Public VCF as-a-Service - Concepts réseaux et bonnes pratiques

Dans ce guide d'introduction, nous allons exposer :

• Les différents concepts de mise en réseau au sein de Public VCF as-a-Service.
• Les notions d'optimisation de l'espace réseau telles que, par exemple, l'espace IP, les passerelles Edge, les groupes de centres de données.

Pour assurer une infrastructure réseau flexible et sécurisée dans un environnement de cloud polyvalent, Public VCF as-a-Service utilise une architecture de mise en réseau superposée comprenant quatre catégories de réseaux :

• Les réseaux externes
• Les réseaux vDC d'organisation
• Les réseaux de groupe de centres de données
• Les réseaux vApp

La plupart de ces réseaux nécessitent des éléments d'infrastructure supplémentaires tels que les Passerelles Edge et les Pools de réseaux.

Le control panel Public VCF as-a-Service dispose d'un bandeau réseau avec 6 sections :

• Réseaux
• Passerelles Edge
• Passerelles de fournisseur
• Espaces IP
• Groupes de centres de données
• Balises de sécurité

Il contient aussi une section Réseau au sein de chaque vDC dans Centres de données > Mon VDC > Mise en réseau > Réseau > Dispositif Edge.

Capacités de mise en réseau

Voici les principales fonctionnalités réseau offertes avec les offres Public VCF as-a-Service.

Fonctionnalités réseau des offres Public VCF as-a-Service

Voici un comparatif des 3 offres proposées par Public VCF as-a-Service.

Les fonctionnalités de réseau avancé et de sécurité au sein de Public VCF as-a-Service ne sont disponibles que dans les offres Advanced et Premium.

Recommandations pour la conception et l'administration de l'espace réseau

Le réseau au sein de Public VCF as-a-Service (concept)

Les types de réseau supportés au sein d'un vDC d'organisation :

Les réseaux de centres de données virtuels (vDC) d'organisation permettent aux vApp/VM de communiquer entre elles ou avec des réseaux externes à l'organisation.

Les réseaux vDC d'organisation fournissent des connexions directes ou routées à des réseaux externes, ou peuvent être isolés des réseaux externes et des autres réseaux vDC d'organisation. Les connexions routées nécessitent une passerelle Edge et un pool de réseaux dans le VDC d'organisation.

Un vDC d'organisation récemment créé ne dispose d'aucun réseau disponible.

Pools de réseaux (concept)

Un pool de réseaux est un ensemble de segments de réseau de couche 2 isolé, que vous pouvez utiliser afin de concevoir des réseaux vApp et divers types de réseaux vDC en fonction de vos besoins.

Les pools de réseaux doivent être mis en place préalablement aux réseaux vDC d'organisation et aux réseaux vApp. En leur absence, la seule option en termes de réseau pour une organisation demeure la connexion directe à un réseau externe.

Les espaces IP (recommandé)

Un espace IP se compose d'un ensemble de plages d'adresses IP qui ne se chevauchent pas et de petits blocs CIDR qui sont réservés et utilisés lors de la consommation du cycle de vie de l'espace IP. Un espace IP peut être IPv4 ou IPv6, mais pas les deux.

Depuis la version (10.4.1), les espaces IP font partie des nouvelles fonctionnalités et sont recommandées pour vos besoins en espace réseau.

Il existe deux types d'espaces IP que vous pouvez utiliser en tant qu'utilisateur Administrateur d'organisation :

• Espace IP public : un espace IP public est utilisé par plusieurs organisations et est contrôlé par le Fournisseur de services par le biais d'un système basé sur les quotas.
• Espace IP privé : les espaces IP privés sont dédiés à un seul locataire. Un espace IP privé est utilisé uniquement par une organisation spécifiée lors de la création de l'espace IP. Pour cette organisation, la consommation d'adresses IP est illimitée.

Via l'espace client Public VCF as-a-Service**

Configuration :

• Général
• Topologie réseau

Allocation :

• Adresses IP flottantes
• Préfixes IP

Les préfixes IP (recommandé)

Vous pouvez définir un préfixe IP pour une utilisation automatique ou manuelle et empêcher Public VCF as-a-Service de l'attribuer de manière aléatoire.

Si vous n’utilisez plus un préfixe IP qui a été alloué à votre espace IP, vous pouvez le libérer dans le pool.

Les topologies réseau (concept)

Vous retrouvez les topologies réseau depuis le control panel Public VCF as-a-Service en cliquant sur : Mise en réseau | Espace ip | Mon Nom d'IP space | Configuration | Topologie Réseau

Les topologies réseau sont utilisées pour configurer les espaces IP afin d'activer le trafic nord-sud.

Règles de configuration automatique par défaut :

• Notez que la portée interne et externe des espaces IP doit être configurée si les règles NAT par défaut doivent être générées automatiquement. Les règles par défaut peuvent être configurées automatiquement sur les passerelles Edge et les passerelles de fournisseur en les déclenchant manuellement sur celles-ci à l'aide de l'action « Configuration automatique ».

Les groupes de centres de données (recommandé)

Les réseaux de groupe de centres de données sont un type de réseaux vDC d'organisation qui sont partagés entre un ou plusieurs vDC et auxquels les vApp peuvent se connecter.

Lors de la création d'un réseau, vous pouvez rejoindre votre groupe de centres de données, ce qui permettra ainsi de fournir la connectivité aux vApp/VM de tous les VDC participants.

La synchronisation (optionnel)

Il est aussi possible de les synchroniser. Cette action de synchronisation vérifiera tous les vDC associés pour s'assurer qu'ils sont toujours réalisés et correctement configurés.

Création ou import de réseau dans le groupe de centre de données (optionnel)

Les passerelles Edge (obligatoire)**

La passerelle Edge de Public VCF as-a-Service permet à un réseau vDC d'organisation d'acheminer la connectivité aux réseaux internes, la translation d'adresses réseau (NAT), le pare-feu, le montage de tunnel IPsec.

Public VCF as-a-Serviceprend en charge les passerelles Edge IPv4 et IPv6.

Mode DHCP (optionnel)

DHCP automatise l'attribution d'adresses IP aux machines virtuelles connectées aux réseaux vDC de l'organisation.

Trois modes sont disponibles :

• Réseau : un nouveau service DHCP directement associé à ce réseau est utilisé pour obtenir les IP DHCP. Utilisez le mode réseau si le réseau est isolé ou si vous prévoyez de le détacher du périmètre.
• Relay : les messages DHCP sont relayés depuis les machines virtuelles vers les serveurs DHCP désignés dans votre infrastructure DHCP physique.
• Passerelle : le service DHCP de la passerelle Edge est utilisé pour obtenir les IP DHCP.

Réseaux vApp (concept)

Les réseaux vApp permettent aux machines virtuelles de communiquer entre elles ou, en se connectant à un réseau vDC d'organisation, avec des machines virtuelles dans d'autres vApps.

D'un point de vue général, les seules limitations que vous pouvez retrouver au sein de Public VCF as-a-Service sont celles d'un service managé.

Un peu moins de granularité est offerte en matière de configuration bas niveau.

Bien sûr, cela peut avoir un impact sur les fonctionnalités avancées en matière de réseau, même si ces fonctionnalités peuvent être incluses dans les phases futures.

Limitations VPN IPsec

Lors de l'ajout d'un tunnel IPsec, le paramètre d'ajout d'une session IPSEC basée sur une route (route based IPsec tunnel) n'est pas supporté au sein de Public VCF as-a-Service à ce jour (voir : docs > VMware NSX > Guide d'administration de NSX > Ajout d'une session IPSec basée sur une route)

Limitation passerelles de fournisseur (provider gateway)

Les passerelles de fournisseur sont clairement visibles, mais ne peuvent pas être modifiées (à la manière d'un service managé).

Limitation NSX

Vous ne disposez pas de l'accès au control panel NSX pour votre Hosted Private Public VCF as-a-Service.

Limitation Load Balancer

Les fonctionnalités de Load Balancing au sein de Public VCF as-a-Service ne sont pas disponibles pour le moment.

Limitation IAM

À ce jour, IAM n'est pas disponible au sein de Public VCF as-a-Service.