Вы находитесь на странице: 1из 15

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la

solution VMware NSX

II.1.Introduction
Le travail dans un datacenter est trs complexe, car cest un grand dfi
de travailler avec le rseau. Une fois larchitecture du rseau est tablie,
nimporte quelle changement pose un dfi cause du manque de flexibilit
en raison de la complexit croissante et les exigences sur l'environnement.
Bien que ces problme ont t rsolus grce ladoption de la
virtualisation, la mise en rseau continue rester un dfi dans les
environnements d'aujourd'hui o des tches simples, telles que la cration
d'un nouveau VLAN, sont de plus en plus complexes et prennent du temps.
Dans ce chapitre, nous allons expliquer la solution que nous avons
choisie, ses services et quest-ce quune commutation et routage logique.
Aussi, nous allons expliquer les nouveaux aspects de la scurit et quels sont
les avantages fournis par cette solution.

II.2.Dfinition de la virtualisation des rseaux


La virtualisation est une couche dabstraction qui supprime ladhrence
entre les rseaux logiques et les rseaux physiques. La virtualisation des
rseaux peut tre compare au concept de virtualisation de serveur
Dans le cas de la virtualisation des rseaux, toutes les rgles de
configuration du rseau, de gestion de la scurit, de la haute disponibilit, de
mise en uvre des protocoles de routage, sont gres par lhyperviseur
rseau.

II.3.Virtualisation des fonctions de rseau


Network Function Virtulizaltion (NFV) Consiste virtualiser les services et
les fonctions rseau actuellement mis disposition par un matriel ddi et
propritaire. Son objectif consiste dissocier les fonctions rseau des
quipements matriels qui leur sont ddis tels que routeurs, pare-feu et
quilibreurs de charge, pour hberger les services fournis par un matriel
ddi sur des machines virtuelles VM (Virtual Machine).
Une fois les fonctions rseau sous le contrle d'un hyperviseur, les
services qui ncessitaient jusqu'alors un matriel ddi peuvent dsormais
tre fournis partir de serveurs
x86 standard.
NFV diminue la quantit de matriel propritaire ncessaire au
lancement et l'exploitation de services rseau.

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX

II.4.Rseau dfini par logiciel


Le rseau dfinition logicielle, (Software-Defined Networking SDN), est
une approche de la gestion des rseaux dans laquelle le contrle est dissoci
du matriel et transfr une application logicielle appele contrleur.
La figure II.1 instruit la diffrence entre lancienne et la nouvelle architecture
des priphriques rseau

Figure II.1.Ancienne et nouvelle architecture des priphriques rseau


Aprs avoir dfini ces deux technologies, on doit mentionner que le
dploiement de lune des deux technologies na aucune relation avec lautre.
On peut virtualiser les fonctions de rseau sans avoir dissoci le plan de
contrle et le plan de donnes et vice versa. Cependant la combinaison de ces
deux technologies peut nous servir de grands avantages et permet mme
douvrir les portes vers une nouvelle rvolution dans le domaine du rseau.

II.5.Avantages de la virtualisation des rseaux


La virtualisation des rseaux peut nous offrir plusieurs avantages dont
nous citons ci-dessous les plus importants.
1)

Facile et moins chre dans la gestion des rseaux :


Avec la virtualisation nous pouvons grer nos quipements rseau travers
une seule console de gestion

2)

Rduction le temps de provisionnement :


2

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX
Avant lapparition de la virtualisation, si un nouveau service doit tre dploy,
ladministrateur doit dabord configurer manuellement chaque quipement
rseau associ. Et cela se fait via une procdure trs lente et complexe qui
peut engendrer des erreurs qui retard encours la mise a disposition des
services. La virtualisation a pu sen passer de cette procdure
3)

vitement des limites qua connu la topologie du rseau :


Certain technologies comme les VLAN ont connu des limites tel que
volutivit : le nombre est limit 4096, aussi le problme de Spanning Tree
Protocol STP

4)

Conservation de la bande passante :


Grce la possibilit de la distribution, les machines peuvent communiquer
entre eux sans toucher les priphriques rseau.

II.6.VMware NSX
VMware NSX est la Plateforme de virtualisation de rseau qui permet
davoir le software defined network qui est une composante essentielle de
l'architecture de centre de donnes dfini par logiciel.
VMware NSX abstrait le rseau physique sous-jacent par l'introduction
d'une couche logicielle qui le rend facile consommer les ressources du
rseau en crant de multiples rseaux virtuels. Il permet en outre le
dploiement des services de rseau sur le dessus de la couche d'abstraction.
La figure II.2 reprsente l'abstraction logicielle du rseau physique par NSX.
Cela est synonyme de la faon dont VMware vSphere Hyperviseur atteint
l'abstraction logicielle de CPU, la mmoire qui permet de crer plusieurs
machines virtuelles.

Figure II.2. Analogie entre la virtualisation des calculs et celle du rseau


3

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX

II.6.1.Architecture et composants
L'architecture de haut niveau de NSX dcrit, principalement, trois plans
diffrents, savoir le plan de gestion, le plan de contrle, et le plan de
donnes.
La figure II.3 reprsente les trois plans de NSX

Figure II.3. Composants de la solution VMware NSX

II.6.1.1.Plan de gestion
Le plan de gestion NSX est cr par NSX Manager, le composant de
gestion de rseau centralis de NSX. Il fournit le point de configuration
centralise
Ce plan de gestion interagit directement avec le plan de contrle et
aussi avec le plan de donnes. Le gestionnaire NSX est configur pour
interagir avec vSphere vCenter Server est ensuite gr via le client vSphere
Web client ou CLI.

II.6.1.2.Plan de contrle
Le plan de contrle NSX s'excute dans le cluster NSX Contrleur. NSX
Contrleur est un systme avanc de gestion des tats distribus qui fournit
des fonctions de plan de contrle pour les fonctions de commutation et de
routage logiques Il constitue le point de contrle central de tous les
commutateurs logiques figurant dans un rseau. Il gre galement les
informations de l'ensemble des htes, des commutateurs logiques (VxLAN) et
des routeurs logiques distribus.
Le contrleur n'est pas travers par un trafic de plan de donnes. Des
nuds de contrleur sont dploys dans un cluster de trois membres afin
d'activer la haute disponibilit. Une dfaillance des nuds du contrleur n'a
aucune rpercussion sur le trafic de plan de donnes.

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX
Les instances de NSX Contrleur distribuent des informations sur le
rseau aux htes. Pour atteindre un niveau lev de rsilience.
Les communications relatives NSX entre l'instance NSX Manager ou les
instances NSX Controller et l'hte ESXi se produire travers le User World
Agent UWA

II.6.1.3.Plan de donnes
Le plan de donnes NSX se compose du vSwitch NSX, lequel est bas sur
le vSphere Distributed Switch (VDS) dot de composants supplmentaires
pour activer les services de NSX. Trois vSphere Installation Bundles VIB sont
installes au niveau de chaque hte afin de fournir des services tels que le
routage distribu et les pare-feu logiques.

II.6.2.Commutation logique et VxLAN


Grce VMware ESXi, nous avons pu raliser un enivrement virtuel dans
lequel plusieurs machines virtuelles partagent la mme machine physique,
cependant afin dassurer la communication entre ces VM on doit passer par un
commutateur physique. Cest pour cela la cration dun commutateur virtuel
qui sexcute au niveau de lhte est primordiale.

II.6.2.1.vSphere Standard Switch (VSS)


vSphere standard switch est un commutateur virtuel qui peut tre cr
sur un seul hte. Les groupes de ports dfinis sur ce vSwitch seront locaux
l'hte sur lequel le groupe de ports est cr. En d'autres termes, Si nous
avons plusieurs htes nous allons faire en sorte que Les groupes de ports sont
identiques sur tous les htes. Surtout lorsque nous souhaitons utiliser VMotion,
pour VMotion les noms des groupes de ports sur lhte source et l'hte cible
doivent tre identiques.
La figure II.4 prsente le schma dun VSS

Figure II.4.vSphere Standard Switch

II.6.2.2.vSphere Distributed Switch (VDS)


vSphere Distributed Switch est commutateur virtuel distribue, distribue
des fonctions de commutation comme un commutateur unique travers tous
les htes associs. De cette faon, nous configurons notre commutateur une
fois, puis nous ajoutons des htes ce commutateur. Les groupes de ports
5

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX
dfinis sur le commutateur distribu vSphere peuvent tre utiliss dans tous
les htes connects.
La figure II.5 prsente le schma dun VDS quest un exemple du pouvoir de
distribution

Figure II.5.vSphere Distributed Switch (VDS)

II.6.2.3.Rseau local virtuel prolong VxLAN


En raison du nombre limit de VLAN possible (4096), les constructeurs
ont mis au point de nouvelles technologies de VLAN dployable
dynamiquement au-dessus dun rseau IP : Virtuel eXtended Local Area
Network VxLAN est lune parmi elles.
Cette dernire est un format dencapsulation port par Cisco et VMware
ayant des fonctionnalits semblables aux VLAN mais avec quelques
amliorations. Grce ce format, il est possible de faire transiter des trames
de niveau 2, dans UDP trames.
La figure II.6 montre lencapsulation des trames en ajoutant le VxLAN entte

Figure II.6.Structure de la trame avec lentte VxLAN


De plus, grce son champ didentification sur 24 bits, il est possible de crer sur un mme
domaine VxLAN plus de 16 millions de VLAN diffrents.
Cependant, puisque VxLAN est un format dencapsulation, le dploiement de cette technologie
ncessite un changement dans la configuration au niveau de linfrastructure physique quest lunit
de transmission maximale (MTU) et exige un nombre minimum de 1600 doctet pour soutenir le
trafic.
6

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX

II.6.2.3.1.Dmonstration du flux du trafic


Pour bien comprendre le fonctionnement de VxLAN au niveau de vSphere,
nous allons faire un schma avec explication, nous avons choisi le unicast
entre deux machines virtuelles dans diffrents htes pour manifester leffet du
VxLAN parce que une communication entre deux machines virtuelles dans le
mme hte ne ncessite pas une encapsulation VxLAN, grce au
commutateur logique (VDS) dans lhte, ce type de communication se passe
dans lhte sans que les trames sortent linfrastructure physique. Mais avant
nous devons expliquer la notion de VTEP, (Vxlan Tunnel End Point) est une
entit qui encapsule un Ethernet trame dans une trame VxLAN ou dsencapsule une trame VxLAN.
La figure II.7 reprsente la trajectoire du trafic.

Figure II.7.Trajectoire de trafic lors dune communication unicast


Aprs le dploiement de NSX manger, il envoie les trois VIB a vCentre
Server pour que ce dernier les installe au niveau de chaque hte. Un
commutateur logique est configure avec VxLAN Network Identifier VNI (dans
notre exemple 5001) le NSX manager informe le NSX contrleur cluster de la
cration dun nouveau commutateur logique, ce contrleur cluster fait une
lection pour dterminer un NSX contrleur nud qui va tre le responsable
pour ce nouveau commutateur logique, les htes envoient via UWA leurs
adresses VTEP et MAC ainsi que les adresses IP et MAC des VM connecte ce
commutateur logique au contrleur.
Lorsque VM 1 essaye de communiquer avec VM 3 sachant que VM 1 et
VM 3 sont sur le mme domaine de diffusion (rseau local) mais sur des htes
7

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX
diffrents, VM 1 consulte sa cache ARP pour avoir l'adresse MAC de VM3 mais
le MAC de VM3 n'existe pas sur la cache ARP, donc VM 1 va envoyer une
diffusion pour avoir le MAC de VM 3, cette diffusion est intercepte, et le
contrleur est interrog sur le MAC de VM3, le contrleur va rpondre par
l'envoie de l'adresse mac de VM 3.
Mais la question qui se pose c'est comment l'hte X saura au quelle hte
VM3 est en cours dexcution afin qu'il puisse transmettre les trames sur
l'infrastructure physique, donc l'hte X demande au contrleur le lieu
d'excution de VM 3, le contrleur va rpondre par lenvoie de ladresse VTEP
Y et le MAC de lhte Y sur lequel la VM 3 est en cours dexcution.
VM1 va gnrer la trame habituelle avec ladresse IP et MAC de VM3, et cette trame est
r-encapsul sous forme dun paquet UDP par la Catre rseau physique en ajoutant les adresse
VTEP A et VTEP Y et le VxLAN network identifier et les adresses MAC de l'hte X et l'hte Y,
Cette nouvelle trame est transmis travers linfrastructure physiques (commutateurs ou routeurs)
l'hte de destination, cette hte (hte Y) va la des-encapsuler par la suppression des enttes
ajoutes par la carte rseau physique de lhte source, pour avoir la trame dorigine gnrer par
VM 1, et finalement cette trame est achemine vers VM 3 .
Aussi en dois mentionner que VMware NSX limine les communications
multicast.

II.6.2.4.Pontage niveau deux (Layer two bridging)


Le problme suivant trait cest dans le cas o les machines virtuelles
qui appartiennent un segment VxLAN communiquent avec des machine
physique que appartient un VLAN.
La figure II.8 prsente le processus dun pontage couche deux

Figure II.8.Processus dun pontage couche deux


8

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX
VM 1 envoie le trafic avec ladresse IP et MAC de la machine physique
qui se connecte dans le VLAN 100 (Aprs un processus d'ARP pour dterminer
le MAC de la machine physique, cette adresse MAC est enregistr dans l'hte
ESXi), ces trames sont encapsules dans des paquets UDP avec le VNI 5001 et
envoys l'instance de pontage, l'instance de pontage fera la correspondance
entre le VxLAN 5001 et vlan 100 et transmettra les trames par le biais de la
liaison montante, mais cette fois il n'y a pas de r-encapsulation dans des
paquet UDP. Cest juste lajoute den-tte de VLAN (VLAN 100), Ces trames
sont transmis la machine physique via le commutateur matriel, l'instance
de pontage est un router logique distribu configur pour faire le pontage .

II.6.3.Routage logique
Le routage fournit les informations de transfert ncessaires entre des
domaines de diffusion de la couche deux, nous permettons ainsi de diminuer
la taille des domaines de diffusion de la couche deux et d'amliorer l'efficacit
et l'chelle du rseau. NSX tend ces informations aux emplacements dans
lesquels rsident les charges de travail pour un routage horizontal. Cela
permet une communication plus directe entre les machines virtuelles sans
extension de sauts longue et coteuse. En mme temps, les routeurs logiques
de NSX fournissent une connectivit verticale, permettant ainsi aux charges
de travail d'accder aux rseaux traditionnels.

II.6.3.1.Router logique distribue (distributed logical router


DLR)
Un routeur logique distribu fournit un routage distribu horizontal. Les
machines virtuelles qui se trouvent sur le mme hte sur diffrents sousrseaux peuvent communiquer entre eux sans avoir traverser une interface
de routage traditionnelle. Un routeur logique peut disposer de huit interfaces
de liaison montante et jusqu' un millier d'interfaces internes. Une interface
de liaison montante sur un routeur distribu logique tablit une liaison
homologue avec une interface Edge Service Gateway ESG. Une interface
interne (Logical InterFace LIF) sur un routeur distribu logique tablit une
liaison homologue avec les machines virtuelles hberges sur un hyperviseur
ESXi avec un commutateur logique intervenant entre la machine virtuelle et le
routeur distribu logique.
La figure II.9 prsente une comparaison entre le routage centralis et le
routage distribu.

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX

Fig
ure II.9.Comparaison entre le routage centralis et le routage distribu
L'administrateur cre un nouveau DLR via NSX manager, ce manger dploie un routeur
distribu contrle VM (DLR control VM) et une instance DLR sera dploy pour chaque hte, une
lection se passe sous le contrle cluster pour choisir un nud de contrle NSX lequel il est
responsable pour ce DLR.
La configuration de ce DLR est envoye au DLR contrle VM et au contrleur responsable. Le
DLR contrle VM envoie la table de routage au contrleur pour la distribuer aux tous les htes
ESXi
Le DLR control VM est un VM qui n'est pas travers par un trafic de plan de donnes, ce DLR

control VM prend en charge les protocoles de routage dynamique (BGP, OSPF).


II.6.3.1.1.Dmonstration du flux de trafic
Pour bien comprendre les dtails techniques nous vous invitons cette
dmonstration
La figure II.10 montre comment le routage entre deux machines virtuelles
dans des
sous-rseaux diffrents se passe

10

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX

F
igure II.10.Le processus de communication entre deux VM on diffrents sousrseaux
Lorsquune VM essaye de communiquer avec une autre VM sur diffrents
sous-rseau, cette dernire envoie les trames la passerelle LIF (Interface
logique) connecte au DLR, celui-ci vrifie sa table de routage, si la
destination existe, alors il route les trames, si cette destination VM sexcute
sur le mme hte, la trame senverra la destination VM sans toucher
linfrastructure physique.
Cependant si cette destination VM sexcute sur un autre hte, alors la
trame sera
r-encapsule sous forme UDP paquet, aprs lajout dun
XVLAN en-tte, et si lhte destinataire est sur le mme domaine de diffusion
(Rseau local), cette nouvelle trame naura pas besoin laide du router pour y
arriver mme si les deux VM sont sur diffrent sous-rseau, ce qui va nous
prserver la bande passante.

II.6.3.2.NSX Edge service gateway ESG


Ce que lon a trait prcdemment concernant le routage, se passe
lintrieur du datacenter, mais noublier pas que les VM sont besoin dtre
accessible de lextrieur, et ce type de communication est appel
communication nord-sud.
Pour le faire, on aura besoin dun quipement qui fait le pontage de niveau
trois entre le virtuel et le physique.
NSX Edge Service Gateway, est une VM fournit le Pontage niveau trois
entre notre rseau logique et le rseau traditionnel, aussi elle fournit quelques
services tels que Firewall, NAT, DHCP

11

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX
II.6.3.2.1.Dmonstration du flux de trafic
Si on a une VM, qui sexcutant en tant quun serveur WEB, et elle a
besoin dtre accessible de lextrieur (rseau traditionnel).
La figure suivante montre le processus dune communication nord-sud

Fig
ure II.11.Communication nord-sud
Dans ce cas, les trames envoyes par le client web ont besoin
datteindre le serveur web qui est un VM excute sur lhte 1, ces trames
vont traverser linstance de pontage de niveau deux pour changer le VLAN
VxLAN comme expliquer prcdemment, on va supposer que le client web
appartient a VLAN 100, donc lentte du VLAN sera supprim et cette trame
sera r-encapsul et sera appartient vxlan 5003 quest un commutateur
logique de transit, cette nouvelle trame arrivera lhte 2 ou le ESG sexcute
et sera d-encapsul et envoy LIF 1 192.168.10.2.
LESG va faire une recherche des routes pour voir comment arriver la
destination 172.16.10.0/24, il va router les paquets du sous-rseau
192.168.10.0/24 vers le sous-rseau 172.116.10.0/24.
Finalement, les trames sont r-encapsules sous forme de trame UDP en
ajoutant lentte du VxLAN 5001 et seront envoyes sur la zone de transport
comme expliqu prcdemment.

II.6.4.NSX scurit
Dans un monde parfait ou les peuples sont thiques et capables de ne
pas faire des erreurs, on na pas besoin de cre des mesure de scurit, mais
mal hersement ce nest pas le cas
Le pare-feu traditionnel offre une degr de scurit trs efficace concernant la
protection de lextrieur.

12

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX
Mais dans cas ou la source de risque rside lintrieur. Cela peut posera un
dfi, alors on doit penser dappliquer ces mesures de scurit lintrieur de
notre datacenter ce qui nous appelons La micro-segmentation,
VMware offre deux solutions de firewalling
La figure II.12 prsente les deux solutions fournies par NSX

Figure II.12.NSX scurit

II.6.4.1.NSX Edge firewall


Fournir une protection nord-sud, Le pare-feu NSX Edge peut filtrer le flux
de trafic bas sur IP et TCP / UDP et peut galement filtrer le flux de trafic
bas sur des informations spcifiques de la virtualisation, telles que nom de la
machine virtuelle, pool de ressources, datacenter ou cluster.

II.6.4.2.NSX pare-feu distribu


NSX Distributed FireWall DFW, offre une visibilit et un contrle des
charges de travail et des rseaux virtualiss. Aussi il offre de multiples
ensembles de rgles configurables pour les couches rseau 2, 3 et 4. Les
rgles de pare-feu distribu sont appliques au niveau de la carte rseau
virtuelle vNIC avant lencapsulation ou aprs la des-encapsulation. Donc la
politique dun pare-feu distribu est indpendante de l'endroit o la machine
virtuelle est situe. Si une machine virtuelle est migre vers un autre hte en
utilisant VMware vSphere VMotion, la politique du pare-feu fait suite la
machine virtuelle. La figure II.13 montre l'indpendance entre la VM et le lieu
dexcution de cette dernire

13

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX

Figure II.13.Indpendance de DFW du lieu dexcution de la VM

Le pare-feu Distribu peut appliquer les rgles mme si les machines virtuelles
sont sur le mme domaine de diffusion, ce quest ntait pas possible avec
lancien pare-feu
Comme on a dit prcdemment le Edge firewall peut filtrer le flux de trafic
bas sur des informations spcifiques de la virtualisation, le DFW aussi a ce
pouvoir.
II.6.4.2.1.Rgles bases sur un commutateur logique
La figure II.14 montre un filtrage base sur des commutateurs logiques.

Figure II.14.Rgles bases sur un commutateur logique


Dans cet exemple les VM connectes au commutateur logique 5001 ne
peuvent pas communiquer avec les VM connectes au commutateur logique
5002 et vice-versa. Mais ladministrateur ne doit pas configurer chaque VM
individuellement. Tout simplement il va crier des rgles associes un
commutateur logique une seules fois et lhyperviseur va distribuer ces rgles
chaque VM connect ce commutateur.
II.6.4.2.2.Rgles bases sur un groupe de scurit
La figure II.15 montre un filtrage base sur des groupes de scurit.

14

Chapitre 2 : Notions gnrales sur la virtualisation des rseaux et la


solution VMware NSX

Fig
ure II.15.Rgles bases sur un groupe de scurit
Dans cet exemple les VM qui portent dans leurs noms Windows
appartiennent un groupe de scurit et les VM qui portent dans leurs noms
Linux appartiennent un autre groupe de scurit, Ladministrateur va crier
deux groupes de scurit, et tous les VM qui portent dans leurs noms Windows
ou Linux vont appartenir automatiquement ces groupes.

Conclusion
Dans le prsent chapitre, ont t abords les concepts de base de la
virtualisation des rseaux, avec le fameux NSX. Aujourdhui, limplmentation
des solutions de virtualisation des rseaux tels que VMware NSX est devenue
indispensable au sein dun Data Center car elle apporte des avantages
indiscutable telle que la gestion centralise et la rduction de cot, la scurit
( travers le DFW) et les diffrents fonctions traditionnelles du rseau comme
la commutation et le routage.

15