pare-feu et dun filtre de trafic et laffecta-
tion de politiques selon des groupes logiques
Ladministration simplifie en dissociant les politiques de
scurit de la topologie du rseau
Par sa capacit mettre en uvre la micro-segmentation, VMware
NSX permet en fait chaque bureau virtuel de disposer de son
propre pare-feu. On obtient ainsi un niveau de scurit beaucoup
plus fin, qui stend jusqu linterface du rseau virtuel. Il est pos-
sible de scuriser tout le trafic entrant et sortant dune VM en se
basant sur des politiques, empchant ainsi les communications
non autorises entre des VM ou dautres charges de travail. Si le
bureau virtuel dun utilisateur final est compromis, il est facile de
limiter lexposition ce seul utilisateur.

Automatisation des processus


informatiques
Dans les Data Centers de grande taille, les processus manuels
gchent lexistence des administrateurs du service informatique et
absorbent galement le budget du responsable. La virtualisation
du rseau permet de relever ces dfis en automatisant les tches
sujettes erreurs et lourdes en main-duvre qui sont associes
la configuration rseau, au provisionnement, la gestion et bien
plus.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre4: Cas dutilisation de la virtualisation du rseau 47
Automatisation informatique
Les capacits dorchestration puissantes de NSX distribuent les
services rseau paralllement aux machines virtuelles. NSX faci-
lite la standardisation et le maintien de modles prdfinis qui
sont composs de topologies et de services rseau. Grce cette
approche du modle, les environnements peuvent tre provision-
ns en quelques secondes et dots dune configuration et dune
scurit cohrentes.

Les capacits dautomatisation informatique de NSX offrent trois


avantages: rduction des dpenses dexploitation, acclration de
la mise sur le march et de la ralisation des prestations du service
informatique.

Cloud des dveloppeurs


Lutilisation de NSX est parfaite en tant que plate-forme de clouds
en libre-service pour les dveloppeurs, mais aussi pour dautres
initiatives de type infrastructure en tant que service (IaaS). Il est
possible dutiliser un provisionnement automatique du rseaux et
de services pour confrer vos quipes de dveloppement et de
test un accs rapide aux infrastructures dont elles ont besoin; par
consquent, les utilisateurs disposent plus rapidement des applica-
tions logicielles et des mises jour.

NSX peut provisionner des milliers du rseaux isols pour des envi-
ronnements de dveloppement, de test et de pr-production, le
tout sur la mme infrastructure physique. Par cette nouvelle faon
de procder, NSX limine les tches manuelles et le temps de cycle
associs lapprovisionnement, linstallation et la configuration
de linfrastructure rseau. Les rseaux sont dploys exactement
au mme rythme que leurs charges de travail, en tant que tran-
sactions en libre-service entirement vrifies. Les applications
passent rapidement par les tapes de dveloppement, de test, de
pr-production et de production sans changer dadresse IP.

Grce la virtualisation, le provisionnement dune infrastructure


rseau pour les quipes de dveloppement/test nest plus un
goulot dtranglement ralentissant lactivit et retardant la mise sur
le march.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
48 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Infrastructure multi-locataire
Dans les environnements de Cloud multi-locataires, il est possible
dutiliser les capacits de micro-segmentation et disolation de
NSX pour maintenir les locataires isols. NSX permet de crer des
rseaux virtuels et de les isoler entirement de tous les autres
rseaux virtuels et du rseau physique sous-jacent. Il est possible
que deux locataires diffrents utilisent les mmes adresses IP sur
la mme infrastructure physique sans avoir de conflit entre ces
adresses car les rseaux virtuels nont aucune connaissance les
uns des autres et ne savent pas non plus que le rseau physique
existe.

Pour une solution plus vaste, on peut ajouter des services avan-
cs, bass sur le rseau virtuel, le segment du rseau ou le groupe
de scurit. Il est par exemple possible dajouter une inspection
approfondie des paquets par le biais de pare-feu comme ceux de
Palo Alto Networks. Ce service permet de dfinir prcisment
les flux de trafic qui seront redirigs vers le pare-feu de srie VM
de Palo Alto Networks pour en faire linspection et appliquer les
politiques. Le trafic autoris par le pare-feu de srie VM est alors
renvoy vers le commutateur virtuel de NSX pour que ce dernier le
livre sa destination finale (VM invite ou appareil physique).

Continuit des applications


Assurer le bon fonctionnement des applications est une des prin-
cipales responsabilits du service informatique. La virtualisation
du rseau aide prserver la disponibilit des applications grce
sa capacit de reprise aprs sinistre, de metro-pooling et de
Cloudhybride.

Reprise aprs sinistre


NSX peut venir complter les solutions existantes de reprise aprs
sinistre, afin dacclrer la reprise et de limiter le temps dinter-
ruption. Dans ce cas dutilisation, NSX rplique le rseau dans son
intgralit, ainsi que son environnement de scurit. Il est possible
de prendre ponctuellement des instantans de la construction du
rseau, ainsi que de ses applications et services, et den conserver
une copie sur un site de reprise aprs sinistre.

Il nest pas ncessaire de changer les adresses IP puisque le rseau


virtuel est dissoci du matriel et de la topologie sous-jacents,
ce qui simplifie encore plus le processus. Le site de reprise aprs

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre4: Cas dutilisation de la virtualisation du rseau 49
sinistre est identique au site primaire, sans compromis au niveau
de la fonctionnalit ou des performances. La copie se trouve sur
le site de reprise aprs sinistre, en mode de veille, prte tre acti-
ve durgence en cas de sinistre. Toute modification sur le rseau
source est automatiquement rplique sur la copie du site de
reprise aprs sinistre.

Metro-pooling
La virtualisation du rseau permet de rassembler des ressources
de calcul provenant de lieux physiques diffrents, mais proximit
immdiate (zone locale ou metro). Diverses ressources peuvent
alors tre traites comme un jeu unifi de ressources de calcul.
Des applications peuvent tre dployes sur un lieu quelconque,
tout en se connectant dune manire transparente aux ressources
situes sur des sites multiples. Ce cas dutilisation de NSX est fr-
quent pour les dploiements en multi-site.

Mise en rseau dans un


Cloudhybride
NSX est un bon choix pour les environnements de Cloud hybride
qui tendent le rseau sur place vers un Cloud public. NSX permet
un accs scuris la demande aux ressources informatiques,
accompagn de la souplesse de dplacement des charges de tra-
vail sur site ou hors site pour rpondre des besoins particuliers.

Encore mieux, NSX est conu pour fonctionner avec nimporte


quelle plate-forme de gestion du Cloud. Un support standard est
disponible pour de nombreuses plates-formes et lAPI NSX permet
lintgration avec dautres plates-formes de gestion. Il est ainsi
facile de se doter de la scurit ncessaire sur son Cloud priv,
tout en disposant de lvolutivit et de la porte dun Cloud public.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
50 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre5
Mise en pratique de la
virtualisation du rseau
Dans ce chapitre
Prsentation du concept de mise en pratique
Examen des secteurs dinvestissement pour la mise en pratique
Traitement de questions lies la dotation en personnel et aux emplois

L a mise en pratique de NSX demande loptimisation des res-


sources humaines, des processus et technologies pour faire
usage de la virtualisation du rseau et des capacits de scurit
quelle rend possibles.
Votre entreprise doit russir mettre NSX en pratique pour que se
ralise la promesse de virtualisation du rseau et celle des avantages
primordiaux que sont la vitesse, lagilit et la scurit. La faon dont
NSX est mis en pratique dterminera quelle vitesse vous profiterez
de ses avantages sur le plan informatique et commercial.

La mise en pratique de la virtualisation du rseau devrait tre consi-


dre comme un parcours culturel et technique progressif, au cours
duquel lorganisation atteint un niveau croissant de maturit et de
sophistication mesure quelle passe dun Data Center bas sur le
matriel un Software-Defined Data Center. Cest un parcours qui
fera apparatre des hros et avancer des carrires, tout comme ce
fut le cas il y a dix ans avec la virtualisation du calcul.

Ce chapitre ne cherche pas fournir toutes les rponses la mise


en pratique de NSX, ce qui constituerait un livre en soi, mais plutt
prsenter le sujet en soulignant certains des lments cls prendre
en compte sur le chemin de la virtualisation du rseau.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
52 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Au moment demprunter la voie NSX, dfinissez clairement votre


vision long terme dun SDDC entirement optimis. Envisagez les
besoins dvolution des ressources humaines, des processus et des
technologies pour y parvenir.

Secteurs dinvestissement pour


lamise en pratique
Sur le parcours vers la virtualisation du rseau, six secteurs dinves-
tissement cls doivent tre pris en compte. Ces investissements
permettent dobtenir une valeur commerciale maximale pour lorga-
nisation et une valeur maximale pour la carrire du personnel infor-
matique.

Je recommande une approche inclusive qui englobe les concepts


suivants:

Structure de lorganisation
Rles et responsabilits
Processus
Outils
Architecture
Infrastructure

Organisation et ressources
humaines
Lexploitation dun SDDC a une incidence sur presque toute lorgani-
sation du service informatique. Les oprations recouvrent le calcul,
la mise en rseau, le stockage, la scurit et le personnel, y com-
pris les oprateurs, administrateurs, ingnieurs et architectes. Au
moment de mettre NSX en pratique, tous les acteurs utiles doivent
tre inclus dans le processus et il est essentiel de faire preuve de
transparence.

Voici quelques-unes des meilleures pratiques concernant lorganisa-


tion du service informatique et de ses ressources humaines:

Vos quipes actuelles, qui grent le rseau et la scurit,


adoptent NSX. Pas besoin de changer vos quipes ou den
crer de nouvelles. Les rles fonctionnels restent aussi les
mmes (architectes, ingnieurs, oprateurs, administrateurs,

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre5: Mise en pratique de la virtualisation du rseau 53
etc.) Les rles et responsabilits actuels voluent pour inclure
la virtualisation du rseau.
Rflchissez la faon dont vous pouvez crer une quipe
de gestion du Cloud plus homogne grce des comptences
diversifies en termes de domaines et de disciplines, des
objectifs et des principes de fonctionnement communs, des
programmes de formation et de dveloppement au sein de
lquipe et ladquation autour de la prestation de services
pour lentreprise.
Rflchissez aux rles lis la mise en rseau et la scu-
rit pour votre rseau dans le Cloud: architecture, scurit,
orchestration et automatisation, dveloppement et intgration,
administration, exploitation et enfin, assistance et escalade.
Obtenez le soutien de lquipe. Assurez-vous que tous les
membres de lquipe comprennent la proposition de valeur et
ce quelle signifie pour eux personnellement et professionnel-
lement mesure que de nouvelles occasions se profilent de
travailler sur des projets plus intressants et stratgiques.
Rassurez le personnel charg de la mise en rseau concer-
nant la scurit de leur emploi. Indiquez clairement au per-
sonnel charg de la mise en rseau que lautomatisation ne
leur retirera pas leur travail et que leurs emplois niront pas
lquipe charge de la virtualisation. Cest votre personnel
de mise en rseau actuel qui soccupe de la virtualisation du
rseau. Eux seuls dtiennent lexpertise requise.
Ds le dbut, impliquez le personnel charg de lexploitation
du Cloud pour quil participe au processus dvaluation. Ils
pourront alors apprendre comment NSX peut simplifier leur
travail; ils dfendront alors le projet. Ne leur annoncez pas
juste avant le dploiement voulu.
Ds le dbut, impliquez le personnel de scurit dans le
processus dvaluation. Lquipe de scurit doit apprendre
comment des rseaux virtuels isols sont aussi scuriss que
des rseaux physiques. Elle doit savoir que la micro-segmenta-
tion ne remplace pas les pare-feux de primtre actuels pour le
trafic nord-sud, mais plutt quelle permet votre organisation
de contrler le trafic est-ouest au sein du Data Center.
Tirez profit des ressources VMware axes sur lexploitation (guides
techniques, ateliers, formation et certifications) pour atteindre le
niveau dexpertise, de comptences et de connaissances indispen-
sable pour la virtualisation du rseau et le SDDC.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
54 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Processus et outils
Les processus autrefois manuels peuvent tre automatiss, ce qui
constitue un avantage majeur de la virtualisation du rseau. Ceci
demande toutefois un investissement initial dans les outils appro-
pris. Il est possible dautomatiser certaines tches directement au
sein de NSX Manager, tandis que dautres fonctions dautomatisation
seront fournies par dautres outils, comme une plate-forme de gestion
du Cloud.

NSX offre un point de contrle central (NSX Manager) pour la


cration, la gestion et le suivi des rseaux virtuels. Le fonctionne-
ment dun environnement NSX se concentrera bien entendu sur
NSX Manager, soit par son interface utilisateur, soit par des appels
dAPI transmis NSX Manager par dautres outils (tels que VMware
vRealize Automation, VMware vRealize Operations, OpenStack et
autres outils tiers).

Par ailleurs, il faudra grer linfrastructure sous-jacente qui comprend


la fois des composantes de NSX (contrleurs, nuds de priph-
rique, hyperviseurs) et linfrastructure rseau (la sous-couche). NSX
met disposition sa propre gestion de ces lments, et des outils
tiers peuvent aussi jouer un rle central pour grer linfrastructure.

Quand vous mettez NSX en pratique, prenez du recul pour envisager


lventail complet des implications pour vos processus et vos outils.
Gardez plus particulirement lesprit ces pratiques dexcellence:

Analysez les processus rseau et de scurit dont vous dis-


posez actuellement pour bien les comprendre dans le dtail.
Dterminez comment vous servir de lorchestration et de lau-
tomatisation pour simplifier et rationnaliser vos processus.
Envisagez limpact que la virtualisation du rseau a sur des
activits comme le suivi, le diagnostic, la gestion des change-
ments, des versions et de la capacit. Comprenez le fonction-
nement actuel de ces activits fondamentales et la faon dont
elles peuvent tre simplifies.
Dterminez vos priorits concernant lautomatisation
des processus de mise en rseau et la standardisation des
environnements (configuration et politiques entre autres)
afin de rduire les efforts et dpenses oprationnels.
Lautomatisation et le provisionnement du rseaux et services
bass sur les politiques liminent les erreurs courantes de
configuration et amliorent le suivi des changements des fins
daudit et de conformit.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre5: Mise en pratique de la virtualisation du rseau 55
Dterminez si vous devriez utiliser vos outils actuels de
gestion et dexploitation ou si vous devriez en valuer des
alternatives plus modernes. Ces alternatives modernes
offrent une vue de bout-en-bout de lintgrit des applications
au niveau du calcul, du stockage et de la mise en rseau.
Gagnez en visibilit dans les relations entre objets, entre les
composantes virtuelles et physiques.
Identifiez les outils VMware et tiers permettant la gestion
des composantes virtuelles et physiques. valuez comment
exploiter les capacits propres NSX et les API pour raliser
une intgration approfondie avec des outils existants, comme
des plates-formes de gestion du Cloud et des outils dorches-
tration et dautomatisation.
Utilisez vos outils existants pour exploiter des rseaux vir-
tuels. Les rseaux virtuels donnent toutes les informations
oprationnelles que lon attend des rseaux physiques (comp-
teurs de paquets et doctets, exportation NetFlow, etc.). De
nombreux outils actuels peuvent exploiter les informations
fournies par NSX pour effectuer des tches oprationnelles.
Utilisez vos outils prfrs actuels pour faire le suivi et
le diagnostic. On ne peut pas toujours obtenir la meilleure
visibilit en adoptant lapproche du fournisseur unique. Vous
trouverez peut-tre que lutilisation doutils multiples (comme
vRealize Operations, Splunk, Wireshark, collecteurs NetFlow)
vous permet de mieux suivre et diagnostiquer votre infras-
tructure rseau.

Architecture et infrastructure
La virtualisation du rseau NSX dissocie les services rseau de
linfrastructure physique sous-jacente. Il devient alors possible de
concevoir linfrastructure physique sous-jacente en mettant laccent
sur lefficacit oprationnelle plutt que sur la prise en charge de
fonctionnalits ou services particuliers. La stabilit du rseau phy-
sique peut tre lobjectif de la conception et les changements de
configuration deviennent alors rares.

Dun point de vue oprationnel, cela veut dire que le dploiement


de capacits de mise en rseau (de pare-feu par exemple) peut tre
dissoci de celui de linfrastructure physique. Ceci ouvre la voie au
dploiement progressif de nouvelles capacits une application la
fois. Cela veut aussi dire que les mises niveau du matriel (tel que
le dploiement de nouveaux commutateurs rseau) peuvent tre dis-
socies du dploiement de NSX.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
56 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Grce NSX, une plate-forme de virtualisation unifie injecte simpli-


cit et cohrence travers vos oprations. Elle fournit un point de
contrle centralis pour la mise en rseau, les fonctions de scurit
et la mise en uvre distribue des politiques. Lautomatisation mini-
mise les changements manuels du rseau physique, tandis que les
politiques de scurit sont appliques dune manire plus efficace et
prcise.

La mise en pratique de NSX offre un autre avantage majeur: elle


libre vos charges de travail des contraintes des VLAN et de ladres-
sage IP. Ceci a une incidence directe sur les oprations. Le provision-
nement et laccs aux applications sont plus rapides, lutilisation des
ressources plus efficace, les cots oprationnels moins levs et les
quipes charges de la gestion des applications plus satisfaites.

Voici quelques-unes des tapes cls pour progresser dans la mise en


pratique de NSX:

Dployez progressivement la virtualisation rseau et la scu-


rit. On peut commencer petit, avec un seul cas dutilisation et
un seul jeu dapplications. Identifiez les charges de travail qui
ont le meilleur rapport risque/rcompense pour exploiter de
nouvelles capacits.
Minimisez le dmontage et le remplacement coteux des
rseaux physiques. Avec NSX, la r-architecture du rseau
physique nest pas ncessaire, mais elle facilite les modifica-
tions darchitecture du rseau. NSX libre les concepteurs
du rseau pour quils utilisent des architectures de type Leaf-
Spine, car il extrapole la topologie du rseau virtuel (telle
quelle est vue par les VM) partir de la topologie physique.
Crez une seule vue au niveau des applications pour le suivi
et le diagnostic de linfrastructure physique et virtuelle.
Parce que le commutateur NSX voit chaque paquet son
entre et sa sortie dune VM, la plate-forme NSX offre le degr
de visibilit le plus lev sur le comportement du trafic rseau.
tablissez une cadence rgulire pour dvelopper et lancer
de nouvelles fonctionnalits de mise en rseau et de scurit
dans le Cloud. Cest une pratique qui encourage la participa-
tion active et les retours dinformation des quipes de gestion
dapplications et dinfrastructures de type Cloud.
Crez un point de contrle centralis pour la gestion et le
suivi des rseaux virtuels et de la scurit. La combinaison
dun contrle centralis et dune mise en uvre distribue
des services signifie quil est possible de mettre en pratique
des politiques prcises. Par exemple, les VM situes au mme

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Chapitre5: Mise en pratique de la virtualisation du rseau 57
niveau quune application trois niveaux peuvent communi-
quer avec dautres niveaux, mais pas entre elles.
tablissez des politiques de scurit bases sur des concepts
de niveau lev (nom du systme dexploitation, utilisateur,
groupe, etc.) plutt que dun niveau bas (adresse IP par
exemple). Lapplication de la politique de scurit peut tre
plus efficace, mais aussi dune plus grande prcision et correc-
tion.
Dployez NSX sur les hyperviseurs connects une infras-
tructure du rseau physique existante et prenez en charge
les structures et topologies de nouvelle gnration de nim-
porte quel fournisseur.

Concentrez-vous sur la question


dans son ensemble
Comme toute initiative informatique majeure, la virtualisation du
rseau change beaucoup de choses dans le Data Center. Mais votre
scurit demploi, elle, ne change pas. Les professionnels de la mise
en rseau jouent un rle essentiel dans la russite dun environne-
ment du rseau virtualis. Il nest pas possible dy parvenir sans eux.

Quand on prend part une initiative de virtualisation du rseau, on


a loccasion de participer et de contribuer la transformation de la
mise en rseau et de la scurit de son entreprise. Vous en tirerez des
bnfices, tout comme lont fait ceux qui se sont fait les dfenseurs
de la virtualisation du calcul sur laquelle ils ont bti leur carrire.
Saisissez cette importante occasion de leadership.

Vous vous librez mesure que votre infrastructure se virtualise et


sautomatise, afin de travailler sur des initiatives plus intressantes et
stratgiques. Ainsi, au lieu du travail banal de configuration dun rou-
teur ou de mise jour de rgles de pare-feux, vous pouvez travailler
la conception dun rseau de type Leaf-Spine, lautomatisation des
flux de travail de mise en rseau et de scurit, ou encore peut-tre
la construction dun Cloud pour les dveloppeurs.

Nous sommes maintenant lge dor de la mise en rseau. La par-


ticipation une initiative de virtualisation du rseau vous enrichira
sur le plan professionnel, elle vous prparera lavenir et augmentera
votre valeur sur le march de lemploi, tout comme ce fut le cas il y
a dix ans avec la virtualisation des serveurs pour leurs administra-
teurs.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
58 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

La virtualisation rseau fait avancer votre carrire, elle vous permet


de consacrer plus de temps larchitecture rseau, la conception et
lingnierie de trafic.

Lautomatisation ne mettra pas fin votre emploi si vous


mettez en uvre la virtualisation du rseau. En fait, votre
emploi sera transform et vous permettra de travailler sur
des projets plus intressants et stratgiques.
Lquipe de virtualisation naura pas votre emploi. NSX
sappuie sur les mmes concepts et technologies de mise en
rseau que les rseaux physiques; un degr dexpertise est
donc essentiel en matire de mise en rseau et de scurit.
La virtualisation ne rendra pas votre travail plus difficile.
Associe lautomatisation et une sous-couche physique
simplifie, la superposition virtuelle simplifie le provisionne-
ment et la gestion du rseau.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Chapitre6
Environ dix faons
de selancer dans la
virtualisation du rseau
Dans ce chapitre
Mise en vidence de ressources dbordant dinformations prcieuses
Tests dans les ateliers pratiques numro un
Examen de la faon de dployer NSX dans son environnement

D ans ce chapitre, je vous confie (environ) dix choses que vous


avez toujours voulu savoir pour vous lancer dans la virtuali-
sation du rseau, sans avoir jamais os les demander. Je passe en
revue un ventail de ressources sur ce thme, je souligne les occa-
sions de dployer la plate-forme VMware NSX avec une infrastruc-
ture Cisco et jexplique comment NSX est conu pour sintgrer
votre infrastructure actuelle et des solutions tierces de services
rseau, comme les dispositifs dquilibrage de charges et les pare-
feux de nouvelle gnration.

Appuyez-vous sur les ressources


essentielles
Je commence par examiner certaines des ressources disponibles
pour vous aider mieux comprendre la virtualisation du rseau, les
composantes dun rseau virtualis et les outils votre disposition
pour vous lancer.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
60 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Matrisez les bases


VMware propose une large gamme de ressources pour vous aider
vous former aux bases de la virtualisation du rseau:

La page produit de VMware NSX (www.vmware.com/


fr/products/nsx/): la page produit de NSX rsume les
caractristiques, fonctions et avantages de base de la plate-
forme NSX. Elle sert aussi de portail en proposant des liens
vers une large gamme de ressources approfondies, dont des
informations techniques et un contenu ax spcifiquement
sur les entreprises.
Vido de prsentation de VMware NSX (www.youtube.com/
watch?v=5V3-83GKMfs): ce clip vido de quatre minutes
explique rapidement comment VMware NSX sert de fonda-
tion une plate-forme de virtualisation du rseau qui fournit
au rseau le modle oprationnel dune machine virtuelle.
Rencontrez Raj, le narrateur du clip, qui travaille dans une
entreprise o linnovation ne vient jamais assez vite.
#VirtualizeYourNetwork (http://virtualizeyournetwork.
com): #VirtualizeYourNetwork est une ressource en ligne
pour les personnes, quipes et organisations qui sont en
train dadopter la virtualisation du rseau dans le but de
transformer lexploitation et lconomie du Data Center. Par
lintermdiaire de ce site, vous pouvez explorer la faon dont
la mise en rseau et les Data Centers voluent, dialoguer avec
des leaders dopinion et des pairs, et obtenir des informations
qui pourraient vous tre utiles pour faire progresser votre
carrire.

Approfondissez
Vous trouverez des livres blancs traitant des dbats axs sur les
entreprises, des synthses techniques et des avis des analystes de
lindustrie. Vous pouvez aussi approfondir la question laide dun
guide dtaill sur lutilisation de la micro-segmentation pour lla-
boration dun Data Center plus sr. Cette liste numre une ou deux
ressources disponibles en un clic ou deux:

Livre blanc sur la plate-forme de virtualisation rseau


VMware NSX (www.vmware.com/files/pdf/products/
nsx/VMware-NSX-Rseau-Virtuels-Plate-forme-WP.
pdf): ce livre blanc technique de 12pages examine les fon-
ctionnalits, caractristiques, capacits et avantages de la
plate-forme VMware NSX. Vous comprendrez mieux pourquoi

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Capitolo 6: Environ dix faons de se lancer dans la virtualisation du rseau 61
un nombre croissant dorganisations technophiles ont choisi
NSX comme plate-forme pour la virtualisation de leur rseau.
Micro-segmentation For Dummies (http://info.vmware.
com/content/33851_Micro-Segmentation_Reg?CID=
70134000000NzKR&src=test&touch=1): ce livre vivant,
disponible en ligne, offre une tude rapproche de la micro-
segmentation, notamment des bases de son fonctionnement,
des technologies qui la rendent possible et des vastes avan-
tages de scurit quelle prsente. Dcouvrez comment dve-
lopper un Data Center intrinsquement scuris qui facilite la
prvention de la propagation latrale des attaques au sein de
votre Data Center.

Chattez avec des blogueurs


Dans ces blogs aux thmes varis, les spcialistes de la virtualisation
du rseau de VMware partagent leurs connaissances et leurs exp-
riences de premire main. Pour tout savoir, adressez-vous directe-
ment aux personnes qui sont passionnes par la virtualisation du
rseau:

Blog de la virtualisation du rseau (http://blogs.vmware.


com/networkvirtualization): consultez ce blog pour y
trouver les toutes dernires actualits et informations tech-
niques sur la virtualisation du rseau. Cette source cl de
lindustrie fournit des actualits fiables et des informations
factuelles sur la virtualisation du rseau.
Weblog de Scott Lowe (http://blog.scottlowe.org): via
ce Weblog, mais aussi ses livres, sries de vidos de forma-
tion et prsentations, le professionnel de linformatique Scott
Lowe partage ses connaissances en matire de virtualisation,
de mise en rseau, de solutions open source et de Cloud
Computing. Cest un excellent endroit pour trouver des infor-
mations, des explications et des connaissances techniques
sur les technologies lies la virtualisation du rseau.

Ateliers pratiques sur NSX


Pour mieux comprendre une plate-forme comme VMware NSX, il est
toujours utile de prendre la place du conducteur et de faire un tour
pour lessayer. Cest le but recherch des ateliers pratiques numro
un de VMware (www.vmware.com/go/try-nsx-en).

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
62 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Les ateliers pratiques de VMware fournissent un environnement


de bureau en direct, entirement oprationnel pour que vous puis-
siez valuer les produits VMware sans avoir besoin de configurer
quoi que ce soit. Comme vous tes guid clic par clic et que tous
les produits sont prinstalls, vous pouvez vous concentrer sur les
fonctionnalits du produit les plus intressantes vos yeux. Cest un
excellent moyen de vous familiariser avec les capacits de VMware
NSX sans installer de logiciel sur votre systme.

Apprenez dployer NSX dans


votre environnement
Quand vous tes prt explorer les options pour votre dploiement,
vous pouvez commencer par vous instruire sur la virtualisation du
rseau et NSX partir de ressources sur demande. VMware propose
diverses faons de dcouvrir les avantages de la virtualisation du
rseau et de NSX, des formations en ligne et webinaires en direct aux
formations sur demande adaptes au rythme de chacun.

Suivre un cours sur VMware


Commencez en apprenant les bases de la virtualisation du
rseau etles dfis des entreprises que NSX peut aider relever.
Ensuite, vous pouvez suivre une formation sur demande votre
propre rythme qui vous donne un aperu de linstallation, de la
configuration et de la gestion de NSX. Consultez simplement
http://mylearn.vmware.com/portals/www/search/
results.cfm?ui=www_edu&pID=www&menu=search-resul
ts&searchtype=simple&orderBy=relevance&category=
catalog&keyword=NSX&Search=Search&deliveryType=2
&filters=deliveryType.

Faites le tour de la plate-forme NSX


Si vous tes dun type plus aventureux, vous pouvez continuer votre
dcouverte de la virtualisation du rseau en suivant le Guide produit
de NSX (https://featurewalkthrough.vmware.com), une srie de
vidos de prsentation technique sur les capacits de NSX.

Le Guide produit de NSX commence par un aperu des fonctionna-


lits de base de la plate-forme NSX et va jusquaux intgrations avec
des produits de VMware et de partenaires. Voici une liste des pr-
sentations disponibles:

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Capitolo 6: Environ dix faons de se lancer dans la virtualisation du rseau 63
Prsentation de VMware NSX: passez en revue les princi-
pales caractristiques et capacits de NSX, notamment NSX
Manager, les services de passerelle, les pare-feux, le suivi et
le diagnostic, ainsi que lintgration avec une plate-forme de
gestion du Cloud.
VMware NSX pour vSphere: dcouvrez comment utiliser les
caractristiques de VMware NSX, dont VXLAN, la virtualisa-
tion du rseau et les services de pontage de VXLAN VLAN.
Scurit et conformit: examinez les dfis de scurit lis
ladoption dun Software-Defined Data Center, comment ajou-
ter un pare-feu distribu grce la virtualisation du rseau de
VMware NSX et les avantages de Service Composer de NSX.
Intgration avec les partenaires de NSX: dcouvrez lexten-
sibilit de VMware NSX et son intgration avec des passerel-
les et des fonctionnalits de scurit tierces.
Intgration avec les composantes VMware: apprenez les
avantages quapportent lintgration de NSX avec dautres
composantes VMware.

Approfondissez les dtails techniques


Pour entamer votre exploration technique, jetez un coup dil au
guide de conception NSX ainsi quau guide de dmarrage, ils sont
tous deux dcrits dans cette partie:

Guide de conception de la virtualisation rseau VMware


NSX pour vSphere (version anglaise) (https://commu-
nities.vmware.com/docs/DOC-27683): pour vritable-
ment approfondir la question technique, tlchargez le guide
de conception. Ce document sadresse aux architectes de
virtualisation et du rseau qui sintressent au dploiement
de la solution de virtualisation rseau VMware NSX dans un
environnement vSphere. Ce guide comprend des informations
dtailles sur:
les composantes fonctionnelles de NSX-v;
les services fonctionnels;
les considrations de conception.
Guide de dmarrage de NSX pour vSphere (version
anglaise) (https://communities.vmware.com/docs/
DOC-27705): cette ressource fournit des exemples pas pas
qui montrent comment configurer des services rseau dans
NSX pour vSphere, notamment:

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
64 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

des commutateurs logiques;


des routeurs logiques distribus;
des pare-feux distribus;
des routeurs logiques centraliss (priphrie) avec
routage dynamique et la traduction dadresses
rseau (NAT) selon une relation plusieurs--un;
des quilibreurs logiques de charges (priphrie).

Dploiement de NSX avec une


infrastructure Cisco UCS et
Nexus9000
mesure de ladoption de NSX, VMware a entendu de nombreuses
socits informatiques dire quelles voulaient excuter NSX sur la
toute dernire infrastructure Cisco et spcifiquement, les serveurs
lames Cisco UCS et les commutateurs Cisco de la gamme Nexus
9000. Avec une telle combinaison, le matriel sous-jacent passe des
logiciels plus rapides et plus souples.

Comme avec nimporte quelle structure IP, NSX fonctionne trs bien
avec Nexus 9000 en sous-couche. La combinaison de NSX et de com-
mutateurs Nexus 9000 en mode autonome apporte les avantages du
SDDC.

Pour aider les socits informatiques faire ce saut vers lavenir,


VMware propose une architecture de rfrence prte lemploi, ainsi
que le Guide de conception de la virtualisation rseau VMware NSX
pour vSphere. Larchitecture de rfrence couvre les constituants
fondamentaux de NSX avec VMware ESXi, les configurations recom-
mandes avec Cisco UCS et la connectivit de UCS avec les commu-
tateurs Nexus 9000.

Pour voir de plus prs cette architecture de rfrence, consul-


tez le document (en anglais) intitul Reference Design: Deploying
NSXwithCisco UCS and Nexus 9000 Infrastructure, ladresse
www.vmware.com/files/pdf/products/nsx/Design-Guide-
for-NSX-with-Cisco-Nexus-9000-and-UCS.pdf.

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
 Capitolo 6: Environ dix faons de se lancer dans la virtualisation du rseau 65

Intgration de NSX avec votre


infrastructure du rseau actuelle
NSX est conu pour sintgrer votre infrastructure du rseau
actuelle et relier entre eux les mondes physique et virtuel avec la
fonctionnalit de passerelle de couche2. Ces intgrations recon-
naissent que, dans lenvironnement hyperdynamique du Data
Center moderne, le rseau de sous-couche de transport et les solu-
tions de superposition de virtualisation du rseau sont des acteurs
interdpendants dans la prestation optimale de performances, de
fiabilit et de dimensionnement.

Afin de rendre ces intgrations possibles, VMware collabore active-


ment avec ses partenaires de commutation de couche2 pour tablir
des architectures de rfrence et des guides de conception afin
dutiliser NSX comme une superposition agile qui sappuie sur les
capacits de linfrastructure de sous-couche.

Voici un chantillon des ressources techniques disponibles afin


de guider lintgration de NSX dans votre infrastructure rseau
existante:

Arista: guide de conception du rfrence de VMware et


dArista pour la virtualisation du rseau dans les environne-
ments vSphere de VMware (www.vmware.com/files/
pdf/products/nsx/White_Paper_Design_VMware_
Arista_3-15-2014.pdf)
Brocade: livre blanc de rfrence de VMware et de Brocade
pour la virtualisation du rseau (https://communities.
vmware.com/docs/DOC-28347)
Cisco: conception du rfrence: dploiement de NSX
avecune infrastructure Cisco UCS et Nexus 9000
(https://communities.vmware.com/docs/DOC-
29373)
Dell: virtualisation du rseau avec une infrastructure
Delletune architecture de rfrence VMware NSX
(https://communities.vmware.com/docs/DOC-
27684)
Juniper: connexion du rseaux physiques et virtuels
aveclesplate-formes VMware NSX et Juniper
(https://communities.vmware.com/docs/DOC-27610)

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
66 La virtualisation du rseau pour les Nuls, une dition spciale de VMware 

Intgration avec vos partenaires de


lcosystme de services rseau
Outre lintgration avec votre infrastructure rseau existante, NSX
est conu pour sintgrer avec des solutions de services rseau
varis, comme les dispositifs dquilibrage de charges ou les pare-
feux et services de nouvelle gnration.

Cette liste numre la famille croissante des partenaires de NSX:

Du physique au virtuel: Arista, Brocade, Cumulus, Dell,


HP,Juniper
Scurit rseau: Check Point, Fortinet, Intel Security,
PaloAlto Networks, Rapid 7, Symantec, Trend Micro
Visibilit et suivi: Arkin Net, EMC Smarts, NetScout,
Gigamon, Tufin, Riverbed (SteelCentral)
Contrleur de mise disposition dapplications:
F5Networks

Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
Ces documents sont protgs par le copyright 2016 John Wiley & Sons, Inc. Toute divulgation, toute distribution et tout usage non autoriss sont
strictement interdits.
WILEY END USER LICENSE AGREEMENT
Go to www.wiley.com/go/eula to access Wileys ebook EULA.