Mise en réseau et sécurité de VMware Cloud on AWS

Cet article est un complément du sujet précédement abordé VMware Cloud on AWS – Software Defined Data Center 2019 Exam Experience, Tips & Tricks et qui permettra d’entrer plus en détails sur la mise en réseau et sécurité de VMC on AWS. Je vais vous présenter l’architecture réseaux sur VMC on AWS et expliquer les différents composants qui le constitue basé sur NSX-V.

Il faut savoir que les équipes VMware et AWS collabore étroitement pour optimiser et maintenir le réseau physique et logique (tel que les vlan trunk, ENA Elastic Network Adapter de 25 Gbps qui est constituer de multiples ENI Elastic Network Interface pour assurer la redondance) du SDDC. Ci-dessous l’architecture réseau du SDDC une fois déployer:

Réseau Logique de VMC on AWS
  • Management Gateway:
    • Il permet l’acheminement du trafic de management (Hôtes ESXi, vCenter, NSX manager et les contrôleur NSX).
    • Il est composé de 2 Edges (pour le HA) créés pendant le déploiement du SDDC (SDDC-MGW-0/1) et ne peuvent pas être configurer. Les Edges permettent d’offrir des services tel que DHCP, NAT, VPN, Load Balancing .
    • Il est relié aux 2 DvPortGroup (External vlan 100 et Management vlan 101) .
    • VMKernel: Les VMKernels (5 au total) de chaque hôte sont définis comme suit et ne sont pas configurable:
      • Management
      • vSAN
      • vMotion
      • VxLAN
      • API
    • Les configuration possibles sur le Management Gateway sont:
      1. IPSEC VPN (pour le réseau Inter-SDDC): Il est indispensable pour le Hybrid Linked Mode et il est possible de le configurer via NSX Edge.
      2. Les Firewall rules et firewall rule accelerator: Dès le déploiement du SDDC, une règle de parefeu est créée automatiquement de type deny any. Il est impossible de la modifier ni de la supprimer. Par contre, il est possible de créer autant de règle de parefeu selon le besoin, comme par exemple le firewall rule qui permet l’accès au vCenter du SDDC. Les service des règles de parefeu sont limités à HTTPS, ICMP, SSO, Provisioning, Remote console, SRM Server Management, VM Replication et VR Server Management, qui sont tous de types TCP. Le firewall Rule Accelerator permet la création automatique des règles de parefeu pour créer automatiquement la connexion VPN entre le OnPrem et le SDDC comme par exemple VPN Management Gateway vers le vCenter en HTTPS.
      3. DNS: Permet la résolution du FQDN du vCenter, qui sera indispensable pour la création du Hybrid Linked Mode. Il est possible d’introduire 2 serveurs DNS pendant la configuration.
      4. Les sous réseaux de management: A introduire pendant le premier déploiement du SDDC. 3 CIDR sont disponibles: les CIDR /23 avec 27 hôtes, /20 avec 251 hôtes et /16 pour 4091 hôtes. Ils sont disponibles pour définir le nombre d’hôtes qu’on souhaiterai déployer sur le SDDC. Seuls les subnets 10.0.0.0/15 et 172.31.0.0/16 sont réservés, donc inutilisable. 27 hôtes pour un CIDR de /23 semble peu, mais voici l’explication: On divise /23 en 2x /24. Le premier /24 sera assigner au vCenter, NSX Manager, NSX Contrôleur et le 2ème /24 sera dédié aux ESXi. Un /24 résultera à 8x /27 (32 adresses IP chacune). Chaque /27 sera utilisé pour différentes fonctionnalités réseau telle que vSAN ou Management de l’hôte. 5 adresses IP des 32 restantes seront utilisées pour d’autres service réseaux ce qui donnera au final 27 adresses IP disponibles pour les hôtes ESXi.
  • Compute Gateway:
    • Il permet l’acheminement des Workload des VMs .
    • Il est composé de 2 Edges (pour le HA) créés pendant le déploiement du SDDC (esg-0 et esg-1) et ne peuvent pas être configurer. Il utilise le DvGroup CrossVPC (vlan 1 ou vlan 2) et le DvGroup (vlan 100)
    • Tout comme le Management Gateway, Le DvGroup n’est pas configurable.
    • Le Logical Network: est configurable mais tout dépend du nombre d’interface disponible. Le Logical Network créé par défaut pendant le déploiement du SDDC est configuré avec SNAT et DHCP. Ces fonctionnalités sont configurables.
    • VxLAN (Composant NSX): Utilisé afin que les nœuds puissent acheminer le trafic à travers le Compute Gateway. Il encapsule le trafic des VMs et les rediriges vers les réseaux IP. L’encapsulation des frames (de niveau 2), sont effectuer au niveau de l’hôte en utilisant VTEP. Chaque nœud est muni d’un VTEP qui communique entre eux à travers le DvGroup (DvGroup-NSX-VTEP). L’avantage est de pouvoir acheminer le trafic de 2 VMs d’un hôte sans pour autant sortir vers le haut pour y revenir vers le bas. Le DvGroup du VxLAN est sur le vlan 3
    • DLR: Permet la distribution du routage Est/Ouest sur un nœud ou à travers les nœuds. Il est directement intégré sur le Kernel de l’ESXi et fourni le RIB (Routing Information Base) au contrôleur NSX.
    • Les configurations possibles sur le Compute Gateway: Sur la console SDDC, plusieurs options sont disponibles pour procéder à leur configuration tel que: Logical Network, IPSEC VPN, L2VPN, Firewall rules, NAT, Connected Amazon VPC, DNS et IP Public:
      1. Logical Network: C’est la microsegmentation des VMs sur VMC grâce à NSX. Il existe 2 types de Logical Network:
        • Routed Network: pour la communication interne à travers IPSEC VPN ou Internet. Un routed network est créer par défaut pendant le déploiement du SDDC (sddc-cgw-network-1) et son sous réseau est le 192.168.1.0/24 (DHCP activé par défaut).
        • Extended Network: Il peut être créer en utilisant le L2VPN. Les 2 réseaux connectés de chaque extrémité du Tunnel feront partie du même domaine de diffusion. Il faudrait penser à insérer le Tunnel ID pendant la création du Logical Network. Le Tunnel ID est récupérable depuis le L2VPN configuration après la configuration du L2VPN.
        • Une fois le Logical Network créé, il est possible de l’assigner à la VM depuis vSphere
      2. Request d’une adresse IP public
      3. NAT: une fois l’adresse IP public créé, il est possible de créer une règle de NAT pour mapper l’adresse public avec l’adresse privé et le service adéquat.
  • Les VPC connections:
    • Il existe 2 différents types de VPC:
      1. Le 1er est créé pendant le déploiement du SDDC et gérer par VMware. La connexion Internet est bloqué par défaut depuis le SDDC. Il faudrait procéder à la configuration un firewall rule pour permettre l’accès Internet.
      2. Le 2ème VPC est le VPC AWS. Il permet l’accès au services AWS.
Interconnexion entre VPC

L’interconnexion entre les 2 VPC peut se faire soit à travers Internet (1), soit à travers la connexion VPN (2)

  • Les scenarios réseaux Inter-SDDC
    • OnPrem/SDDC: Sans NSX.
    • OnPrem/SDDC: Avec NSX-V (6.1+).
    • OnPrem/SDDC: NSX-T.
    • SDDC secondaire: Même région.
    • SDDC secondaire: Région différente.
  • Les différents types de connexions entre VMC on AWS SDDC et les autres SDDC:
    1. Connexion Public: Internet (ex: Les application qui partagent leurs données publiquement).
    2. Connexion privée au Management Gateway: IPSEC VPN (Hybrid Linked Mode).
    3. Connexion privée au Compute Gateway: IPSEC VPN (Sécuriser les données des application entre les SDDC).
    4. Connexion privée au Compute Gateway: L2VPN (vMotion).
    5. Connexion AWS DirectConnect avec Virtual Public Interface (connexion rapide pour se connecter au service AWS ou VPN IPSEC).
    6. Connexion AWS DirectConnect avec Private Public Interface et VPN (Pour le traffic de management ou les clod migration .
  • IPSEC VPN:
    • Pour le Management Gateway: Prérequis pour pour le Hybrid Linked Mode.
    • Pour le Compute Gateway: Pour sécuriser les applications
    • Sa création se fait depuis la console SDDC. Il est possible de télécharger la configuration pour l’uploader sur le OnPrem.
  • L2VPN:
    • Il existe seulement pour le Compute Gateway et pas pour le Management Gateway. Il permettra de partager le domaine de diffusion entre 2 SDDC et la migration vMotion avec 0 downtime.
    • Il existe 2 types de déploiement L2VPN:
      1. NSX Managed Edge (Si NSX existe déjà OnPrem).
      2. Standalone Edge (Appliance téléchargeable depuis la console SDDC après la création du L2VPN si NSX n’existe pas OnPrem). Il est indispensable pour le Extended Logical Network.
  • DirectConnect:
    • C’est un service AWS qui consiste à fournir une connexion dédiée entre OnPrem et AWS. Un partenaire Edge jouera le rôle intermédiaire entre le OnPrem et AWS. Il faudrait vérifier auprès du fournisseur s’ils peuvent garantir une connexion directe avec AWS via DirectConnect. Le cas contraire, faudrait faire appel à un partenaire Edge.
    • Il est disponible en 1 Gb ou 10 Gb.
    • Une bande passante importante avec une faible latence.
    • Il est complétement isolé.
    • Le DirectConnect gateway est l’interconnexion entre 2 résions AWS.
    • Il existe le choix entre VIF public ou privé:
      1. Public: Si on souhaite utiliser les services AWS ou pour la configuration IPSEC VPN.
      2. Privé: Pour accélérer le trafic de management ESXi et vMotion.
Différence en DirectConnect en VIF public et privé

Voilà, La mise en réseau de VMC on AWS n’a plus de secret pour vous. N’hésitez pas à me faire part de vos remarques et suggestions.

A propos de l’auteur Karim Sabbagh

Karim Sabbagh lives in Paris. After his study in Information Technologies in Tunisia, he started in the IT business in an American multinational enterprise information technology company. After more than 2 years, he moved to Qatar to join a Kuwaiti company as System Engineer to work in different fields and areas with different technologies, most of them DellEMC, VMware and Citrix Since then he gained more than 5 years of IT experience. Karim is with Metanext, a French company since 2019 where he now works as a Cloud and Virtualization Consultant. He is a specialist on infrastructures, and has much knowledge of business processes, systems management processes and integration issues. Karim follows trends and developments in his field closely. He is ITIL, DellEMC Cloud Architect Expert, DellEMC Midrange Storage Specialist, VMware VCP-DCV, HPE SDN, Nutanix Platform Professional and VxRail Specialist Certified.

(2 commentaires)

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.