mise en réseau et sécurité de vmware cloud on aws - vmware
TRANSCRIPT
Mise en réseau et sécurité de VMware Cloud on AWS01 juin 2021SDDC version 1.14VMware Cloud on AWS
Vous trouverez la documentation technique la plus récente sur le site Web de VMware, à l'adresse :
https://docs.vmware.com/fr/
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
VMware France SAS.Tour Franklin100-101 Terrasse Boieldieu92042 Paris La Défense 8 CedexFrancewww.vmware.com/fr
Copyright ©
2017-2021 VMware, Inc. Tous droits réservés. Informations relatives aux copyrights et marques
commerciales.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 2
Table des matières
À propos de Mise en réseau et sécurité de VMware Cloud on AWS 5
1 Concepts de mise en réseau de NSX-T 6Fonctionnalités prises en charge avec NSX-T 11
2 Configuration de la mise en réseau et de la sécurité de VMware Cloud on AWS à l'aide de NSX-T 14Attribuer des rôles de service NSX aux membres de l'organisation 15
Configurer AWS Direct Connect entre votre SDDC et le centre de données sur site 16
Configurer une connexion AWS Direct Connect 17
Configurer Direct Connect sur une interface virtuelle privée pour un trafic réseau de gestion et de calcul SDDC 18
Configurer Direct Connect sur une interface virtuelle publique pour accéder aux services AWS 22
Spécifier la valeur de MTU de Direct Connect 23
Configurer une connexion VPN entre votre SDDC et le centre de données sur site 24
Créer un VPN basé sur les routes 25
Créer un VPN basé sur les stratégies 29
Configurer un VPN de couche 2 et un segment de réseau étendu 33
Afficher l'état et les statistiques du tunnel VPN 36
Référence des paramètres de VPN IPsec 37
Configurer la mise en réseau et la sécurité de la passerelle de gestion 39
Définir l'adresse de résolution de nom de domaine complet de vCenter Server 39
Définir l'adresse de résolution du nom de domaine complet de HCX 40
Ajouter ou modifier des règles de pare-feu de passerelle de gestion 40
Configurer la mise en réseau et la sécurité de la passerelle de calcul 45
Créer ou modifier un segment de réseau 46
Ajouter ou modifier des règles de pare-feu de passerelle de calcul 54
Ajouter ou modifier des règles de pare-feu distribué 56
Configuration des services DNS 62
Afficher les routes apprises et annoncées sur VMware Transit Connect 64
Configurer un SDDC à plusieurs dispositifs Edge avec des groupes de trafic 65
Utilisation des groupes d'inventaire 70
Ajouter un groupe de gestion 71
Ajouter ou modifier un groupe de calcul 71
Ajouter un service personnalisé 73
Afficher l'inventaire des machines virtuelles 73
Gestion des connexions de charge de travail 74
VMware, Inc. 3
Attacher une machine virtuelle ou détacher une machine virtuelle de charge de travail à partir d'un segment de réseau de calcul 74
Demander ou libérer une adresse IP publique 75
Créer ou modifier des règles NAT 76
Création de règles de pare-feu pour gérer le trafic entre les réseaux de calcul et de gestion78
3 Configurer les fonctionnalités de surveillance et de dépannage 80Configurer IPFIX 80
Configurer la mise en miroir de port 82
Afficher les informations sur le VPC connecté 84
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 4
À propos de Mise en réseau et sécurité de VMware Cloud on AWS
Le guide Mise en réseau et sécurité de VMware Cloud on AWS fournit des informations sur la configuration de la mise en réseau et de la sécurité de NSX-T pour VMware Cloud on AWS.
Public cible
Ces informations s'adressent aux personnes qui souhaitent utiliser VMware Cloud on AWS pour un créer un SDDC possédant l'infrastructure de mise en réseau et sécurité nécessaire afin de migrer des charges de travail distantes et de les exécuter de façon sécurisée dans le cloud. Elles sont destinées aux lecteurs qui ont utilisé vSphere dans un environnement sur site et qui connaissent bien les notions de base de la mise en réseau IP à l'aide de NSX-T ou d'une autre solution de mise en réseau. Des connaissances approfondies sur vSphere et Amazon Web Services ne sont pas nécessaires.
Pour une description détaillée de l'utilisation de la mise en réseau de NSX-T par VMware Cloud on AWS, reportez-vous à la documentation numérique de VMware VMware Cloud on AWS : mise en réseau et sécurité de NSX.
VMware, Inc. 5
Concepts de mise en réseau de NSX-T 1VMware Cloud on AWS utilise NSX-T pour créer et gérer des réseaux internes SDDC et fournit des points de terminaison pour les connexions VPN à partir de votre infrastructure réseau sur site.
Topologie de réseau SDDC
Lorsque vous créez un SDDC, il inclut un réseau de gestion. Les SDDC d'essai à hôte unique incluent également un petit réseau de calcul. Vous spécifiez le bloc CIDR du réseau de gestion lors de la création du SDDC. Il ne peut plus être modifié une fois le SDDC créé. Pour plus d'informations, reportez-vous à la section Déployer un SDDC depuis la console VMC. Le réseau de gestion dispose de deux sous-réseaux :
Sous-réseau de dispositifs
Ce sous-réseau est utilisé par les dispositifs vCenter, NSX et HCX dans le SDDC. Lorsque vous ajoutez des services basés sur un dispositif (tels que SRM) au SDDC, ils se connectent également à ce sous-réseau.
Sous-réseau d'infrastructure
Ce sous-réseau est utilisé par les hôtes ESXi dans le SDDC.
Le réseau de calcul inclut un nombre arbitraire de segments logiques pour vos machines virtuelles de charge de travail. Reportez-vous à la section Valeurs maximales de configuration VMware pour connaître les limites actuelles sur les segments logiques. Dans une configuration de démarrage de SDDC à hôte unique, nous créons un réseau de calcul avec un segment acheminé unique. Dans les configurations de SDDC comportant plus d'hôtes, vous devrez créer des segments de réseau de calcul pour répondre à vos besoins. Reportez-vous à la section Valeurs maximales de configuration VMware pour les limites applicables.
Un réseau SDDC dispose de deux niveaux théoriques :
n Le niveau 0 gère le trafic nord-sud (trafic sortant ou entrant dans le SDDC, ou entre les passerelles de gestion et de calcul).
n Le niveau 1 gère le trafic est-ouest (trafic entre les segments de réseau acheminés au sein du SDDC).
VMware, Inc. 6
Figure 1-1. Topologie de réseau SDDC
Internet
Sitesclients
BGP
BGP
VGWIGW
BGP InterfaceDirect Connect
InterfaceVPC
InterfaceInternet
VPC client lié
Sous-réseau Tabledes routesprincipales
xENI
CGW(niveau 1)
MGW(niveau 1)
Niveau 0
vCenter
Routeurdistribué Passerelle
par défaut
Segment de réseaude calcul routé
DFW
DFW
Segment de réseaude calcul routé
Sous-réseau de dispositifs
HCXMgr/IX/L2C
SRM/vSR
NSX ControllerNSXManager
Edge0/1
Sous-réseau d'infrastructure
HôtesESXi
DFW
AWSDirect
Connect(DX)
Interface de tunnel VPN
SDDC
Dispositif NSX Edge
Le dispositif NSX Edge par défaut est implémenté sous la forme d'une paire de machines virtuelles qui s'exécutent en mode actif/de veille. Ce dispositif fournit la plate-forme sur laquelle les routeurs de niveau 0 et de niveau 1 par défaut s'exécutent, avec les connexions VPN IPsec et leur équipement de routage BGP. Tout le trafic nord-sud passe par le routeur de niveau 0. Pour éviter d'envoyer du trafic est-ouest via le dispositif Edge, un composant de chaque routeur de niveau 1 s'exécute sur chaque hôte ESXi qui gère le routage pour des destinations dans le SDDC.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 7
Si vous avez besoin de bande passante supplémentaire pour le sous-ensemble de ce trafic routé vers des membres du groupe de SDDC, une passerelle Direct Connect attachée à un groupe de SDDC, un maillage de services HCX ou le VPC connecté, vous pouvez reconfigurer votre SDDC afin d'utiliser plusieurs dispositifs Edge en créant des groupes de trafic, chacun d'eux créant un routeur T0 supplémentaire. Reportez-vous à Configurer un SDDC à plusieurs dispositifs Edge avec des groupes de trafic pour plus de détails.
Note Le trafic VPN, ainsi que le trafic DX vers un VIF privé, doivent passer par le routeur T0 par défaut et ne peuvent pas être routés vers un groupe de trafic autre que celui par défaut. En outre, comme les règles NAT s'exécutent toujours sur le routeur T0 par défaut, les routeurs T0 supplémentaires ne peuvent pas gérer le trafic affecté par les règles SNAT ou DNAT. Cela inclut le trafic vers et depuis la connexion Internet native du SDDC. Cela inclut également le trafic vers le service Amazon S3, qui utilise une règle NAT et doit passer par le T0 par défaut.
Passerelle de gestion (MGW)
La passerelle de gestion est un routeur de niveau 1 qui gère le routage et le pare-feu pour vCenter Server et les autres dispositifs de gestion s'exécutant dans le SDDC. Les règles de pare-feu de la passerelle de gestion s'exécutent sur la passerelle MGW et contrôlent l'accès aux machines virtuelles de gestion. Dans la configuration par défaut, ces règles bloquent tout le trafic entrant vers le réseau de gestion (reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de gestion).
Passerelle de calcul (CGW)
La passerelle CGW est un routeur de niveau 1 qui gère le trafic réseau pour les machines virtuelles de charge de travail connectées à des segments de réseau de calcul routés. Les règles de pare-feu de passerelle de calcul, ainsi que les règles NAT, s'exécutent sur le routeur de niveau 0. Dans la configuration par défaut, ces règles bloquent tout le trafic vers et depuis des segments de réseau de calcul (reportez-vous à la section Configurer la mise en réseau et la sécurité de la passerelle de calcul).
Routage entre votre SDDC et le VPC connecté
Important Tous les sous-réseaux VPC sur lesquels des services ou des instances d'AWS communiquent avec le SDDC doivent être associés à la table de routage principale du VPC connecté. L'utilisation d'une table de routage personnalisée ou le remplacement de la table de routage principale ne sont pas pris en charge.
Lorsque vous créez un SDDC, nous allouons préalablement 17 interfaces réseau élastiques (ENI) AWS dans le VPC sélectionné appartenant au compte AWS que vous spécifiez lors de la création du SDDC. Nous affectons à chacune de ces ENI une adresse IP à partir du sous-réseau que vous spécifiez lors de la création du SDDC, puis nous attachons chacun des hôtes du cluster Cluster-1 du SDDC à l'une de ces interfaces réseau élastiques. Une adresse IP supplémentaire est attribuée à l'interface réseau élastique sur laquelle le dispositif NSX Edge s'exécute.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 8
Cette configuration, appelée VPC connecté, prend en charge le trafic réseau entre les machines virtuelles dans les instances de SDDC et d'AWS et les points de terminaison de service AWS natifs dans le VPC connecté. La table de routage principale du VPC connecté connaît le sous-réseau principal du VPC ainsi que tous les sous-réseaux du SDDC (segment réseau NSX-T). Lorsque vous créez ou supprimez des segments de réseau routé sur le SDDC, la table de routage principale est automatiquement mise à jour. Lorsque le dispositif NSX Edge dans votre SDDC est déplacé vers un autre hôte, que ce soit pour la récupération après une panne ou pendant la maintenance du SDDC, l'adresse IP allouée au dispositif Edge est déplacée vers la nouvelle interface réseau élastique (sur le nouvel hôte) et la table de routage principale est mise à jour pour refléter cette modification. Si vous avez remplacé la table de routage principale ou si vous utilisez une table de routage personnalisée, cette mise à jour échoue et le trafic réseau ne peut plus être acheminé entre les réseaux de SDDC et le VPC connecté. Consultez Afficher les informations sur le VPC connecté pour obtenir plus d'informations sur l'utilisation de la Console VMC et pour voir les détails de votre VPC connecté.
Pour une discussion approfondie sur l'architecture réseau du SDDC et les objets réseau AWS qui la supportent, lisez l'article de la zone technique de VMware Cloud intitulé VMware Cloud on AWS : architecture réseau du SDDC .
Adresses réseau réservées
Certaines plages d'adresses IPv4 ne sont pas disponibles pour une utilisation dans les réseaux de calcul SDDC. Plusieurs sont utilisées en interne par les composants réseau SDDC. La plupart sont également réservées par convention sur d'autres réseaux.
Tableau 1-1. Plages d'adresses réservées dans les réseaux SDDC
n 10.0.0.0/15
n 172.31.0.0/16
Ces plages sont réservées dans le sous-réseau de gestion SDDC, mais elles peuvent être utilisées dans vos réseaux sur site ou vos segments de réseau de calcul SDDC.
100.64.0.0/16 Réservées pour la NAT de niveau carrier par RFC 6598. Évitez d'utiliser des adresses dans cette plage dans les réseaux SDDC et autres. Il est peu probable qu'elles soient accessibles dans le SDDC ou depuis l'extérieur. Consultez l'article 76022 de la base de connaissances VMware pour obtenir une répartition détaillée de la manière dont les réseaux SDDC utilisent cette plage d'adresses.
n 169.254.0.0/19
n 169.254.64.0/24
n 169.254.101.0/30
n 169.254.105.0/24
n 169.254.106.0/24
Par RFC 3927, l'ensemble de 169.254.0.0/16 est une plage locale de liaison qui ne peut pas être acheminée au-delà d'un sous-réseau unique. Cependant, à l'exception de ces blocs CIDR, vous pouvez utiliser des adresses 169.254.0.0/16 pour vos interfaces de tunnel virtuel. Reportez-vous à la section Créer un VPN basé sur les routes.
192.168.1.0/24 Il s'agit du CIDR de segment de calcul par défaut pour un SDDC de démarrage à hôte unique et il n'est pas réservé dans d'autres configurations.
Les réseaux SDDC respectent également les conventions relatives aux plages d'adresses IPv4 pour utilisation spéciale énumérées dans le RFC 3330.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 9
Prise en charge de la multidiffusion dans les réseaux de SDDC
Dans les réseaux de SDDC, le trafic multidiffusion de couche 2 est traité comme du trafic de diffusion sur le segment réseau depuis lequel le trafic provient. Il n'est pas acheminé au-delà de ce segment. Les fonctionnalités d'optimisation du trafic multidiffusion de couche 2 (telles que l'écoute IGMP) ne sont pas prises en charge. La multidiffusion de couche 3 (telle que la multidiffusion sans protocole) n'est pas prise en charge dans VMware Cloud on AWS.
Connexion de votre SDDC sur site à votre SDDC de cloud
Pour connecter votre centre de données sur site à votre SDDC VMware Cloud on AWS, vous pouvez créer un VPN qui utilise l'Internet public, un VPN qui utilise AWS Direct Connect ou simplement utiliser AWS Direct Connect seul. Vous pouvez également tirer parti des groupes de SDDC pour utiliser VMware Transit Connect™ et une passerelle AWS Direct Connect afin de fournir une connectivité centralisée entre un groupe de SDDC VMware Cloud on AWS et un SDDC sur site. Reportez-vous à la section Création et gestion des groupes de déploiement de SDDC dans Guide des opérations de VMware Cloud on AWS.
Figure 1-2. Connexions SDDC à votre centre de données sur site
172.16.10.0/24
10.10.10.0/24
192.168.10.0/24
172.16.20.0/24
10.10.10.0/24
192.168.10.0/24
172.16.10.0/24
10.10.10.0/24
192.168.10.0/24
172.16.20.0/24
10.10.10.0/24
192.168.10.0/24
L3 VPN
L2 VPN
HCX
BGP (L3 VPN facultatif)
L2 VPN
HCX
Internet public
AWS Direct Connect
L3 VPN / BGP
NSX L2 VPN
HCX
Centre de données VMware Cloud on AWSInterconnexion
VPN de couche 3 (L3)
Un VPN de couche 3 fournit une connexion sécurisée entre votre centre de données sur site et votre SDDC VMware Cloud on AWS sur l'Internet public ou AWS Direct Connect. Ces VPN IPSec peuvent être basés sur les routes ou basés sur les stratégies. Vous pouvez créer jusqu'à seize VPN de chaque type, à l'aide de n'importe quel routeur sur site prenant en
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 10
charge les paramètres répertoriés dans la Référence des paramètres de VPN IPsec comme point de terminaison sur site.
VPN de couche 2 (L2)
Un VPN de couche 2 fournit un réseau étendu, ou étiré, avec un espace d'adresse IP unique qui couvre votre centre de données sur site et votre SDDC, et permet une migration à chaud ou à froid des charges de travail sur site vers le SDDC. Vous ne pouvez créer qu'un seul tunnel L2VPN dans un SDDC. L'extrémité sur site du tunnel nécessite NSX. Si vous n'utilisez pas déjà NSX dans votre centre de données sur site, vous pouvez télécharger un dispositif NSX Edge autonome pour fournir la fonctionnalité requise. Un VPN L2 peut connecter votre centre de données sur site au SDDC sur l'Internet public ou sur AWS Direct Connect.
AWS Direct Connect (DX)
AWS Direct Connect est un service fourni par AWS qui vous permet de créer une connexion à haut débit et à faible latence entre votre centre de données sur site et les services AWS. Lorsque vous configurez AWS Direct Connect, les VPN peuvent l'utiliser au lieu d'acheminer le trafic sur Internet public. Étant donné que Direct Connect met en œuvre le routage BGP (Border Gateway Protocol), l'utilisation d'un L3VPN pour le réseau de gestion est facultative lorsque vous configurez Direct Connect. Le trafic sur Direct Connect n'est pas chiffré. Si vous souhaitez chiffrer ce trafic, vous pouvez configurer un VPN IPSec qui utilise des adresses IP privées et Direct Connect.
VMware HCX
VMware HCX, une solution de mobilité d'applications multi-Cloud, est fourni gratuitement à tous les SDDC et facilite la migration de machines virtuelles de charge de travail vers et depuis votre centre de données sur site vers votre SDDC. Pour plus d'informations sur l'installation, la configuration et l'utilisation de HCX, reportez-vous à la section Migration hybride avec une liste de contrôle HCX.
Ce chapitre contient les rubriques suivantes :
n Fonctionnalités prises en charge avec NSX-T
Fonctionnalités prises en charge avec NSX-T
Les SDDC sauvegardés par NSX-T prennent en charge une large variété de solutions de mise en réseau et de sécurité.
NSX-T a été conçu spécifiquement pour prendre en charge divers environnements de centre de données à grande échelle et fournir des fonctionnalités robustes pour les conteneurs et le cloud.
Note Les valeurs maximales de configuration NSX-T sont désormais incluses dans la section Valeurs maximales de configuration VMware.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 11
Fonctionnalités de mise en réseau et de connectivité
NSX-T fournit toutes les capacités de mise en réseau requises par les charges de travail exécutées dans le SDDC. Ces fonctionnalités vous permettent d'effectuer les opérations suivantes :
n Déployer des réseaux (L2, L3 et isolés) et définir des sous-réseaux et des passerelles pour les charges de travail qui y résident.
n Les VPN L2 étendent vos domaines L2 sur site au SDDC, ce qui permet la migration de la charge de travail sans modification d'adresses IP.
n Les VPN IPsec basés sur la route peuvent se connecter à des réseaux sur site, des VPC ou d'autres SDDC. Les VPN basés sur les routes utilisent BGP pour apprendre de nouvelles routes dès que des réseaux deviennent disponibles.
n Les VPN IPsec basés sur les stratégies peuvent également être utilisés pour se connecter à des réseaux sur site, à des VPC ou à d'autres SDDC.
n Les réseaux isolés n'ont pas de liaisons montantes et ne fournissent l'accès qu'aux machines virtuelles qui y sont connectées.
n Utilisez AWS Direct Connect (DX) pour transporter le trafic entre les réseaux sur site et les réseaux SDDC sur une bande passante élevée et une connectivité à faible latence. Vous pouvez éventuellement utiliser un VPN basé sur les routes comme sauvegarde pour le trafic DX.
n Activez le protocole DHCP natif de manière sélective pour les segments de réseau ou utilisez le relais DHCP pour établir une liaison avec une solution IPAM sur site.
n Créez plusieurs zones DNS, en autorisant l'utilisation de différents serveurs DNS pour les sous-domaines réseau.
n Tirez parti du routage distribué, géré par un module de noyau NSX exécuté sur l'hôte où réside la charge de travail, de sorte que les charges de travail puissent communiquer efficacement entre elles.
Fonctionnalités de sécurité
Les fonctionnalités de sécurité NSX-T incluent les fonctionnalités de traduction d'adresses réseau (NAT) et de pare-feu avancé.
n La NAT source (SNAT) est automatiquement appliquée à toutes les charges de travail du SDDC pour permettre l'accès à Internet. Pour fournir un environnement sécurisé, l'accès à Internet est bloqué sur les pare-feu Edge, mais la stratégie de pare-feu peut être modifiée pour autoriser l'accès géré. Vous pouvez également demander une adresse IP publique pour les charges de travail et créer des stratégies NAT personnalisées pour celles-ci.
n Les pare-feu Edge s'exécutent sur les passerelles de gestion et de calcul. Ces pare-feu avec état examinent tout le trafic entrant et sortant du SDDC.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 12
n Distributed Firewall (DFW) est un pare-feu avec état qui s'exécute sur tous les hôtes SDDC. Il assure la protection du trafic dans le SDDC et permet à la microsegmentation d'autoriser un contrôle précis sur le trafic entre les charges de travail.
Outils d'opérations réseau
NSX-T propose également plusieurs outils de gestion des opérations réseau les plus utilisées.
n La mise en miroir de ports peut envoyer du trafic en miroir d'une source vers un dispositif de destination dans le SDDC ou votre réseau sur site.
n IPFIX prend en charge l'analyse du trafic réseau spécifique d'un segment en envoyant des flux de trafic à un collecteur IPFIX.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 13
Configuration de la mise en réseau et de la sécurité de VMware Cloud on AWS à l'aide de NSX-T
2Suivez ce workflow pour configurer la mise en réseau et la sécurité de NSX-T dans votre SDDC.
Procédure
1 Attribuer des rôles de service NSX aux membres de l'organisation
Octroyez aux utilisateurs de votre organisation un rôle de service NSX pour leur permettre d'afficher ou de configurer des fonctionnalités dans l'onglet Sécurité et mise en réseau.
2 Configurer AWS Direct Connect entre votre SDDC et le centre de données sur site
L'utilisation d'AWS Direct Connect est facultative. Si le trafic entre votre réseau sur site et vos charges de travail de SDDC nécessite des vitesses plus élevées et une latence inférieure à celles que vous pouvez obtenir avec une connexion sur l'Internet public, configurez VMware Cloud on AWS pour utiliser AWS Direct Connect.
3 Configurer une connexion VPN entre votre SDDC et le centre de données sur site
Configurez un VPN pour fournir une connexion sécurisée à votre SDDC sur l'Internet public ou sur AWS Direct Connect. Les VPN IPsec basés sur les routes et sur les stratégies sont pris en charge. L'un des deux types de VPN peut se connecter au SDDC sur Internet. Un VPN basé sur les routes peut également se connecter au SDDC sur AWS Direct Connect.
4 Configurer la mise en réseau et la sécurité de la passerelle de gestion
Le réseau de gestion et la passerelle de gestion sont largement préconfigurés dans votre SDDC, mais vous devrez malgré tout configurer l'accès aux services réseau de gestion tels que vCenter et HCX et créer des règles de pare-feu de passerelle de gestion pour autoriser le trafic entre le réseau de gestion et les autres réseaux, y compris vos réseaux sur site et d'autres réseaux de SDDC.
VMware, Inc. 14
5 Configurer la mise en réseau et la sécurité de la passerelle de calcul
La mise en réseau de la passerelle de calcul inclut un réseau de calcul avec un ou plusieurs segments, ainsi que les configurations DNS, DHCP et de sécurité (pare-feu de passerelle et pare-feu distribué) qui gèrent le trafic réseau pour les machines virtuelles de charge de travail. Elle peut également inclure un VPN de couche 2 et un réseau étendu qui fournit un domaine de diffusion unique qui couvre votre réseau sur site et votre réseau de charge de travail de SDDC.
6 Configurer un SDDC à plusieurs dispositifs Edge avec des groupes de trafic
Dans la configuration par défaut, votre réseau SDDC dispose d'un seul routeur Edge (T0) via lequel s'effectue tout le trafic Nord-Sud. Ce edge prend en charge le groupe de trafic par défaut, qui n’est pas configurable. Si vous avez besoin de bande passante supplémentaire pour le sous-ensemble de ce trafic routé vers des membres du groupe de SDDC, une passerelle Direct Connect attachée à un groupe de SDDC, un maillage de services HCX ou le VPC connecté, vous pouvez reconfigurer votre SDDC afin d'utiliser plusieurs dispositifs Edge en créant des groupes de trafic, chacun d'eux créant un routeur T0 supplémentaire.
7 Utilisation des groupes d'inventaire
Utilisez l'inventaire Mise en réseau et sécurité de VMware Cloud on AWS pour créer des groupes de machines virtuelles et de services réseau que vous pouvez utiliser lorsque vous créez des règles de pare-feu.
8 Gestion des connexions de charge de travail
Les machines virtuelles de charge de travail se connectent à Internet par défaut. Les règles NAT et les règles de pare-feu distribué offrent un contrôle précis sur ces connexions.
Attribuer des rôles de service NSX aux membres de l'organisation
Octroyez aux utilisateurs de votre organisation un rôle de service NSX pour leur permettre d'afficher ou de configurer des fonctionnalités dans l'onglet Sécurité et mise en réseau.
Les rôles d'organisation spécifient les privilèges dont dispose un membre de l'organisation sur les ressources d'organisation. Les rôles de service spécifient les privilèges dont dispose un membre d'organisation lors de l'accès à des services VMware Cloud Services que l'organisation utilise. Tous les rôles de service peuvent être attribués et modifiés par un utilisateur disposant de privilèges de propriétaire d'organisation, de sorte que des rôles restrictifs tels que les rôles d'administrateur (suppression restreinte) ou d'auditeur de NSX Cloud doivent être attribués avec le rôle de membre d'organisation afin d'éviter toute modification.
Un utilisateur doit se déconnecter, puis se reconnecter pour qu'un nouveau rôle de service prenne effet.
Conditions préalables
Vous devez être propriétaire de l'organisation pour attribuer un rôle à un membre de l'organisation.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 15
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Cliquez sur l'icône de services et sélectionnez Gestion d'identité et d'accès.
3 Sélectionnez un utilisateur et cliquez sur Modifier les rôles.
4 Sélectionnez un nom de rôle dans le contrôle déroulant Attribuer des rôles d'organisation.
Les rôles suivants sont disponibles :
Propriétaire d'organisation
Ce rôle dispose des droits complets pour gérer les membres et les ressources d'organisation.
Membre d'organisation.
Ce rôle dispose de droits d'accès aux ressources de l'organisation.
5 Sélectionnez le nom de service VMware Cloud on AWS sous Attribuer des rôles de service.
6 Sélectionnez un rôle de service NSX à attribuer.
Les rôles de service NSX suivants sont disponibles :
Auditeur NSX Cloud
Ce rôle peut afficher les paramètres et les événements de service NSX, mais ne peut apporter aucune modification au service.
Administrateur de NSX Cloud
Ce rôle peut effectuer toutes les tâches liées au déploiement et à l'administration du service NSX.
Note Lorsque plusieurs rôles de service sont attribués à un utilisateur d'organisation, les autorisations sont accordées pour le rôle le plus permissif. Par exemple, un membre d'organisation disposant des rôles d'administrateur de NSX Cloud et d'auditeur NSX Cloud obtient toutes les autorisations d'administrateur de NSX Cloud, ce qui inclut celles octroyées au rôle d'auditeur NSX Cloud.
7 Cliquez sur ENREGISTRER pour enregistrer vos modifications.
Étape suivante
Assurez-vous que tous les utilisateurs dont les rôles ont été modifiés se déconnectent et se reconnectent pour que les modifications prennent effet.
Configurer AWS Direct Connect entre votre SDDC et le centre de données sur site
L'utilisation d'AWS Direct Connect est facultative. Si le trafic entre votre réseau sur site et vos charges de travail de SDDC nécessite des vitesses plus élevées et une latence inférieure à celles
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 16
que vous pouvez obtenir avec une connexion sur l'Internet public, configurez VMware Cloud on AWS pour utiliser AWS Direct Connect.
Il existe deux façons de configurer votre SDDC VMware Cloud on AWS afin de bénéficier d'AWS Direct Connect pour le trafic vers et depuis votre centre de données sur site :
Configurez Direct Connect sur un VIF privé de votre VPC.
AWS Direct Connect (DX) fournit une connexion réseau dédiée entre votre infrastructure réseau sur site et une interface virtuelle (VIF) dans votre VPC AWS. Un VIF privé fournit un accès privé direct à votre SDDC. Configurez DX sur un VIF privé pour transporter le trafic de charge de travail et de gestion, y compris VPN et vMotion, entre votre centre de données sur site et votre VPC connecté. Une connexion DX sur un VIF privé peut être utilisée pour tout le trafic entre votre centre de données sur site et votre SDDC. Elle se termine dans votre VPC Amazon connecté, fournit un espace d'adresse IP privé et utilise BGP pour annoncer les routes dans votre SDDC et apprendre les routes de votre centre de données sur site. Les procédures de provisionnement pour ce VIF dépendent du type de connexion DX que vous choisissez.
Associez une passerelle Direct Connect à la passerelle Passerelle de transit gérée par VMware de votre groupe de SDDC.
Si vous avez créé un groupe de SDDC dans votre organisation VMware Cloud on AWS, vous pouvez connecter un SDDC sur site à la passerelle Direct Connect de ce groupe afin d'offrir une connectivité DX à tous les membres du groupe de SDDC. Reportez-vous à la section Attacher une passerelle Direct Connect à un groupe de SDDC dans le Guide des opérations de VMware Cloud on AWS.
Accéder aux services AWS sur un VIF public
Si vous souhaitez simplement utiliser DX pour accéder aux services AWS dans un VPC que vous possédez, vous pouvez le faire sur un VIF public. Vous ne pouvez pas utiliser un VIF public pour acheminer les mêmes types de trafic de SDDC (tels que vMotion) qui nécessitent un VIF privé ou une passerelle Direct Connect.
Configurer une connexion AWS Direct Connect
Pour configurer une connexion AWS Direct Connect, vous devez passer une commande via la console AWS afin de créer une connexion Direct Connect dans une région où VMware Cloud on AWS est disponible.
Types de connexion
AWS propose trois types de connexions Direct Connect :
Connexion dédiée
Une connexion dédiée fournit un port Ethernet physique dédié à un seul client qui prend en charge plusieurs interfaces virtuelles privées ou publiques (VIF) et 1 VIF de transit.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 17
Pour établir une connexion dédiée, demandez à un membre du programme de partenaire AWS Direct Connect de provisionner un circuit à un emplacement AWS Direct Connect dans la même région que votre SDDC. Utilisez votre compte AWS (géré par le client) pour effectuer cette demande. Une fois le circuit provisionné, créez un VIF privé hébergé sur votre SDDC en utilisant le compte indiqué dans le champ ID de compte AWS de la page Direct Connect de l'onglet Mise en réseau et sécurité. Dans un SDDC membre d'un groupe de SDDC, vous pouvez créer une passerelle Direct Connect Gateway (DXGW) dans votre compte et y connecter un VIF de transit à partir de la passerelle DXGW. Reportez-vous à la section Création et gestion des groupes de déploiement de SDDC avec VMware Transit Connect.
Connexion hébergée
Une connexion hébergée est un circuit partagé par plusieurs clients et provisionné pour votre compte AWS par un partenaire AWS Direct Connect. Une fois le circuit provisionné, créez un VIF privé hébergé sur votre SDDC en utilisant le compte indiqué dans le champ ID de compte AWS de la page Direct Connect de l'onglet Mise en réseau et sécurité. Si la vitesse de la connexion hébergée est de 1 Gbits/s ou plus et que le SDDC est membre d'un groupe de SDDC, vous avez également la possibilité de créer une passerelle Direct Connect Gateway (DXGW) dans votre compte et d'y connecter un VIF de transit à partir de la passerelle DXGW. Reportez-vous à la section Création et gestion des groupes de déploiement de SDDC avec VMware Transit Connect.
VIF hébergé
Un VIF hébergé est semblable à une connexion hébergée, mais il permet uniquement de créer un VIF unique géré par un partenaire. Le VIF privé hébergé doit être créé par le partenaire AWS à l'aide du numéro de compte indiqué dans le champ ID de compte AWS de la page Direct Connect de l'onglet Mise en réseau et sécurité, plutôt que provisionné sur votre propre compte AWS.
Pour plus d'informations sur l'utilisation de Direct Connect avec VMware Cloud on AWS, reportez-vous au Designlet VMware Connectivité d'un SDDC VMware Cloud on AWS avec VIF privé Direct Connect. Pour plus d'informations sur les types de connexion et la façon de les configurer, reportez-vous aux sections Partenaires AWS Direct Connect et Démarrer avec AWS Direct Connect.
Configurer Direct Connect sur une interface virtuelle privée pour un trafic réseau de gestion et de calcul SDDC
Votre connexion DX nécessite une interface virtuelle privée pour activer vMotion, la gestion d'ESXi, le dispositif de gestion et le trafic de charge de travail pour pouvoir l'utiliser.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 18
Créez une interface virtuelle pour chaque lien Direct Connect que vous souhaitez établir avec votre SDDC. Par exemple, si vous souhaitez créer deux liens Direct Connect pour la redondance, créez deux interfaces virtuelles. Consultez Valeurs maximales de configuration VMware pour connaître les limitations relatives au nombre de segments pris en charge par chaque VIF privé.
Important Lorsque vous connectez une interface virtuelle privée DX à un réseau SDDC, tout le trafic sortant des hôtes ESXi pour aller vers des destinations situées en dehors du réseau SDDC est acheminé sur l'interface, indépendamment des autres configurations de routage dans le SDDC. Cela inclut le trafic vMotion et vSphere Replication. Vous devez vous assurer que le trafic entrant vers les hôtes ESXi est également acheminé sur l'interface DX afin que les chemins du trafic entrant et sortant soient symétriques.
Bien que les routes apprises à partir d'un VPN basé sur les routes soient annoncées à d'autres VPN basés sur les routes via BGP, un SDDC annonce ses propres réseaux sur DX, pas ceux appris à partir des VPN. Pour obtenir des informations détaillées sur les limites imposées par AWS sur Direct Connect, notamment les limites des routes annoncées et apprises via BGP, reportez-vous à la section Quotas AWS Direct Connect dans le Guide de l'utilisateur Direct Connect d'AWS.
Conditions préalables
n Vérifiez que vous respectez les conditions préalables pour les interfaces virtuelles décrites dans Conditions préalables pour les interfaces virtuelles.
n Si vous souhaitez utiliser un VPN basé sur les routes comme sauvegarde pour Direct Connect, vous aurez besoin d'un VPN basé sur les routes pouvant être utilisé. Reportez-vous à la section Créer un VPN basé sur les routes.
Procédure
1 Connectez-vous à la console AWS et terminez la procédure de Création d'une interface virtuelle privée hébergée sous Créer une interface virtuelle hébergée.
Si vous utilisez un VIF hébergé, utilisez votre partenaire AWS Direct Connect pour créer le VIF dans le compte indiqué dans le champ ID de compte AWS de la page Direct Connect de l'onglet Mise en réseau et sécurité, puis passez à l'étape Étape 2 de cette procédure. Si vous utilisez une connexion dédiée ou hébergée, effectuez d'abord les étapes suivantes.
a Pour Type d'interface virtuelle, choisissez Privé et choisissez une valeur pour le champ Nom de l'interface virtuelle.
b Pour le champ Propriétaire de l'interface virtuelle, sélectionnez Autre compte AWS, puis utilisez l'ID de compte AWS sur la page Direct Connect de l'onglet Mise en réseau et sécurité.
c Pour VLAN, utilisez la valeur fournie par votre partenaire AWS Direct Connect.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 19
d Pour ASN BGP, utilisez l'ASN du routeur sur site sur lequel cette connexion se termine.
Cette valeur ne doit pas être la même que l'ASN BGP local affiché sur la page Direct Connect de l'onglet Mise en réseau et sécurité.
e Développez Paramètres supplémentaires et faites les choix suivants :
Famille d'adresses Sélectionnez IPV4.
Adresse IP homologue de votre routeur Spécifiez l'adresse IP de l'extrémité sur site de cette connexion (votre routeur) ou laissez ce champ vide pour qu'AWS attribue automatiquement une adresse que vous devrez configurer dans votre routeur.
Adresse IP homologue du routeur Amazon Spécifiez l'adresse IP de l'extrémité AWS de cette connexion ou laissez ce champ vide pour qu'AWS attribue automatiquement une adresse que vous devrez configurer dans votre routeur.
Clé d'authentification BGP Spécifiez une valeur ou laissez ce champ vide pour qu'AWS génère une clé que vous devrez configurer dans votre routeur.
MTU Jumbo (taille de MTU 9001) La valeur MTU par défaut pour tous les réseaux SDDC est de 1 500 octets. Pour activer le trafic DX vers ce VIF privé afin d'utiliser une valeur MTU plus élevée, sélectionnez Activer sous MTU Jumbo (Taille de MTU 9001). Une fois le VIF créé, vous devez également ouvrir la page Configuration globale de l'onglet Mise en réseau et sécurité et définir une valeur de MTU plus élevée dans Liaison montante de l'Intranet, comme décrit dans la section Spécifier la valeur de MTU de Direct Connect. L'activation de cette valeur dans les propriétés de connexion, même si vous n'avez pas l'intention de l'utiliser immédiatement, facilite l'utilisation des trames Jumbo dans les réseaux SDDC lorsque vous en avez besoin.
Une fois l'interface créée, la console AWS signale qu'elle est prête à être acceptée.
2 Dans la Console VMC, sélectionnez Mise en réseau et sécurité > Direct Connect et acceptez l'interface virtuelle en cliquant sur ATTACHER.
Avant d'être accepté, un nouveau VIF est visible dans tous les SDDC de votre organisation. Une fois que vous avez accepté le VIF, il n'est plus visible dans aucun autre SDDC.
L'activation de la session BGP peut prendre jusqu'à 10 minutes. Lorsque la connexion est prête, l'État s'affiche comme Attaché et l'État BGP comme Actif.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 20
3 (Facultatif) Configurer un VPN basé sur les routes comme sauvegarde de Direct Connect.
Dans la configuration par défaut, le trafic sur n'importe quelle route annoncée sur BGP par DX et par un VPN basé sur les routes utilise le VPN par défaut. Pour qu'une route annoncée par DX et VPN utilise DX par défaut et le basculement sur le VPN lorsque DX n'est pas disponible, sélectionnez Mise en réseau et sécurité > Direct Connect, puis définissez le commutateur Préférence DX sur VPN sur Activé.
Note Cette configuration nécessite un VPN basé sur les routes. Vous ne pouvez pas utiliser de VPN basé sur les stratégies comme sauvegarde de Direct Connect. Dans un SDDC membre d'un groupe de SDDC, le trafic sur une route annoncée par le VIF privé DX et la passerelle Passerelle de transit gérée par VMware (VTGW) du groupe est routé sur VTGW.
La mise à jour de votre préférence de routage prend environ une minute. Une fois l'opération terminée, les routes annoncées par DX et VPN utilisent par défaut la connexion DX et recourent au VPN uniquement lorsque DX n'est pas disponible. Les routes équivalentes annoncées par DX et VPN donnent la priorité à la connexion VPN.
Résultats
Une liste des Routes BGP annoncées et des Routes BGP apprises s'affiche lorsque des routes
sont apprises et annoncées. Cliquez sur l'icône Actualiser ( ) pour actualiser ces listes. Tous les sous-réseaux routés dans le SDDC sont annoncés sous forme de routes BGP, avec ce sous-ensemble de sous-réseaux de réseau de gestion :
n Le sous-réseau 1 inclut les routes utilisées par les interfaces de routeur et vmk d'hôte ESXi.
n Le sous-réseau 2 inclut les routes utilisées pour la prise en charge de plusieurs zones de disponibilité et l'intégration d'AWS.
n Le sous-réseau 3 inclut des machines virtuelles de gestion.
Les réseaux déconnectés et étendus ne sont pas annoncés.
Les blocs CIDR réels annoncés dépendent de votre bloc CIDR de sous-réseau de gestion. Le tableau suivant affiche les blocs CIDR de ces routes dans un SDDC qui utilise le CIDR du réseau de gestion par défaut de 10.2.0.0 dans les tailles de bloc /16, /20 et /22.
Tableau 2-1. Routes annoncées pour le CIDR MGW 10.2.0.0 par défaut
CIDR MGW Sous-réseau 1 Sous-réseau 2 Sous-réseau 3
10.2.0.0/23 10.2.0.0/24 10.2.1.0/26 10.2.1.128/25
10.2.0.0/20 10.2.0.0/21 10.2.8.0/23 10.2.12.0/22
10.2.0.0/16 10.2.0.0/17 10.2.128.0/19 10.2.192.0/18
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 21
Étape suivante
Assurez-vous que les interfaces vMotion sont configurées pour utiliser Direct Connect. Reportez-vous à la section Configurer les interfaces vMotion pour les utiliser avec Direct Connect.
Configurer les interfaces vMotion pour les utiliser avec Direct Connect
Si vous utilisez une connexion Direct Connect entre votre centre de données sur site et votre SDDC de cloud, vous devez configurer les interfaces vMotion pour que vos hôtes locaux acheminent le trafic vMotion sur la connexion Direct Connect.
Conditions préalables
Configurez Direct Connect et créez une interface virtuelle privée.
Procédure
1 Sélectionnez l'une des méthodes suivantes pour configurer l'interface vMotion sur chaque hôte dans votre environnement sur site.
Option Description
Remplacer la passerelle par défaut (uniquement pour les hôtes vSphere 7.0)
Pour chaque hôte, modifiez l'adaptateur VMkernel utilisé pour le trafic vMotion et sélectionnez l'option permettant de remplacer la passerelle par défaut. Entrez une adresse IP dans votre sous-réseau vMotion sur site capable d'acheminer du trafic du côté sur site de la connexion Direct Connect. Voir Modifier la configuration d'un adaptateur VMkernel.
Configurez la pile TCP/IP vMotion Pour chaque hôte :
a Supprimez tous les adaptateurs VMkernel vMotion existants.
b Créez un adaptateur VMkernel et sélectionnez la pile TCP/IP vMotion. Voir Placer le trafic vMotion sur la pile TCP/IP vMotion d'un hôte ESXi.
c Modifiez la pile TCP/IP vMotion de hôte pour changer l'acheminement afin d'utiliser une adresse IP de votre sous-réseau vMotion sur site capable d'acheminer le trafic du côté sur site de la connexion à connexion Direct Connect. Voir Modifier la configuration de la pile TCP/IP d'un hôte.
2 (Facultatif) Testez la connectivité entre un hôte sur site et un hôte SDDC de cloud à l'aide de
vmkping.
Consultez https://kb.vmware.com/s/article/1003728 pour plus d'informations.
Configurer Direct Connect sur une interface virtuelle publique pour accéder aux services AWS
Si vos charges de travail sur site doivent accéder à des instances et des services AWS EC2 tels que S3 sur une connexion DX, configurez une interface virtuelle publique pour ce trafic dans votre VPC.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 22
Bien que la gestion de SDDC et le trafic de charge de travail sur DX doivent utiliser un VIF privé ou une passerelle DX, vous pouvez créer une connexion DX à partir de votre centre de données sur site vers un VIF public si vous souhaitez simplement accéder aux services AWS à partir de vos charges de travail sur site ou à des fins nécessitant une connexion au segment principal AWS global.
Conditions préalables
n Vérifiez que vous respectez les conditions préalables pour les interfaces virtuelles décrites dans Conditions préalables pour les interfaces virtuelles.
Procédure
1 Connectez-vous à la console AWS. et suivez les étapes de création d'une interface virtuelle publique hébergée sous Créer une interface virtuelle hébergée.
a Dans le champ Propriétaire de l'interface, sélectionnez Mon compte AWS.
b Spécifiez l'adresse IP homologue de votre routeur et l'adresse IP homologue du routeur Amazon.
c Sélectionnez Générer automatiquement la clé BGP et répertoriez toutes les routes sur site que vous souhaitez annoncer sur le segment principal AWS dans Préfixes que vous souhaitez annoncer.
Une fois l'interface créée, la console AWS signale qu'elle est prête à être acceptée.
2 Dans la Console VMC, sélectionnez Mise en réseau et sécurité > Direct Connect et acceptez l'interface virtuelle en cliquant sur ATTACHER.
Spécifier la valeur de MTU de Direct Connect
La valeur de MTU (unité de transmission maximale) par défaut pour tous les réseaux SDDC est de 1 500 octets. Lorsque vous utilisez Direct Connect, vous pouvez spécifier une valeur de MTU plus élevée pour le trafic qu'il transporte.
Vous pouvez activer DX pour utiliser une valeur de MTU plus élevée lors de la création du VIF. Si vous le faites, vous devrez également ouvrir la page Configuration globale de l'onglet Mise en réseau et sécurité et définir une Valeur de MTU de l'Intranet plus élevée.
Cette valeur de MTU plus élevée (ou Jumbo) s'applique uniquement aux connexions DX sur un VIF privé. Tout VPN, qu'il se connecte ou non sur DX, utilise une valeur de MTU de 1 500, quels que soient les autres paramètres. Vous devez également vérifier que la valeur de MTU de l'interface des machines virtuelles de charge de travail qui utilisent la connexion DX est définie sur une valeur qui correspond à la Valeur de MTU de l'Intranet. Dans le cas contraire, les machines virtuelles de charge de travail ne pourront pas tirer parti de la valeur de MTU la plus élevée.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Cliquez sur Mise en réseau et sécurité > Configuration globale.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 23
3 Sur la page Configuration globale, cliquez sur l'icône en forme de crayon ( ), définissez une valeur de MTU plus élevée dans le champ Liaison montante de l'Intranet, puis cliquez sur ENREGISTRER.
La valeur que vous définissez doit être inférieure ou égale à la valeur de MTU la plus faible pour toutes vos interfaces virtuelles DX. Dans la pratique, cela signifie que vous devez définir tous vos VIF sur la même valeur de MTU (la valeur par défaut de 1 500 ou la valeur Jumbo de 9 001), car les VIF qui ne prennent pas en charge une valeur de MTU Jumbo limitent efficacement toutes les connexions DX à une valeur de MTU de 1 500. L'utilisation de tailles de MTU différentes au sein d'un même réseau peut provoquer une fragmentation des paquets et d'autres problèmes entraînant de mauvaises performances du réseau.
Note Pour libérer de l'espace pour les en-têtes Geneve (Generic Network Virtualization Encapsulation), la valeur de MTU Intranet du SDDC est limitée à 8 900 octets pour éviter la fragmentation des paquets au niveau du VIF.
Configurer une connexion VPN entre votre SDDC et le centre de données sur site
Configurez un VPN pour fournir une connexion sécurisée à votre SDDC sur l'Internet public ou sur AWS Direct Connect. Les VPN IPsec basés sur les routes et sur les stratégies sont pris en charge. L'un des deux types de VPN peut se connecter au SDDC sur Internet. Un VPN basé sur les routes peut également se connecter au SDDC sur AWS Direct Connect.
Vous pouvez également configurer un VPN de couche 2, ce qui peut être particulièrement utile pour la migration de la charge de travail.
Pour plus d'informations sur les VPN IPsec, consultez le Designlet VMware Connectivité d'un SDDC VMware Cloud on AWS avec un VPN IPSec.
n Créer un VPN basé sur les routes
Un VPN basé sur les routes crée une interface de tunnel IPSec et achemine le trafic via celui-ci, comme indiqué par la table de routage du SDDC. Un VPN basé sur les routes fournit un accès sécurisé et fiable à plusieurs sous-réseaux. Si vous utilisez un VPN basé sur les routes, de nouvelles routes sont ajoutées automatiquement lors de la création de nouveaux réseaux.
n Créer un VPN basé sur les stratégies
Un VPN basé sur les stratégies crée un tunnel IPSec et une stratégie qui spécifie la manière dont le trafic l'utilise. Lorsque vous utilisez un VPN basé sur les stratégies, vous devez mettre à jour les tables de routage des deux extrémités du réseau si de nouvelles routes sont ajoutées.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 24
n Configurer un VPN de couche 2 et un segment de réseau étendu
Vous pouvez utiliser un réseau privé virtuel de couche 2 (L2 VPN) VMware Cloud on AWS pour étendre votre réseau sur site à un ou plusieurs réseaux VLAN dans votre SDDC. Ce réseau étendu est un sous-réseau unique avec un domaine de diffusion unique. Vous pouvez l'utiliser pour faire migrer des machines virtuelles vers et depuis votre SDDC de cloud sans avoir à modifier leurs adresses IP.
n Afficher l'état et les statistiques du tunnel VPN
La Console VMC fournit un état et des statistiques pour les VPN IPSec et les segments de VPN L2.
n Référence des paramètres de VPN IPsec
L'extrémité sur site de n'importe quel VPN IPsec doit être configurée pour correspondre aux paramètres que vous avez spécifiés pour l'extrémité SDDC de ce VPN.
Créer un VPN basé sur les routes
Un VPN basé sur les routes crée une interface de tunnel IPSec et achemine le trafic via celui-ci, comme indiqué par la table de routage du SDDC. Un VPN basé sur les routes fournit un accès sécurisé et fiable à plusieurs sous-réseaux. Si vous utilisez un VPN basé sur les routes, de nouvelles routes sont ajoutées automatiquement lors de la création de nouveaux réseaux.
Les VPN basés sur les routes dans votre SDDC VMware Cloud on AWS utilisent un protocole IPSec pour sécuriser le trafic et le protocole BGP (Border Gateway Protocol) pour détecter et propager les routes lors de la création ou la suppression de réseaux. Pour créer un VPN basé sur les routes, vous configurez les informations BGP pour les points de terminaison locaux (SDDC) et distants (sur site), puis vous spécifiez les paramètres de sécurité de tunnel pour l'extrémité SDDC du tunnel.
Important Si votre SDDC inclut un VPN basé sur stratégie et un VPN basé sur route, la connectivité sur le VPN basé sur stratégie échouera si le VPN basé sur route annonce la route par défaut (0.0.0.0/0) au SDDC.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Cliquez sur Mise en réseau et sécurité > VPN > Basé sur les routes.
3 (Facultatif) Modifiez le numéro de système autonome (ASN) local par défaut.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 25
Tous les VPN basés sur les routes dans le SDDC sont définis sur l'ASN 65000 par défaut. L'ASN local doit être différent de l'ASN distant. (iBGP, qui requiert que l'ASN local et l'ASN distant soient identiques, n'est pas pris en charge dans les réseaux SDDC.) Pour modifier l'ASN local par défaut, cliquez sur MODIFIER LE NUMÉRO ASN LOCAL, entrez une nouvelle valeur comprise entre 6 4521 et 65 535, puis cliquez sur APPLIQUER.
Note Toute modification de cette valeur affecte tous les VPN basés sur les routes dans ce SDDC.
4 Cliquez sur AJOUTER UN VPN et donnez un Nom et une Description (facultative) au nouveau VPN.
5 Sélectionnez une adresse IP locale dans le menu déroulant.
n Si ce SDDC est membre d'un groupe de SDDC ou a été configuré pour utiliser AWS Direct Connect, sélectionnez l'adresse IP privée pour que le VPN utilise cette connexion plutôt qu'une connexion sur Internet. Notez que le trafic VPN sur Direct Connect ou Passerelle de transit gérée par VMware (VTGW) est limité au MTU par défaut de 1 500 octets, même si le lien prend en charge un MTU supérieur. Reportez-vous à la section Configurer Direct Connect sur une interface virtuelle privée pour un trafic réseau de gestion et de calcul SDDC.
n Sélectionnez une adresse IP publique si vous souhaitez que le VPN se connecte via Internet.
6 Pour Adresse IP publique distante, entrez l'adresse de votre point de terminaison VPN sur site.
Il s'agit de l'adresse du périphérique qui initie ou répond aux demandes IPsec de ce VPN. Cette adresse doit répondre à la configuration requise suivante :
n Elle ne doit pas être utilisée pour un autre VPN. VMware Cloud on AWS utilise la même adresse IP publique pour toutes les connexions VPN, il n'est donc possible de créer qu'une seule connexion VPN (basée sur les routes, basée sur les stratégies ou L2VPN) sur une adresse IP publique distante donnée.
n Elle doit être accessible via Internet si vous avez spécifié une adresse IP publique dans Étape 5.
n Elle doit être accessible via VTGW ou Direct Connect vers un VIF privé si vous avez spécifié une adresse IP privée dans Étape 5.
Les règles de pare-feu de passerelle par défaut autorisent le trafic entrant et sortant sur la connexion VPN, mais vous devez créer des règles de pare-feu pour gérer le trafic sur le tunnel VPN.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 26
7 Pour Longueur de préfixe/adresse IP locale BGP, entrez une adresse réseau à partir d'un bloc CIDR d'une taille de /30 dans le sous-réseau 169.254.0.0/16.
Certains blocs de cette plage sont réservés, comme indiqué dans Adresses réseau réservées. Si vous ne pouvez pas utiliser un réseau depuis le sous-réseau 169.254.0.0/16 (en raison d'un conflit avec un réseau existant), vous devez créer une règle de pare-feu qui autorise le trafic depuis le service BGP vers le sous-réseau que vous choisissez ici. Reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de calcul.
L'option Longueur de préfixe/adresse IP locale BGP spécifie un sous-réseau local et une adresse IP, de sorte que la valeur que vous entrez doit être la deuxième ou la troisième adresse dans une plage de /30 et inclure le suffixe /30. Par exemple, une valeur de Longueur de préfixe/adresse IP locale BGP de 169.254.32.1/30 crée un réseau 169.254.32.0 et attribue 169.254.32.1 en tant qu'adresse IP BGP locale (également appelée Interface de tunnel virtuel, ou VTI).
8 Pour Adresse IP distante BGP, entrez l'adresse IP restante dans la plage que vous avez spécifiée dans Étape 7.
Par exemple, si vous avez spécifié une Longueur de préfixe/adresse IP locale BGP de 169.254.32.1/30, utilisez 169.254.32.2 pour l'adresse IP distante BGP. Lors de la configuration de l'extrémité sur site de ce VPN, utilisez l'adresse IP indiquée pour l'adresse IP distante BGP comme adresse IP locale BGP ou VTI.
9 Pour ASN du voisin BGP, entrez le numéro ASN de votre passerelle VPN sur site.
10 Configurez Paramètres de tunnel avancés.
Option Description
Chiffrement du tunnel Sélectionnez un chiffrement d'association de sécurité de phase 2 (SA) qui est pris en charge par votre passerelle VPN sur site.
Algorithme de chiffrement de tunnel Sélectionnez un algorithme de chiffrement de phase 2 qui est pris en charge par votre passerelle VPN sur site.
Note Si vous spécifiez un chiffrement basé sur GCM pour le chiffrement du tunnel, définissez Algorithme de chiffrement de tunnel sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM.
PFS (Perfect Forward Secrecy) Activez ou désactivez cette option pour qu'elle corresponde au paramètre de votre passerelle VPN sur site. L'activation de PFS (Perfect Forward Secrecy) empêche le déchiffrement des sessions enregistrées (anciennes) si la clé privée est compromise.
Clé pré-partagée Entrez la chaîne de clé pré-partagée.
La longueur de clé maximale est de 128 caractères. Cette clé doit être identique pour les deux extrémités du tunnel VPN.
Adresse IP privée distante Laissez ce champ vide pour utiliser l'Adresse IP publique distante comme ID distant pour la négociation IKE. Si votre passerelle VPN sur site se trouve derrière un périphérique NAT et/ou utilise une adresse IP différente pour son ID local, vous devez entrer cette adresse IP ici.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 27
Option Description
Chiffrement IKE Sélectionnez un chiffrement de phase 1 (IKE) pris en charge par votre passerelle VPN sur site.
Algorithme Digest IKE Sélectionnez un algorithme de chiffrement de phase 1 qui est pris en charge par votre passerelle VPN sur site. La meilleure pratique consiste à utiliser le même algorithme pour l'algorithme de chiffrement IKE et l'algorithme de chiffrement de tunnel.
Note Si vous spécifiez un chiffrement basé sur GCM pour Chiffrement IKE, définissez l'algorithme de chiffrement IKE sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM. Vous devez utiliser IKE V2 si vous utilisez un chiffrement basé sur GCM .
Type d'IKE n Spécifiez IKE V1 pour lancer et accepter le protocole IKEv1.
n Spécifiez IKE V2 pour lancer et accepter le protocole IKEv2. Vous devez utiliser IKEv2 si vous avez spécifié un Algorithme de chiffrement IKE basé sur GCM.
n Spécifiez IKE FLEX pour accepter IKEv1 ou IKEv2, puis procédez au lancement à l'aide de IKEv2. En cas d'échec du lancement de IKEv2, IKE FLEX ne revient pas à IKEv1.
Diffie Hellman Sélectionnez un groupe Diffie Hellman pris en charge par votre passerelle VPN sur site. Cette valeur doit être identique pour les deux extrémités du tunnel VPN. Les nombres de groupes plus élevés offrent une meilleure protection. La meilleure pratique consiste à sélectionner le groupe 14 ou une valeur supérieure.
Mode d'initialisation de la connexion Le mode d'initialisation de la connexion définit la stratégie utilisée par le point de terminaison local au cours de la création du tunnel. Les modes suivants sont disponibles.
Initiateur
La valeur par défaut. Dans ce mode, le point de terminaison local initie la création du tunnel VPN et répond aux demandes de configuration de tunnel entrantes de la passerelle homologue.
À la demande
S/O pour un VPN basé sur les routes.
Répondre uniquement
Dans ce mode, le VPN ne lance jamais de connexion. Le site homologue lance toujours la demande de connexion et le point de terminaison local répond à cette demande de connexion.
Verrouillage MSS TCP Pour réduire la charge utile de la taille maximale de segment (MSS, Maximum Segment Size) de la session TCP pendant la connexion IPSec, activez le Verrouillage MSS TCP, sélectionnez la valeur de direction MSS TCP et définissez éventuellement la Valeur MSS TCP. Reportez-vous à la section Présentation du verrouillage MSS TCP dans le Guide d'administration de NSX-T Data Center.
11 (Facultatif) Sous Paramètres BGP avancés , entrez un code secret BGP qui correspond à
celui utilisé par la passerelle sur site.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 28
12 (Facultatif) Marquez le VPN.
Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
13 Cliquez sur ENREGISTRER.
Résultats
Le processus de création de VPN peut prendre quelques minutes. Lorsque le VPN basé sur des routes devient disponible, l'état du tunnel et l'état de la session BGP sont affichés. Les actions suivantes sont disponibles pour vous aider à dépanner et à configurer l'extrémité sur site du VPN:
n Cliquez sur TÉLÉCHARGER LA CONFIGURATION pour télécharger un fichier contenant les détails de la configuration du VPN. Vous pouvez utiliser ces détails pour configurer l'extrémité sur site de ce VPN.
n Cliquez sur AFFICHER LES STATISTIQUES pour afficher les statistiques du trafic des paquets pour ce VPN. Reportez-vous à la section Afficher l'état et les statistiques du tunnel VPN.
n Cliquez sur AFFICHER LES ROUTES pour ouvrir un affichage des routes annoncées et apprises par ce VPN.
n Cliquez sur TÉLÉCHARGER LES ROUTES pour télécharger une liste de Routes annoncées ou de Routes apprises au format CSV.
Étape suivante
Créez ou mettez à jour les règles de pare-feu si nécessaire. Pour autoriser le trafic sur le VPN basé sur les routes, spécifiez Interface de tunnel VPN dans le champ Appliqué à. L'option Toutes les liaisons montantes n'inclut pas le tunnel VPN routé.
Créer un VPN basé sur les stratégies
Un VPN basé sur les stratégies crée un tunnel IPSec et une stratégie qui spécifie la manière dont le trafic l'utilise. Lorsque vous utilisez un VPN basé sur les stratégies, vous devez mettre à jour les tables de routage des deux extrémités du réseau si de nouvelles routes sont ajoutées.
Les VPN basés sur les stratégies dans votre SDDC VMware Cloud on AWS utilisent un protocole IPSec pour sécuriser le trafic. Pour créer un VPN basé sur des stratégies, vous configurez le point de terminaison local (SDDC), puis vous configurez un point de terminaison distant (sur site) correspondant. Étant donné que chaque VPN basé sur les stratégies doit créer une nouvelle association de sécurité IPSec pour chaque réseau, un administrateur doit mettre à jour les informations de routage sur site et dans le SDDC chaque fois qu'un nouveau VPN basé sur les stratégies est créé. Un VPN basé sur les stratégies peut être un choix approprié lorsque vous ne disposez que d'un petit nombre de réseaux sur l'une des extrémités du VPN ou si votre matériel réseau sur site ne prend pas en charge BGP (qui est requis pour les VPN basés sur les routes).
Important Si votre SDDC inclut un VPN basé sur stratégie et un VPN basé sur route, la connectivité sur le VPN basé sur stratégie échouera si le VPN basé sur route annonce la route par défaut (0.0.0.0/0) au SDDC.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 29
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Sélectionnez Mise en réseau et sécurité > VPN > Basé sur les stratégies.
3 Cliquez sur AJOUTER UN VPN et donnez un Nom et une Description (facultative) au nouveau VPN.
4 Sélectionnez une adresse IP locale dans le menu déroulant.
n Si ce SDDC est membre d'un groupe de SDDC ou a été configuré pour utiliser AWS Direct Connect, sélectionnez l'adresse IP privée pour que le VPN utilise cette connexion plutôt qu'une connexion sur Internet. Notez que le trafic VPN sur Direct Connect ou Passerelle de transit gérée par VMware (VTGW) est limité au MTU par défaut de 1 500 octets, même si le lien prend en charge un MTU supérieur. Reportez-vous à la section Configurer Direct Connect sur une interface virtuelle privée pour un trafic réseau de gestion et de calcul SDDC.
n Sélectionnez une adresse IP publique si vous souhaitez que le VPN se connecte via Internet.
5 Entrez l'adresse IP publique distante de votre passerelle sur site.
L'adresse ne doit pas être utilisée pour un autre VPN. VMware Cloud on AWS utilise la même adresse IP publique pour toutes les connexions VPN, il n'est donc possible de créer qu'une seule connexion VPN (basée sur les routes, basée sur les stratégies ou L2VPN) sur une adresse IP publique distante donnée. Cette adresse doit être accessible via Internet si vous avez spécifié une adresse IP publique dans Étape 4. Si vous avez spécifié une adresse IP privée, elle doit être accessible via Direct Connect sur un VIF privé. Les règles de pare-feu de passerelle par défaut autorisent le trafic entrant et sortant sur la connexion VPN, mais vous devez créer des règles de pare-feu pour gérer le trafic sur le tunnel VPN.
6 (Facultatif) Si votre passerelle sur site se trouve derrière un périphérique NAT, entrez l'adresse de la passerelle en tant que Adresse IP privée distante.
Cette adresse IP doit correspondre à l'identité locale (ID IKE) envoyée par la passerelle VPN sur site. Si ce champ est vide, le champ Adresse IP publique distante est utilisé pour correspondre à l'identité locale de la passerelle VPN sur site.
7 Spécifiez les Réseaux distants auxquels ce VPN peut se connecter.
Cette liste doit inclure tous les réseaux définis comme locaux par la passerelle VPN sur site.Entrez chaque réseau au format CIDR, en séparant les différents blocs CIDR par des virgules.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 30
8 Spécifiez les Réseaux locaux auxquels ce VPN peut se connecter.
Cette liste inclut tous les réseaux de calcul routés dans le SDDC, ainsi que l'intégralité du réseau de gestion et le sous-réseau du dispositif (un sous-ensemble du réseau de gestion qui inclut vCenter et d'autres dispositifs de gestion, mais pas les hôtes ESXi). Il inclut également le réseau DNS CGW, une adresse IP unique utilisée pour rechercher des demandes transmises par le service DNS CGW.
9 Configurez Paramètres de tunnel avancés.
Option Description
Chiffrement du tunnel Sélectionnez un chiffrement d'association de sécurité de phase 2 (SA) qui est pris en charge par votre passerelle VPN sur site.
Algorithme de chiffrement de tunnel Sélectionnez un algorithme de chiffrement de phase 2 qui est pris en charge par votre passerelle VPN sur site.
Note Si vous spécifiez un chiffrement basé sur GCM pour le chiffrement du tunnel, définissez Algorithme de chiffrement de tunnel sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM.
PFS (Perfect Forward Secrecy) Activez ou désactivez cette option pour qu'elle corresponde au paramètre de votre passerelle VPN sur site. L'activation de PFS (Perfect Forward Secrecy) empêche le déchiffrement des sessions enregistrées (anciennes) si la clé privée est compromise.
Chiffrement IKE Sélectionnez un chiffrement de phase 1 (IKE) pris en charge par votre passerelle VPN sur site.
Algorithme Digest IKE Sélectionnez un algorithme de chiffrement de phase 1 qui est pris en charge par votre passerelle VPN sur site. La meilleure pratique consiste à utiliser le même algorithme pour l'algorithme de chiffrement IKE et l'algorithme de chiffrement de tunnel.
Note Si vous spécifiez un chiffrement basé sur GCM pour Chiffrement IKE, définissez l'algorithme de chiffrement IKE sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM. Vous devez utiliser IKE V2 si vous utilisez un chiffrement basé sur GCM .
Type d'IKE n Spécifiez IKE V1 pour lancer et accepter le protocole IKEv1.
n Spécifiez IKE V2 pour lancer et accepter le protocole IKEv2. Vous devez utiliser IKEv2 si vous avez spécifié un Algorithme de chiffrement IKE basé sur GCM.
n Spécifiez IKE FLEX pour accepter IKEv1 ou IKEv2, puis procédez au lancement à l'aide de IKEv2. En cas d'échec du lancement de IKEv2, IKE FLEX ne revient pas à IKEv1.
Diffie Hellman Sélectionnez un groupe Diffie Hellman pris en charge par votre passerelle VPN sur site. Cette valeur doit être identique pour les deux extrémités du tunnel VPN. Les nombres de groupes plus élevés offrent une meilleure protection. La meilleure pratique consiste à sélectionner le groupe 14 ou une valeur supérieure.
Clé pré-partagée Entrez une clé pré-partagée utilisée par les deux extrémités du tunnel pour vous authentifier sur chacune d'elles.
La chaîne a une longueur maximale de 128 caractères.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 31
Option Description
Mode d'initialisation de la connexion Le mode d'initialisation de la connexion définit la stratégie utilisée par le point de terminaison local au cours de la création du tunnel. Les modes suivants sont disponibles.
Initiateur
La valeur par défaut. Dans ce mode, le point de terminaison local initie la création du tunnel VPN et répond aux demandes de configuration de tunnel entrantes de la passerelle homologue.
À la demande
Dans ce mode, le point de terminaison local initie la création du tunnel VPN après la réception du premier paquet correspondant à la règle de stratégie. Il répond également à la demande d'initiation entrante.
Répondre uniquement
Dans ce mode, le VPN ne lance jamais de connexion. Le site homologue lance toujours la demande de connexion et le point de terminaison local répond à cette demande de connexion.
Verrouillage MSS TCP Pour réduire la charge utile de la taille maximale de segment (MSS, Maximum Segment Size) de la session TCP pendant la connexion IPSec, activez le Verrouillage MSS TCP, sélectionnez la valeur de direction MSS TCP et définissez éventuellement la Valeur MSS TCP. Reportez-vous à la section Présentation du verrouillage MSS TCP dans le Guide d'administration de NSX-T Data Center.
10 (Facultatif) Marquez le VPN.
Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
11 Cliquez sur ENREGISTRER.
Résultats
Le processus de création de VPN peut prendre quelques minutes. Lorsque le VPN basé sur les stratégies devient disponible, les actions suivantes sont disponibles pour vous aider à dépanner et à configurer l'extrémité sur site du VPN :
n Cliquez sur TÉLÉCHARGER LA CONFIGURATION pour télécharger un fichier contenant les détails de la configuration du VPN. Vous pouvez utiliser ces détails pour configurer l'extrémité sur site de ce VPN.
n Cliquez sur AFFICHER LES STATISTIQUES pour afficher les statistiques du trafic des paquets pour ce VPN. Reportez-vous à la section Afficher l'état et les statistiques du tunnel VPN.
Étape suivante
Créez ou mettez à jour les règles de pare-feu si nécessaire. Pour autoriser le trafic sur le VPN basé sur les stratégies, spécifiez Interface Internet dans le champ Appliqué à.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 32
Configurer un VPN de couche 2 et un segment de réseau étendu
Vous pouvez utiliser un réseau privé virtuel de couche 2 (L2 VPN) VMware Cloud on AWS pour étendre votre réseau sur site à un ou plusieurs réseaux VLAN dans votre SDDC. Ce réseau étendu est un sous-réseau unique avec un domaine de diffusion unique. Vous pouvez l'utiliser pour faire migrer des machines virtuelles vers et depuis votre SDDC de cloud sans avoir à modifier leurs adresses IP.
Outre l'utilisation d'un réseau étendu L2 VPN dans le cadre de la migration de centre de données, vous pouvez également l'utiliser pour la récupération d'urgence ou pour un accès dynamique aux ressources Cloud Computing en fonction des besoins (situation souvent décrite comme une « rupture de cloud »).
VMware Cloud on AWS utilise NSX-T pour fournir un serveur L2 VPN dans votre SDDC de cloud. Les fonctions du client L2VPN sont mises en œuvre par un dispositif NSX Edge sur site. Consultez Valeurs maximales de configuration VMware pour connaître les limites L2VPN.
La fonctionnalité L2 VPN VMware Cloud on AWS prend en charge l'extension des réseaux VLAN. La connexion L2 VPN vers le serveur NSX-T utilise un tunnel IPsec. Le réseau étendu L2 VPN est utilisé pour étendre les réseaux de machine virtuelle et transporte uniquement le trafic de la charge de travail. Il est indépendant des réseaux VMkernel utilisés pour le trafic de migration (gestion ESXi ou vMotion), qui utilisent un VPN IPsec ou une connexion Direct Connect distincte.
Important Vous ne pouvez pas créer de tunnel L2 VPN tant que vous n'avez pas configuré le client et le serveur L2 VPN, ni créé de réseau étendu spécifiant l'ID du tunnel attribué au client.
Procédure
1 Configurer un tunnel VPN de couche 2 dans le SDDC
Spécifiez une adresse IP locale (SDDC), une adresse IP publique distante (sur site) et une adresse IP privée distante pour créer l'extrémité SDDC du tunnel VPN de couche 2.
2 Configurer un segment étendu pour le VPN de couche 2
Les réseaux étendus nécessitent un VPN de couche 2 (L2VPN), qui fournit un tunnel de communication sécurisé entre un réseau sur site et un autre dans votre SDDC de cloud.
3 Installer et configurer un dispositif NSX Edge sur site
L'extrémité sur site de votre L2VPN doit être un dispositif NSX Edge. Vous devez configurer ce dispositif ainsi que la mise en réseau vSphere sur site associée avant de pouvoir créer un L2VPN.
Configurer un tunnel VPN de couche 2 dans le SDDC
Spécifiez une adresse IP locale (SDDC), une adresse IP publique distante (sur site) et une adresse IP privée distante pour créer l'extrémité SDDC du tunnel VPN de couche 2.
VMware Cloud on AWS prend en charge un seul tunnel VPN de couche 2 entre votre installation sur site et votre SDDC.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 33
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Sélectionnez Mise en réseau et sécurité > VPN > Couche 2.
3 Cliquez sur AJOUTER UN TUNNEL VPN.
4 Configurez les paramètres de VPN.
Option Description
Adresse IP locale n Sélectionnez l'adresse IP privée si vous avez configuré AWS Direct Connect pour ce SDDC et si vous souhaitez que le VPN l'utilise. Reportez-vous à la section Configurer Direct Connect sur une interface virtuelle privée pour un trafic réseau de gestion et de calcul SDDC.
n Sélectionnez l'adresse IP publique si vous souhaitez que le VPN se connecte au SDDC via Internet.
Adresse IP publique distante Entrez l'adresse IP publique distante de votre passerelle VPN L2 sur site. Pour un VPN L2, il s'agit toujours du dispositif NSX Edge autonome (reportez-vous à la section Installer et configurer un dispositif NSX Edge sur site).
Adresse IP privée distante Entrez l'adresse IP privée distante si la passerelle sur site est configurée derrière NAT.
5 (Facultatif) Marquez le VPN.
Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
6 (Facultatif) Ajoutez une Description.
7 Cliquez sur ENREGISTRER.
Selon votre environnement SDDC, le processus de création VPN de couche 2 peut prendre quelques minutes. Lorsque le tunnel VPN de couche 2 devient disponible, l'état devient Actif.
Configurer un segment étendu pour le VPN de couche 2Les réseaux étendus nécessitent un VPN de couche 2 (L2VPN), qui fournit un tunnel de communication sécurisé entre un réseau sur site et un autre dans votre SDDC de cloud.
Chaque extrémité de ce tunnel dispose d'un ID. Lorsque l'ID de tunnel correspond au SDDC de cloud et au côté sur site du tunnel, les deux réseaux font partie du même domaine de diffusion. Les réseaux étendus utilisent une passerelle sur site en tant que la passerelle par défaut. Les autres services réseau tels que le protocole de configuration dynamique d'hôte et le DNS sont également fournis sur site.
Vous pouvez modifier un réseau logique de routé à étendu ou d'étendu à routé. Par exemple, vous pouvez configurer un réseau logique comme étendu pour permettre la migration de machines virtuelles de votre centre de données sur site vers votre SDDC de cloud. Lorsque la migration est terminée, vous pouvez alors modifier réseau sur routé pour autoriser les machines virtuelles à utiliser les services de mise en réseau VMware Cloud on AWS.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 34
Conditions préalables
Vérifiez qu'un tunnel VPN de couche 2 est disponible. Reportez-vous à la section Configurer un tunnel VPN de couche 2 dans le SDDC.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Suivez la procédure décrite dans Créer ou modifier un segment de réseau pour créer un segment étendu lié à l'ID de tunnel du tunnel L2VPN.
3 Cliquez sur ENREGISTRER.
4 Cliquez sur TÉLÉCHARGER LA CONFIGURATION pour télécharger un fichier contenant le code homologue et d'autres informations dont vous aurez besoin lors de la configuration de la partie sur site de la configuration du VPN côté distant.
5 Configurez le côté client du VPN L2.
Reportez-vous à la section Installer et configurer un dispositif NSX Edge sur site.
Installer et configurer un dispositif NSX Edge sur site
L'extrémité sur site de votre L2VPN doit être un dispositif NSX Edge. Vous devez configurer ce dispositif ainsi que la mise en réseau vSphere sur site associée avant de pouvoir créer un L2VPN.
Si une version compatible de NSX-T est installée dans votre centre de données sur site, vous pouvez utiliser votre dispositif NSX Edge existant en tant que côté sur site (client) d'un L2VPN qui se connecte au SDDC. Si nécessaire, vous pouvez télécharger et déployer un dispositif NSX Edge et le configurer en tant que client L2VPN. Le tableau suivant répertorie les versions compatibles SDDC et sur site. Pour déterminer la version de NSX-T en cours d'exécution dans votre SDDC, reportez-vous à la section Mise en corrélation de VMware Cloud on AWS avec les versions des composants du Guide des opérations de VMware Cloud on AWS.
Tableau 2-2. Interopérabilité L2VPN
Version du serveur L2VPN (SDDC) Version du client L2VPN (dispositif Edge sur site)
3.1.2 3.1.2, 3.1.1, 2.5.3
3.1.1 3.1.1, 3.1.0, 3.0.1
3.1.0 3.1.1, 3.0.1, 3.0.0
3.0.3 3.0.3, 3.0.2, 3.0.1
3.0.2 3.0.2, 3.0.1, 2.5.2
3.0.0 3.0.0, 2.5.0, 2.5.1
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 35
Procédure
1 (Facultatif) Télécharger l'instance autonome de NSX Edge.
Si une version compatible de NSX-T n'est pas installée dans votre centre de données sur site, vous pouvez télécharger et configurer un dispositif Edge autonome qui peut servir de point de terminaison sur site pour votre L2VPN. Sur la page L2VPN, cliquez sur TÉLÉCHARGER LE DISPOSITIF EDGE AUTONOME pour télécharger le dispositif Edge autonome en tant que fichier OVF.
2 Installez et configurez le dispositif Edge autonome.
Pour plus d'informations sur l'installation et la configuration du dispositif Edge autonome dans votre instance de vCenter Server sur site, reportez-vous à Ajouter un dispositif Edge autonome en tant que client VPN L2 dans le Guide d'administration de NSX-T Data Center.
Afficher l'état et les statistiques du tunnel VPN
La Console VMC fournit un état et des statistiques pour les VPN IPSec et les segments de VPN L2.
L'état des opérations de VPN est indiqué sur les pages VPN de l'onglet Mise en réseau et sécurité. Des messages du journal sur les opérations du VPN sont également envoyés à vRealize Log Insight Cloud, un service de module complémentaire SDDC en option. Pour plus d'informations, reportez-vous à la section Utilisation du module complémentaire vRealize Log Insight Cloud et à la documentation sur vRealize Log Insight Cloud.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Cliquez sur Mise en réseau et sécurité > VPN.
3 Cliquez sur VPN BASÉS SUR LES ROUTES, VPN BASÉS SUR LES STRATÉGIES ou VPN DE COUCHE 2 pour répertorier les VPN du type sélectionné.
Effectuez l'une des actions suivantes :
n Cliquez sur l'icône Informations ( ) pour afficher un message d'état qui fournit plus d'informations sur le canal (négociation IKE Phase 1) et l'état du tunnel.
n Développez une ligne VPN pour afficher les détails du VPN, puis cliquez sur AFFICHER LES STATISTIQUES pour afficher les statistiques de trafic. Vous pouvez récupérer un état agrégé et des statistiques agrégées pour tous les tunnels ou pour le tunnel utilisé par le VPN sélectionné (0.0.0.0/0). Lors de l'affichage des statistiques agrégées, vous pouvez cliquer sur Afficher plus dans la colonne Statistiques pour afficher la liste des statistiques d'erreur.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 36
n Cliquez sur l'icône Actualisation ( ) pour actualiser les statistiques du tunnel. Toutes les statistiques VPN sont réinitialisées à 0 lorsque le tunnel est désactivé ou réactivé.
Étape suivante
Pour plus d'informations sur la résolution des problèmes de connexion VPN, reportez-vous à la section Dépannage des réseaux privés virtuels (VPN) dans la documentation NSX Data Center for vSphere et également dans le Guide de dépannage de NSX-T Data Center.
Référence des paramètres de VPN IPsec
L'extrémité sur site de n'importe quel VPN IPsec doit être configurée pour correspondre aux paramètres que vous avez spécifiés pour l'extrémité SDDC de ce VPN.
Les informations des tableaux ci-dessous résument les paramètres de VPN IPsec SDDC disponibles. Certains paramètres peuvent être configurés. D'autres sont statiques. Utilisez ces informations pour vérifier que votre solution VPN sur site peut être configurée pour correspondre à celle de votre SDDC. Choisissez une solution VPN sur site qui prend en charge tous les paramètres statiques et les paramètres configurables répertoriés dans ces tableaux.
Comprendre comment les groupes Diffie-Hellman affectent les performances et la sécurité du VPN IPsec
La configuration de VPN IPsec nécessite de choisir un groupe Diffie-Hellman (DH), qui est utilisé dans les deux phases de la négociation IKE pour communiquer en toute sécurité des clés privées entre les points de terminaison sur un chemin non approuvé. Les groupes DH 19-21 représentent une augmentation significative de la sécurité par rapport aux groupes 14-16 et consomment moins de ressources lors du chiffrement. Le guide Guide to IPsec VPNs (PDF) de NIST fournit plus de détails sur ces derniers et d'autres choix de configuration VPN IPsec.
Note Les groupes DH 2 et 5 ne sont pas approuvés par NIST et ne doivent être utilisés que lorsque cela est nécessaire à des fins de compatibilité.
Il est recommandé de configurer les paramètres pour les deux phases.
Paramètres de VPN IPsec de phase 1 (tunnel)
Tableau 2-3. Paramètres configurables
Attribut Valeurs autorisées Valeur recommandée
Protocole IKEv1, IKEv2, IKE FLEX IKEv2
Algorithme de chiffrement AES (128, 256), AES-GCM (128, 192, 256)
AES GCM
Le chiffrement avec des profondeurs de bits plus élevées est plus difficile à craquer, mais crée une charge supplémentaire sur votre terminal de point de terminaison.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 37
Tableau 2-3. Paramètres configurables (suite)
Attribut Valeurs autorisées Valeur recommandée
Tunnel/Algorithme IKE Digest SHA-1, SHA-2 Si vous spécifiez un chiffrement basé sur GCM pour Chiffrement IKE, définissez l'algorithme de chiffrement IKE sur Aucun. La fonction de chiffrement est intégrée au chiffrement GCM. Vous devez utiliser IKE V2 si vous utilisez un chiffrement basé sur GCM
Diffie Hellman Groupes DH 2, 5, 14-16, 19-21 Groupes DH 19-21 ou 14-16
Tableau 2-4. Paramètres statiques
Attribut Valeur
Mode ISAKMP Mode principal (désactiver le mode agressif)
Durée de vie ISAKMP/IKE SA 86 400 secondes (24 heures)
Mode IPsec Tunnel
Authentification IKE Clé prépartagée
Paramètres de VPN IPsec de phase 2 (IKE)
Tableau 2-5. Paramètres configurables
Attribut Valeurs autorisées Valeur recommandée
Algorithme de chiffrement AES-256, AES-GCM, AES AES-GCM
PFS (Perfect Forward Secrecy) Activé, désactivé Activé
Diffie Hellman Groupes DH 2, 5, 14-16, 19-21 Groupes DH 19-21 ou 14-16
Tableau 2-6. Paramètres statiques
Attribut Valeur
Mode tunnel Protocole ESP (Encapsulating Security Payload)
Durée de vie SA 3 600 secondes (une heure)
Configuration de VPN IPsec sur site
Cliquez sur TÉLÉCHARGER LA CONFIGURATION sur la page d'état de n'importe quel VPN pour télécharger un fichier contenant les détails de la configuration VPN. Vous pouvez utiliser ces détails pour configurer l'extrémité sur site du VPN.
Note Ne configurez pas le côté sur site du VPN afin d'avoir un délai d'inactivité (par exemple, le paramètre NSX Délai d'inactivité de session). Les délais d'inactivité sur site peuvent ponctuellement provoquer la déconnexion du VPN.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 38
L'article VMware Tech Zone Référence de configuration de VPN IPSec fournit des conseils détaillés sur la configuration du point de terminaison et des exemples de fichiers de configuration pour plusieurs périphériques de point de terminaison populaires sont disponibles sur VMware {code}.
n Pare-feu Palo Alto Networks
Configurer la mise en réseau et la sécurité de la passerelle de gestion
Le réseau de gestion et la passerelle de gestion sont largement préconfigurés dans votre SDDC, mais vous devrez malgré tout configurer l'accès aux services réseau de gestion tels que vCenter et HCX et créer des règles de pare-feu de passerelle de gestion pour autoriser le trafic entre le réseau de gestion et les autres réseaux, y compris vos réseaux sur site et d'autres réseaux de SDDC.
Procédure
1 Définir l'adresse de résolution de nom de domaine complet de vCenter Server
Vous pouvez vous connecter à l'instance de vCenter Server du SDDC sur une adresse IP publique ou privée. Une adresse IP privée peut être résolue à partir d'un VPN SDDC. Une adresse IP publique peut être résolue à partir d'Internet.
2 Définir l'adresse de résolution du nom de domaine complet de HCX
Vous pouvez vous connecter à HCX sur une adresse IP publique ou privée. Une adresse IP privée peut être résolue à partir d'un VPN SDDC. Une adresse IP publique peut être résolue à partir d'Internet.
3 Ajouter ou modifier des règles de pare-feu de passerelle de gestion
Il est essentiel de maintenir la sécurité de votre infrastructure de gestion du SDDC. Par défaut, la passerelle de gestion bloque le trafic vers toutes les destinations du réseau de gestion à partir de toutes les sources. Vous devez ajouter des règles de pare-feu de passerelle de gestion pour autoriser le trafic sécurisé à partir de sources fiables.
Définir l'adresse de résolution de nom de domaine complet de vCenter Server
Vous pouvez vous connecter à l'instance de vCenter Server du SDDC sur une adresse IP publique ou privée. Une adresse IP privée peut être résolue à partir d'un VPN SDDC. Une adresse IP publique peut être résolue à partir d'Internet.
Conditions préalables
Avant de pouvoir accéder à l'instance de vCenter Server du SDDC sur une adresse IP privée, vous devez configurer un VPN qui connecte votre SDDC à votre centre de données sur site. Reportez-vous à la section Créer un VPN basé sur les routes ou Créer un VPN basé sur les stratégies.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 39
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Accédez à l'onglet Paramètres de votre SDDC.
3 Développez Nom de domaine complet vCenter, puis cliquez sur Modifier.
4 Sous Adresse de résolution, sélectionnez l'adresse IP publique ou l'adresse IP privée et cliquez sur ENREGISTRER.
Définir l'adresse de résolution du nom de domaine complet de HCX
Vous pouvez vous connecter à HCX sur une adresse IP publique ou privée. Une adresse IP privée peut être résolue à partir d'un VPN SDDC. Une adresse IP publique peut être résolue à partir d'Internet.
Conditions préalables
Avant de pouvoir accéder à HCX sur une adresse IP privée, vous devez configurer un VPN qui connecte votre SDDC à votre centre de données sur site. Reportez-vous à la section Créer un VPN basé sur les routes ou Créer un VPN basé sur les stratégies.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Accédez à l'onglet Paramètres de votre SDDC.
3 Développez Nom de domaine complet HCX, puis cliquez sur Modifier.
4 Sous Adresse de résolution, sélectionnez l'adresse IP publique ou l'adresse IP privée et cliquez sur ENREGISTRER.
Ajouter ou modifier des règles de pare-feu de passerelle de gestion
Il est essentiel de maintenir la sécurité de votre infrastructure de gestion du SDDC. Par défaut, la passerelle de gestion bloque le trafic vers toutes les destinations du réseau de gestion à partir de toutes les sources. Vous devez ajouter des règles de pare-feu de passerelle de gestion pour autoriser le trafic sécurisé à partir de sources fiables.
Lors de la configuration de l'accès à l'infrastructure de gestion du SDDC, il est essentiel d'évaluer les options de connectivité disponibles, de configurer celles dont vous avez besoin et de créer des règles de pare-feu de passerelle de gestion qui empêchent tout accès non autorisé au réseau de gestion SDDC.
n Configurer AWS Direct Connect entre votre SDDC et le centre de données sur site
Cette option fournit une connectivité dédiée entre votre entreprise et le SDDC, et peut être utilisée avec un VPN IPsec pour chiffrer le trafic.
n Configurer une connexion VPN entre votre SDDC et le centre de données sur site
Cette option fournit une connectivité chiffrée entre votre entreprise et le SDDC.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 40
n Si vous ne pouvez pas utiliser Direct Connect ou un VPN, vous pouvez accéder au réseau de gestion SDDC sur l'Internet public et vous reposer sur des règles de pare-feu de passerelle de gestion pour empêcher l'accès par des sources non fiables. Cette option peut convenir à certains cas d'utilisation, mais elle est par nature moins sécurisée que les autres.
Les règles de pare-feu de la passerelle de gestion définissent les actions à effectuer sur le trafic réseau depuis une source spécifiée vers une destination spécifiée. La source ou la destination doit être un groupe d’inventaire défini par le système. Consultez Ajouter un groupe de gestion pour plus d'informations sur l'affichage ou la modification des groupes d'inventaire.
Important Si vous devez accéder à la passerelle de gestion sur l'Internet public, il est essentiel de configurer une règle de pare-feu de passerelle de gestion qui autorise uniquement le trafic à partir d'adresses IP que vous possédez ou auxquelles vous faites confiance. Par exemple, une entreprise qui accède à Internet à partir d'une adresse dans le bloc CIDR 93.184.216.34/30 doit créer une règle de pare-feu de passerelle de gestion qui autorise uniquement le trafic avec un CIDR de Sources 93.184.216.34/30 pour accéder aux systèmes de gestion, notamment vCenter Server, ESXi et NSX-T. Ne configurez jamais une règle de pare-feu de passerelle de gestion pour autoriser le trafic provenant d'une adresse Tout. Consultez l'article 84154 de la base de connaissances VMware pour plus d'informations sur la fourniture d'un accès sécurisé à votre infrastructure de gestion SDDC.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Dans l'onglet Mise en réseau et sécurité, cliquez sur Pare-feu de la passerelle.
3 Sur la carte Pare-feu de passerelle, cliquez sur Passerelle de gestion, puis cliquez sur AJOUTER UNE RÈGLE et donnez un Nom à la nouvelle règle.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 41
4 Entrez les paramètres de la nouvelle règle.
Les paramètres sont initialisés à leurs valeurs par défaut (par exemple, Toutes pour les Sources et les Destinations). Pour modifier un paramètre, déplacez le curseur de la souris sur
la valeur du paramètre et cliquez sur l'icône en forme de crayon ( ) pour ouvrir un éditeur spécifique au paramètre.
Option Description
Sources Sélectionnez Tous pour autoriser le trafic à partir de n'importe quelle adresse ou plage d'adresses source.
Important Bien que vous puissiez sélectionner Tout comme adresse source dans une règle de pare-feu, l'utilisation de Tout comme adresse source dans cette règle de pare-feu peut permettre des attaques sur votre instance de vCenter Server et peut compromettre votre SDDC. Il est préférable de configurer cette règle de pare-feu pour autoriser l'accès uniquement à partir d'adresses sources fiables. Reportez-vous à l'article 84154 de la base de connaissances VMware.
Sélectionnez Groupes définis par le système et sélectionnez l'une des options de source suivantes :
n ESXi pour autoriser le trafic depuis les hôtes ESXi de votre SDDC.
n NSX Manager pour autoriser le trafic depuis le dispositif de gestion NSX-T de votre SDDC.
n vCenter pour autoriser le trafic provenant de votre SDDCvCenter Server.
Sélectionnez Groupes définis par l'utilisateur pour utiliser un groupe de gestion que vous avez défini. Reportez-vous à la section Ajouter un groupe de gestion.
Destinations Sélectionnez Tous pour autoriser le trafic vers n'importe quelle adresse ou plage d'adresses de destination.
Sélectionnez Groupes définis par système et sélectionnez l'une des options de destination suivantes :
n ESXi pour autoriser le trafic vers la gestion ESXi de votre SDDC.
n NSX Manager pour autoriser le trafic vers NSX-T de votre SDDC.
n vCenter pour autoriser le trafic vers votre SDDCvCenter Server.
Services Sélectionnez les types de services auxquels la règle s'applique. La liste des types de services dépend de vos choix pour les Sources et les Destinations.
Action La seule action disponible pour la nouvelle règle de pare-feu d'une passerelle de gestion est Autoriser.
La nouvelle règle est activée par défaut. Faites glisser le bouton bascule vers la gauche pour la désactiver.
5 Cliquez sur PUBLIER pour créer la règle.
Le système attribue à la nouvelle règle une valeur entière ID, qui est utilisée dans les entrées de journal générées par la règle.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 42
Les règles de pare-feu sont appliquées de haut en bas. Étant donné qu'il y existe une règle Abandonner par défaut en bas et que les règles du dessus sont toujours des règles Autoriser, l'ordre des règles de pare-feu de passerelle de gestion n'a aucun impact sur le flux de trafic.
Exemple : Créer une règle de pare-feu de passerelle de gestion
Pour créer une règle de pare-feu de passerelle de gestion qui active le trafic vMotion des hôtes ESXi sur site vers les hôtes ESXi dans le SDDC :
1 Créez un groupe d'inventaire de gestion contenant les hôtes ESXi sur site que vous souhaitez activer pour vMotion sur le SDDC.
2 Créez une règle de passerelle de gestion avec des hôtes ESXi sources et des hôtes ESXi sur site de destination.
3 Créez une autre règle de passerelle de gestion avec un groupe d'hôtes ESXi sur site source et un hôte ESXi de destination avec un service vMotion.
Étape suivante
Vous pouvez effectuer n'importe laquelle ou la totalité de ces actions facultatives avec une règle de pare-feu existante.
n Cliquez sur l'icône d'engrenage pour afficher ou modifier les paramètres de journalisation de la règle. Les entrées du journal sont envoyées au service VMware vRealize Log Insight Cloud. Reportez-vous à Utilisation de vRealize Log Insight Cloud dans Guide des opérations de VMware Cloud on AWS.
n Cliquez sur l'icône de graphique pour afficher les statistiques d'accès et de flux pour la règle.
Tableau 2-7. Statistiques d'accès à la règle
Index de popularité Nombre de déclenchements de la règle au cours des dernières 24 heures.
Nombre d'accès Nombre de fois où la règle a été déclenchée depuis sa création.
Tableau 2-8. Statistiques de flux
Nombre de paquets Flux total de paquets via cette règle.
Nombre d'octets Flux total d'octets via cette règle.
Les statistiques commencent à s'accumuler dès l'activation de la règle.
Exemples de règles de pare-feu de passerelle de gestion
Certaines configurations courantes des règles de pare-feu incluent l'ouverture de l'accès à vSphere Client depuis Internet, l'accès à vCenter Server via le tunnel VPN de gestion et l'accès à la console distante.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 43
Règles de pare-feu couramment utilisées
Le tableau suivant montre les paramètres Service, Source et Destination pour les règles de pare-feu couramment utilisées.
Tableau 2-9. Règles de pare-feu couramment utilisées
Cas d'utilisation Service Source Destination
Fournir un accès à vCenter Server à partir d'Internet.
Utilisation pour l'accès général à vSphere Client ainsi que pour la surveillance de vCenter Server
HTTPS Une adresse IP ou un bloc CIDR à partir d'un centre de données sur site
Important Bien que vous puissiez sélectionner Tout comme adresse source dans une règle de pare-feu, l'utilisation de Tout comme adresse source dans cette règle de pare-feu peut permettre des attaques sur votre instance de vCenter Server et peut compromettre votre SDDC. Il est préférable de configurer cette règle de pare-feu pour autoriser l'accès uniquement à partir d'adresses sources fiables. Reportez-vous à l'article 84154 de la base de connaissances VMware.
vCenter
Permettre l'accès à vCenter Server par le tunnel VPN.
Requis pour Passerelle de gestion VPN, Mode lié hybride, la Bibliothèque de contenu.
HTTPS Une adresse IP ou un bloc CIDR à partir d'un centre de données sur site
vCenter
Fournir un accès à partir du cloud vCenter Server aux services sur site tels qu'Active Directory, Platform Services Controller et Content Library.
Tous vCenter Une adresse IP ou un bloc CIDR à partir d'un centre de données sur site.
Les opérations de provisionnement impliquant le trafic de copie de fichiers réseau, telles que la migration à froid, le clonage à partir de machines virtuelles sur site, la migration de snapshot, la réplication, etc.
Provisionnement Une adresse IP ou un bloc CIDR, public ou depuis un centre de données sur site connectés par un tunnel VPN
ESXi Gestion
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 44
Tableau 2-9. Règles de pare-feu couramment utilisées (suite)
Cas d'utilisation Service Source Destination
Accès de console distante VMRC
Requis pour vRealize Automation
Console distante Une adresse IP ou un bloc CIDR, public ou depuis un centre de données sur site connectés par un tunnel VPN
ESXi Gestion
Trafic vMotion sur VPN. Tous ESXi Gestion Une adresse IP ou un bloc CIDR à partir d'un centre de données sur site
Configurer la mise en réseau et la sécurité de la passerelle de calcul
La mise en réseau de la passerelle de calcul inclut un réseau de calcul avec un ou plusieurs segments, ainsi que les configurations DNS, DHCP et de sécurité (pare-feu de passerelle et pare-feu distribué) qui gèrent le trafic réseau pour les machines virtuelles de charge de travail. Elle peut également inclure un VPN de couche 2 et un réseau étendu qui fournit un domaine de diffusion unique qui couvre votre réseau sur site et votre réseau de charge de travail de SDDC.
Procédure
1 Créer ou modifier un segment de réseau
Les segments de réseau sont des réseaux logiques utilisables par les machines virtuelles de charge de travail dans le réseau de calcul du SDDC.
2 Ajouter ou modifier des règles de pare-feu de passerelle de calcul
Par défaut, la passerelle de calcul bloque le trafic vers toutes les liaisons montantes. Ajoutez des règles de pare-feu de passerelle de calcul pour autoriser le trafic si nécessaire.
3 Ajouter ou modifier des règles de pare-feu distribué
Les règles de pare-feu distribué s'appliquent au niveau de la machine virtuelle (vNIC) et contrôlent le trafic est-ouest dans le SDDC.
4 Configuration des services DNS
Les services de transfert DNS de VMware Cloud on AWS s'exécutent dans des zones DNS et permettent aux machines virtuelles de charge de travail dans la zone de résoudre les noms de domaine complets en adresses IP.
5 Afficher les routes apprises et annoncées sur VMware Transit Connect
Dans un SDDC qui est membre d'un groupe de SDDC, vous pouvez utiliser l'outil Mise en réseau et sécurité Transit Connect pour afficher les routes apprises et annoncées par ce SDDC dans le réseau VMware Transit Connect créé pour le groupe.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 45
Créer ou modifier un segment de réseau
Les segments de réseau sont des réseaux logiques utilisables par les machines virtuelles de charge de travail dans le réseau de calcul du SDDC.
VMware Cloud on AWS prend en charge trois types de segments de réseaux : routé, étendu et déconnecté.
n Un segment de réseau routé (type par défaut) dispose d'une connectivité à d'autres réseaux logiques dans le SDDC et, via le pare-feu SDDC, à des réseaux externes.
n Un segment de réseau étendu étend un tunnel L2VPN existant, en fournissant un espace d'adresse IP unique qui couvre le SDDC et un réseau sur site.
n Un segment de réseau déconnecté n'a pas de liaison montante et fournit un réseau isolé accessible uniquement aux machines virtuelles qui y sont connectées. Les segments déconnectés sont créés lorsque cela est requis par HCX (reportez-vous à la section Démarrage avec VMware HCX). Vous pouvez également les créer vous-même et les convertir en d'autres types de segments.
Reportez-vous à Valeurs maximales de configuration VMware pour connaître les limitations des segments par SDDC et les connexions réseau par segment.
Un SDDC de démarrage à hôte unique est créé avec un seul segment de réseau routé nommé sddc-cgw-network-1. Les SDDC à hôtes multiples sont créés sans segment de réseau par défaut, vous devez donc en créer au moins un pour vos machines virtuelles de charge de travail. Lorsque vous créez un segment, vous commencez par configurer des paramètres de base et par spécifier la façon dont les demandes DHCP sont gérées sur ce segment. Une fois le segment créé, vous pouvez effectuer des étapes facultatives supplémentaires pour spécifier un profil de segment et créer des liaisons statiques DHCP.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Cliquez sur Mise en réseau et sécurité > Segments.
Pour créer un segment, cliquez sur AJOUTER UN SEGMENT et attribuez un Nom et une Description (facultative) au nouveau segment.
Pour supprimer ou modifier un segment, cliquez sur son bouton de sélection et sélectionnez Modifier. Vous pouvez modifier toutes les propriétés du segment, y compris le type du segment. Vous pouvez également modifier ou supprimer la configuration DHCP du segment.
Important Vous ne pouvez pas désactiver ou supprimer un segment de n'importe quel type si des machines virtuelles ou des VIF y sont attachés. Déconnectez les machines virtuelles et les VIF attachés avant de supprimer le segment.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 46
3 Spécifiez un Type de segment et renseignez les paramètres de configuration requis.
Les exigences des paramètres dépendent du type de segment
Tableau 2-10. Paramètres de configuration des segments acheminés
Paramètre Valeur
ID de tunnel VPN S/O pour les types de segments Routé ou Déconnecté.
Sous-réseaux Spécifiez un bloc CIDR IPv4 pour le segment. Le bloc ne doit pas chevaucher votre réseau de gestion, l'une des horloges CIDR répertoriées dans Adresses réseau réservées ou l'un des sous-réseaux de votre VPC Amazon connecté. Si une partie du bloc se trouve dans un espace IP public, il doit être alloué à votre utilisation par IANA ou un autre registre Internet régional.
DÉFINIR LA CONFIGURATION DHCP Segments routés par défaut pour utiliser le serveur DHCP de la passerelle de calcul. La configuration DHCP par segment, y compris le relais DHCP, peut être spécifiée lorsque vous créez ou mettez à jour le segment. Reportez-vous à la section Configurer les propriétés DHCP par segment.
Nom de domaine (Facultatif) Entrez un nom de domaine complet. Les liaisons statiques sur le segment héritent automatiquement de ce nom de domaine.
Balises Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
Tableau 2-11. Paramètres de configuration des segments étendus
Paramètre Valeur
ID de tunnel VPN Spécifiez l'ID de tunnel d'un tunnel de VPN L2 existant. S/O pour les types de segments Routé ou Déconnecté. Si vous n'avez pas déjà créé un VPN L2, reportez-vous à la section Configurer un tunnel VPN de couche 2 dans le SDDC.
Sous-réseaux S/O pour les segments étendus.
Nom de domaine (Facultatif) Entrez un nom de domaine complet. Les liaisons statiques sur le segment héritent automatiquement de ce nom de domaine.
Balises Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 47
Tableau 2-12. Paramètres de configuration des segments déconnectés
Paramètre Valeur
ID de tunnel VPN S/O pour les types de segments Routé ou Déconnecté.
Sous-réseaux Spécifiez un bloc CIDR IPv4 pour le segment. Le bloc ne doit pas chevaucher votre réseau de gestion, l'une des horloges CIDR répertoriées dans Adresses réseau réservées ou l'un des sous-réseaux de votre VPC Amazon connecté. Si une partie du bloc se trouve dans un espace IP public, il doit être alloué à votre utilisation par IANA ou un autre registre Internet régional.
Nom de domaine (Facultatif) Entrez un nom de domaine complet. Les liaisons statiques sur le segment héritent automatiquement de ce nom de domaine.
Balises Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
4 Cliquez sur ENREGISTRER pour créer ou mettre à jour le segment.
Cliquez sur OUI si vous souhaitez continuer avec la configuration du segment. Si vous cliquez sur NON, vous pourrez modifier le segment ultérieurement si nécessaire.
Le système crée le segment demandé. Cette opération peut durer jusqu'à 15 secondes. Lorsque l'État du segment passe sur Activé, le segment est prêt à être utilisé. Si l'État du
segment est Désactivé, vous pouvez cliquer sur l'icône d'informations pour obtenir plus d'informations sur la cause du problème.
5 (Facultatif) Cliquez sur PROFILS DE SEGMENT pour afficher les profils de segment pour ce segment.
Les profils de segment spécifient les détails de configuration de la mise en réseau de couche 2 pour les segments et les ports de segment. Un ensemble de profils de segment par défaut est appliqué à chaque nouveau segment. Les profils de segment sont en lecture seule pour VMware Cloud on AWS.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 48
6 (Facultatif) Configurez les LIAISONS STATIQUES DHCP.
a Cliquez sur Définir pour spécifier des liaisons statiques pour les machines virtuelles sur ce segment.
Cliquez sur AJOUTER UNE LIAISON STATIQUE IPV4, puis donnez à la liaison un Nom et spécifiez une adresse IPv4 incluse dans le segment et une adresse MAC. Lorsqu'une machine virtuelle avec l'adresse MAC spécifiée est mise sous tension et connectée au segment, elle reçoit l'adresse spécifiée. Cliquez sur ENREGISTRER pour créer la liaison, puis ajoutez une autre liaison ou cliquez sur APPLIQUER pour appliquer les liaisons statiques spécifiées au segment.
b Cliquez sur Options DHCP pour spécifier les routes statiques sans classe DHCP (option 121) et les options génériques.
n Chaque option de route statique sans classe dans DHCP pour IPv4 peut avoir plusieurs routes avec la même destination. Chaque route inclut un sous-réseau de destination, un masque de sous-réseau et le routeur du tronçon suivant. Reportez-vous à la section RFC 3442 pour plus d'informations sur les routes statiques sans classe dans DHCPv4. Vous pouvez ajouter un maximum de 127 routes statiques sans classe sur un serveur DHCPv4.
n Pour ajouter des options génériques, sélectionnez le code de l'option et entrez une valeur pour l'option. Pour les valeurs binaires, la valeur doit être codée au format de base 64.
Étape suivante
Après la création d'un segment et l'affichage de son état Réussite, vous pouvez cliquer sur AFFICHER LES STATISTIQUES pour afficher les statistiques du trafic réseau vers et depuis le segment. Vous pouvez cliquer sur AFFICHER LES GROUPES ASSOCIÉS pour afficher la liste des groupes qui incluent ce segment. Pour plus d'informations sur l'utilisation des groupes dans NSX-T, reportez-vous à la section Ajouter un groupe dans le Guide d'administration de NSX-T Data Center.
Configurer les propriétés DHCP par segment
La configuration DHCP est une propriété propre à chaque segment. Dans la configuration par défaut, le serveur DHCP de la passerelle de calcul gère les demandes DHCP des machines virtuelles sur tous les segments routés. Si vous disposez d'un serveur DHCP externe qui gère des adresses IP sur vos réseaux de charge de travail, vous pouvez configurer le segment pour qu'il utilise un relai DHCP. Vous pouvez également configurer le segment pour qu'il utilise son propre serveur DHCP local.
La configuration DHCP par segment fait partie du document de workflow de création ou de mise à jour du segment dans Créer ou modifier un segment de réseau.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 49
2 Cliquez sur Mise en réseau et sécurité > Segments.
Pour modifier la configuration DHCP d'un segment existant, cliquez sur son bouton de sélection et choisissez Modifier, puis MODIFIER LA CONFIGURATION DHCP.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 50
3 Choisissez un Type DHCP et spécifiez les détails de la configuration.
Les détails de la configuration dépendent du type DHCP. Pour spécifier les Paramètres, basculez l'option Configuration DHCP sur Activée.
Type de DHCP Description
Serveur DHCP local Sélectionnez cette option pour créer un serveur DHCP local ayant une adresse IP sur le segment.
Comme le nom le suggère, il s'agit d'un serveur DHCP qui est local pour le segment et qui n'est pas disponible pour les autres segments du réseau. Un serveur DHCP local fournit un service d'attribution d'adresse IP dynamique uniquement aux machines virtuelles qui sont attachées au segment.
Vous pouvez configurer tous les paramètres de protocole de configuration dynamique d'hôte, y compris les plages de DHCP, les options de DHCP et les liaisons statiques sur le segment.
Pour les segments déconnectés, ce type est sélectionné par défaut.
Relais DHCP Sélectionnez cette option pour relayer les demandes du client DHCP vers les serveurs DHCP externes. Les serveurs DHCP externes peuvent se trouver dans n'importe quel sous-réseau, en dehors du SDDC ou dans le réseau physique.
Le service de relais DHCP est local pour le segment et n'est pas disponible pour les autres segments du réseau.
Serveur DHCP de passerelle Ce type de DHCP est analogue à un service DHCP central qui attribue dynamiquement l'adresse IP et d'autres configurations réseau aux machines virtuelles sur tous les segments qui sont connectés à la passerelle et qui utilisent le protocole DHCP de la passerelle. En fonction du type de profil DHCP que vous attachez à la passerelle, vous pouvez configurer un serveur DHCP de passerelle ou un relais DHCP de passerelle sur le segment.
Par défaut, les segments connectés à une passerelle de niveau 1 ou de niveau 0 utilisent le DHCP de la passerelle. Le cas échéant, vous pouvez choisir de configurer un serveur DHCP local ou un relais DHCP sur le segment.
Pour configurer un protocole de configuration dynamique d'hôte de passerelle sur un segment, un profil DHCP doit être attaché à la passerelle. Reportez-vous à la section Créer ou modifier un profil DHCP.
a Activez les paramètres de configuration DHCP sur le sous-réseau en cliquant sur le
bouton bascule Configuration DHCP.
b Dans la zone de texte Adresse du serveur DHCP , entrez les adresses IP.
n Si vous configurez un serveur DHCP local, l'adresse IP du serveur est requise. Deux adresses IP de serveur au maximum sont prises en charge. Une adresse IPv4 et une adresse IPv6. Pour une adresse IPv4, la longueur du préfixe doit être <= 30, alors que pour une adresse IPv6, la longueur du préfixe doit être <= 126. Les adresses IP du serveur doivent appartenir aux sous-réseaux que vous avez spécifiés dans ce segment. L'adresse IP du serveur DHCP ne doit pas chevaucher les adresses IP dans les plages du DHCP et la liaison statique DHCP. Le profil du serveur DHCP peut contenir des adresses IP de serveur, mais celles-ci sont ignorées lorsque vous configurez un serveur DHCP local sur le segment.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 51
Après la création d'un serveur DHCP local, vous pouvez modifier les adresses IP du serveur sur la page Définir la configuration DHCP. Toutefois, les nouvelles adresses IP doivent appartenir au même sous-réseau que celui configuré dans le segment.
n Si vous configurez un relais DHCP, cette étape ne s'applique pas. Les adresses IP du serveur sont automatiquement récupérées depuis le profil du relais DHCP et affichées sous le nom du profil.
n Si vous configurez un serveur DHCP de passerelle, cette zone de texte n'est pas modifiable. Les adresses IP du serveur sont récupérées automatiquement à partir du profil DHCP attaché à la passerelle connectée.
N'oubliez pas que les adresses IP du serveur DHCP de passerelle dans le profil de serveur DHCP peuvent être différentes du sous-réseau configuré dans le segment. Dans ce cas, le serveur DHCP de passerelle se connecte au sous-réseau IPv4 du segment via un service de relais interne qui est créé automatiquement lors de la création du serveur DHCP de passerelle. Le service de relais interne utilise une adresse IP du sous-réseau de l'adresse IP du serveur DHCP de passerelle. L'adresse IP utilisée par le service de relais interne agit comme une passerelle par défaut sur le serveur DHCP de passerelle pour communiquer avec le sous-réseau IPv4 du segment.
Après la création d'un serveur DHCP de passerelle, vous pouvez modifier les adresses IP du serveur dans le profil DHCP de la passerelle. Cependant, vous ne pouvez pas modifier le profil DHCP attaché à la passerelle.
Les Plages DHCP, si elles sont spécifiées, doivent répondre aux exigences suivantes :
n Les adresses IP des plages DHCP doivent appartenir au sous-réseau configuré sur le segment. Les plages DHCP ne peuvent pas contenir d'adresses IP provenant de plusieurs sous-réseaux.
n Les plages d'adresses IP ne doivent pas chevaucher l'adresse IP du serveur DHCP et les adresses IP de liaison statique DHCP.
n Les plages d'adresses IP dans le pool d'adresses IP DHCP ne doivent pas se chevaucher.
n Le nombre d'adresses IP dans une plage DHCP ne doit pas dépasser 65 536.
c (Facultatif) Modifiez la durée du bail en secondes.
La valeur par défaut est 86400. La plage de valeurs valide est comprise entre 60 et 4 294 967 295. La durée du bail définie dans la configuration du serveur DHCP est prioritaire sur la durée de bail que vous avez spécifiée dans le profil DHCP.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 52
d (Facultatif) Entrez l'adresse IP du serveur de noms de domaine (DNS) à utiliser pour la résolution de noms. Deux serveurs DNS au maximum sont autorisés.
Lorsque rien n'est spécifié, aucun DNS n'est attribué au client DHCP. Les adresses IP du serveur DNS doivent appartenir au même sous-réseau que l'adresse IP de la passerelle du sous-réseau.
e (Facultatif) Cliquez sur Options pour configurer les options du DHCP.
Pour plus d'informations sur les ROUTES STATIQUES SANS CLASSE et d'autres Options DHCP, reportez-vous aux sections RFC3442 et Créer un serveur DHCP dans le Guide d'administration de NSX-T Data Center.
4 (Facultatif) Spécifiez un profil DHCP. Si votre SDDC inclut plusieurs profils DHC, vous pouvez utiliser le menu déroulant Profil DHCP pour sélectionner le nom du profil de serveur DHCP que vous souhaitez que ce segment utilise.
Reportez-vous à la section Créer ou modifier un profil DHCP.
5 Cliquez sur APPLIQUER pour appliquer la configuration DHCP au segment.
Créer ou modifier un profil DHCP
Un profil DHCP spécifie un type de serveur et une configuration DHCP. Vous pouvez utiliser le profil par défaut ou en créer d'autres selon vos besoins.
Un profil DHCP peut être utilisé par plusieurs segments et passerelles de votre réseau. Vous pouvez créer des profils de serveur DHCP et des profils de relais DHCP. Reportez-vous à la section Ajouter un profil DHCP du Guide d'administration de NSX-T Data Center.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Sélectionnez Mise en réseau et sécurité > DHCP.
3 Cliquez sur AJOUTER UN PROFIL DHCP et attribuez un Nom au profil.
Choisissez un Type de profil et fournissez les paramètres de configuration requis.
n Pour un serveur DHCP spécifiez une adresse IP de serveur IPv4 et modifiez éventuellement la durée du bail.
n Pour un Relais DHCP, spécifiez l'Adresse IP du serveur avec l'adresse de votre serveur DHCP sur site. Assurez-vous que votre pare-feu sur site autorise le trafic DHCP (ports 67 et 68) à atteindre cette adresse. La durée du bail est contrôlée par la configuration du serveur sur site.
Les types de profil DHCP peuvent tous les deux être marqués avec des balises.
4 Cliquez sur ENREGISTRER pour créer le profil.
Le nouveau profil peut alors être utilisé lorsque vous spécifiez la configuration DHCP d'un segment routé. Voir Créer ou modifier un segment de réseau. La colonne Utilisé dans répertorie les segments qui spécifient ce profil.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 53
Ajouter ou modifier des règles de pare-feu de passerelle de calcul
Par défaut, la passerelle de calcul bloque le trafic vers toutes les liaisons montantes. Ajoutez des règles de pare-feu de passerelle de calcul pour autoriser le trafic si nécessaire.
Les règles de pare-feu de la passerelle de calcul définissent les actions à effectuer sur le trafic réseau depuis une source spécifiée vers une destination spécifiée. Ces actions peuvent être : autoriser (autoriser le trafic) ou abandonner (abandonner tous les paquets correspondant à la source et la destination spécifiées). Les sources et les destinations peuvent être choisies dans une liste d'interfaces réseau physiques ou la spécification générique Toutes les liaisons montantes, qui s'applique à tout le trafic quittant la passerelle vers l'interface VPC, Internet ou Direct Connect.
Note Une règle de pare-feu appliquée à Toutes les liaisons montantes ne s'applique pas à l'interface de tunnel VPN (VTI), car il s'agit d'une interface virtuelle et non d'une liaison montante physique. L'interface de tunnel VPN doit être explicitement spécifiée dans le paramètre Appliqué à de chaque règle de pare-feu qui gère des communications de machines virtuelles de charge de travail sur un VPN basé sur les routes.
La passerelle de calcul inclut une Règle VTI par défaut qui abandonne tout le trafic vers le VTI et un Règle de liaison montante par défaut qui abandonne le trafic vers Toutes les liaisons montantes. Pour permettre aux machines virtuelles de charge de travail de communiquer sur le VTI, modifiez cette règle ou déplacez-la à un emplacement inférieur dans la hiérarchie des règles, après des règles plus permissives.
Tout le trafic tentant de transiter par le pare-feu est soumis aux règles dans l'ordre indiqué dans le tableau de règles, en commençant par le haut du tableau. Un paquet autorisé par la première règle est transmis à la deuxième règle, et ainsi de suite au cours des règles suivantes jusqu'à ce que le paquet soit abandonné, rejeté ou atteigne une règle par défaut.
Conditions préalables
Les règles de pare-feu de la Passerelle de calcul nécessitent des groupes d'inventaire nommés pour les valeurs source et de destination. Reportez-vous à la section Ajouter ou modifier un groupe de calcul.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Dans l'onglet Mise en réseau et sécurité, cliquez sur Pare-feu de la passerelle.
3 Sur la page PARE-FEU DE PASSERELLE, cliquez sur Passerelle de calcul.
4 Pour ajouter une règle, cliquez sur AJOUTER UNE RÈGLE et donnez un Nom à la nouvelle règle.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 54
5 Entrez les paramètres de la nouvelle règle.
Les paramètres sont initialisés à leurs valeurs par défaut (par exemple, Toutes pour les Sources et les Destinations). Pour modifier un paramètre, déplacez le curseur de la souris sur
la valeur du paramètre et cliquez sur l'icône en forme de crayon ( ) pour ouvrir un éditeur spécifique au paramètre.
Option Description
Sources Cliquez sur Toutes dans la colonne Sources et sélectionnez un groupe d'inventaire pour le trafic réseau source ou cliquez sur AJOUTER UN GROUPE afin de créer un groupe d'inventaire défini par l'utilisateur à utiliser pour cette règle. Cliquez sur ENREGISTRER.
Destinations Cliquez sur Toutes dans la colonne Destinations et sélectionnez un groupe d'inventaire pour le trafic réseau de destination ou cliquez sur CRÉER UN GROUPE afin de créer un groupe d'inventaire défini par l'utilisateur à utiliser pour cette règle. Cliquez sur ENREGISTRER.
Services Cliquez sur Tous dans la colonne Services et sélectionnez un service dans la liste. Cliquez sur ENREGISTRER.
Appliqué à Définissez le type de trafic auquel la règle s'applique :
n Sélectionnez Interface de tunnel VPN si vous souhaitez que la règle s'applique au trafic sur le VPN basé sur les routes.
n Sélectionnez Interface VPC si vous souhaitez que la règle s'applique au trafic sur la connexion VPC AWS.
n Sélectionnez Interface Internet si vous souhaitez que la règle s'applique au trafic sur Internet, y compris sur les VPN basés sur les stratégies utilisant une adresse IP publique.
n Sélectionnez Interface Direct Connect si vous souhaitez que la règle autorise le trafic sur AWS Direct Connect (VIF privé), y compris les VPN basés sur les stratégies utilisant une adresse IP privée.
n Toutes les liaisons montantes si vous souhaitez que la règle s'applique à l'interface VPC, l'interface Internet et l'interface Direct Connect, mais pas à l'interface de tunnel VPN.
Note L'interface de tunnel VPN n'est pas classée en tant que liaison montante.
Action n Sélectionnez Autoriser pour permettre à tout le trafic L2 et L3 de traverser le pare-feu.
n Sélectionnez Abandonner pour abandonner les paquets qui correspondent à des Sources, Destinations et Services spécifiés. Il s'agit d'une action silencieuse sans notification aux systèmes source ou de destination. L'abandon du paquet entraîne de nouvelles tentatives de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.
n Sélectionnez Rejeter pour rejeter les paquets qui correspondent à des Sources, Destinations et Services spécifiés. Cette action renvoie un message de destination inaccessible à l'expéditeur. Pour les paquets TCP, la réponse inclut un message TCP RST. Pour les protocoles UDP, ICMP et autres, la réponse inclut un code administrativement interdit (9 ou 10). L'expéditeur est immédiatement notifié (sans nouvelle tentative) lorsque la connexion ne peut pas être établie.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 55
La nouvelle règle est activée par défaut. Faites glisser le bouton bascule vers la gauche pour la désactiver.
6 Cliquez sur PUBLIER pour créer la règle.
Le système attribue à la nouvelle règle une valeur entière ID, qui est utilisée dans les entrées de journal générées par la règle.
Étape suivante
Vous pouvez effectuer n'importe laquelle ou la totalité de ces actions facultatives avec une règle de pare-feu existante.
n Cliquez sur l'icône d'engrenage pour afficher ou modifier les paramètres de journalisation de la règle. Les entrées du journal sont envoyées au service VMware vRealize Log Insight Cloud. Reportez-vous à Utilisation de vRealize Log Insight Cloud dans Guide des opérations de VMware Cloud on AWS.
n Cliquez sur l'icône de graphique pour afficher les statistiques d'accès et de flux pour la règle.
Tableau 2-13. Statistiques d'accès à la règle
Index de popularité Nombre de déclenchements de la règle au cours des dernières 24 heures.
Nombre d'accès Nombre de fois où la règle a été déclenchée depuis sa création.
Tableau 2-14. Statistiques de flux
Nombre de paquets Flux total de paquets via cette règle.
Nombre d'octets Flux total d'octets via cette règle.
Les statistiques commencent à s'accumuler dès l'activation de la règle.
n Réorganisez les règles de pare-feu.
Une règle créée à partir du bouton AJOUTER UNE NOUVELLE RÈGLE est placée en haut de la liste des règles. Les règles de pare-feu sont appliquées de haut en bas. Pour modifier la position d'une règle dans la liste, sélectionnez-la et faites-la glisser vers un nouvel emplacement. Cliquez sur PUBLIER pour publier la modification.
Ajouter ou modifier des règles de pare-feu distribué
Les règles de pare-feu distribué s'appliquent au niveau de la machine virtuelle (vNIC) et contrôlent le trafic est-ouest dans le SDDC.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 56
Tout le trafic tentant de transiter par le pare-feu distribué est soumis aux règles dans l'ordre indiqué dans le tableau de règles, en commençant par le haut du tableau. Un paquet autorisé par la première règle est transmis à la deuxième règle, et ainsi de suite au cours des règles suivantes jusqu'à ce que le paquet soit abandonné, rejeté ou atteigne la règle par défaut, ce qui autorise tout le trafic.
Les règles de pare-feu distribué sont regroupées en stratégies. Les stratégies sont organisées par catégorie. Chaque catégorie a une priorité d'évaluation. Les règles d'une catégorie ayant une priorité plus élevée sont évaluées avant les règles d'une catégorie ayant une priorité inférieure.
Tableau 2-15. Catégories des règles de pare-feu distribué
Priorité d'évaluation de la catégorie Nom catégorie Description
1 Ethernet Appliqué à tout le trafic réseau SDDC de couche 2.
Note Les règles de cette catégorie nécessitent des adresses MAC en tant que sources et destinations. Les adresses IP sont acceptées, mais ignorées.
2 Urgence Utilisé pour les règles de mise en quarantaine et d'autorisation.
3 Infrastructure Définissez l'accès aux services partagés. Règles générales, AD, DNS, NTP, DHCP, sauvegarde, serveurs de gestion
4 Environnement Règles entre les zones de sécurité, telles que les zones de production, les zones de développement ou les zones dédiées à des besoins commerciaux spécifiques.
5 Application Règles entre les applications, les niveaux d'application ou les microservices.
Pour plus d'informations sur la terminologie du pare-feu distribué, consultez Terminologie de sécurité dans le Guide d'administration de NSX-T Data Center.
Conditions préalables
Les règles de pare-feu distribué requièrent des groupes d'inventaire sous forme de sources et de destinations, et doivent être appliquées à un service (il peut s'agir d'un service prédéfini ou d'un service personnalisé) que vous définissez pour votre SDDC. Vous pouvez créer ces groupes et services lors de la création d'une règle, mais cela peut accélérer le processus si vous vous en occupez en amont. Reportez-vous aux sections Ajouter ou modifier un groupe de calcul et Ajouter un service personnalisé.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 57
2 Sélectionnez Mise en réseau et sécurité > Pare-feu distribué.
Cliquez sur RÈGLES SPÉCIFIQUES À LA CATÉGORIE et sélectionnez une catégorie pour afficher et modifier les stratégies et les règles de cette catégorie, ou cliquez sur TOUTES LES RÈGLES pour afficher (mais pas modifier) les règles de toutes les stratégies et catégories.
3 (Facultatif) Modifiez la stratégie de connectivité par défaut.
Le pare-feu distribué inclut des règles par défaut qui s'appliquent à tout le trafic de couche 2 et de couche 3. Ces règles sont évaluées après toutes les autres règles de leur catégorie et autorisent le trafic qui ne correspond pas à une règle précédente à traverser le pare-feu. Vous pouvez modifier l'une de ces règles ou les deux pour qu'elles soient plus restrictives, mais vous ne pouvez pas désactiver une règle.
n Pour modifier la Règle de couche 2 par défaut, développez la Section de couche 2 par défaut dans la catégorie Ethernet et modifiez l'Action sur cette règle sur Abandonner.
n Pour modifier la Règle de couche 3 par défaut, développez la section Section de couche 3 par défaut dans la catégorie Application et modifiez l'Action sur cette règle sur Abandonner ou Rejeter.
Cliquez sur PUBLIER pour mettre à jour la règle.
4 Pour ajouter une stratégie, ouvrez la catégorie appropriée, cliquez sur AJOUTER UNE STRATÉGIE et attribuez un Nom à la nouvelle stratégie.
Une nouvelle stratégie est ajoutée en haut de la liste des stratégies pour cette catégorie. Pour ajouter une stratégie avant ou après une stratégie existante, cliquez sur le bouton de sélection vertical au début de la ligne de stratégie pour ouvrir le menu des paramètres de la stratégie, puis cliquez sur Ajouter une stratégie au-dessus ou Ajouter une stratégie en dessous.
Par défaut, la colonne Appliqué à est définie sur DFW et la règle est appliquée à toutes les charges de travail. Vous pouvez également appliquer la règle ou la stratégie aux groupes sélectionnés. Appliqué à définit l'étendue de l'application par règle et est utilisé principalement pour l'optimisation de la consommation des ressources de l'hôte. Il permet de définir une stratégie ciblée pour des zones et des locataires spécifiques, sans interférer avec d'autres stratégies définies pour d'autres locataires et zones.
Note Les groupes composés uniquement d'adresses IP, d'adresses MAC ou de groupes Active Directory ne peuvent pas être utilisés dans la zone de texte Appliqué à.
5 Pour ajouter une règle, sélectionnez une stratégie, cliquez sur AJOUTER UNE NOUVELLE RÈGLE et attribuez un Nom à la règle.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 58
6 Entrez les paramètres de la nouvelle règle.
Les paramètres sont initialisés à leurs valeurs par défaut (par exemple, Toutes pour les Sources et les Destinations). Pour modifier un paramètre, déplacez le curseur de la souris sur
la valeur du paramètre et cliquez sur l'icône en forme de crayon ( ) pour ouvrir un éditeur spécifique au paramètre.
Option Description
Sources Cliquez sur Toutes dans la colonne Sources et sélectionnez un groupe d'inventaire pour le trafic réseau source ou cliquez sur AJOUTER UN GROUPE afin de créer un groupe d'inventaire défini par l'utilisateur à utiliser pour cette règle. Cliquez sur ENREGISTRER.
Destinations Cliquez sur Toutes dans la colonne Destinations et sélectionnez un groupe d'inventaire pour le trafic réseau de destination ou cliquez sur CRÉER UN GROUPE afin de créer un groupe d'inventaire défini par l'utilisateur à utiliser pour cette règle. Cliquez sur ENREGISTRER.
Services Cliquez sur Tous dans la colonne Services et sélectionnez un service dans la liste. Cliquez sur ENREGISTRER.
Appliqué à La règle hérite sa valeur APPLIQUÉ À de la stratégie qui la contient.
Action n Sélectionnez Autoriser pour permettre à tout le trafic L2 et L3 de traverser le pare-feu.
n Sélectionnez Abandonner pour abandonner les paquets qui correspondent à des Sources, Destinations et Services spécifiés. Il s'agit d'une action silencieuse sans notification aux systèmes source ou de destination. L'abandon du paquet entraîne de nouvelles tentatives de connexion jusqu'à ce que le seuil de nouvelles tentatives soit atteint.
n Sélectionnez Rejeter pour rejeter les paquets qui correspondent à des Sources, Destinations et Services spécifiés. Cette action renvoie un message de destination inaccessible à l'expéditeur. Pour les paquets TCP, la réponse inclut un message TCP RST. Pour les protocoles UDP, ICMP et autres, la réponse inclut un code administrativement interdit (9 ou 10). L'expéditeur est immédiatement notifié (sans nouvelle tentative) lorsque la connexion ne peut pas être établie.
La nouvelle règle est activée par défaut. Faites glisser le bouton bascule vers la gauche pour la désactiver.
7 (Facultatif) Configurez les paramètres avancés.
Pour modifier le comportement de l'orientation ou de la journalisation de la règle, cliquez sur
l'icône d'engrenage pour ouvrir la page Paramètres.
Direction
Par défaut, cette valeur est Entrée/Sortie et la règle est appliquée à toutes les sources et destinations. Vous pouvez modifier la valeur sur Entrée pour appliquer la règle uniquement
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 59
au trafic entrant depuis une source ou sur Sortie pour l'appliquer uniquement au trafic sortant vers une destination. La modification de cette valeur peut provoquer un routage asymétrique et d'autres anomalies de trafic. Assurez-vous de bien comprendre les résultats possibles pour toutes les sources et destinations avant de modifier la valeur par défaut pour la Direction.
Journalisation
La journalisation d'une nouvelle règle est désactivée par défaut. Faites glisser le bouton bascule vers la droite pour activer la journalisation des actions de règles.
8 Cliquez sur PUBLIER pour créer la règle.
Le système attribue à la nouvelle règle une valeur entière ID, qui est utilisée pour identifier la règle dans les entrées de journal qu'elle génère.
Étape suivante
Vous pouvez effectuer n'importe laquelle ou la totalité de ces actions facultatives avec une règle de pare-feu existante.
n Cliquez sur l'icône d'engrenage pour afficher ou modifier les paramètres de journalisation de la règle. Les entrées du journal sont envoyées au service VMware vRealize Log Insight Cloud. Reportez-vous à Utilisation de vRealize Log Insight Cloud dans Guide des opérations de VMware Cloud on AWS.
n Cliquez sur l'icône de graphique pour afficher les statistiques d'accès et de flux pour la règle.
Tableau 2-16. Statistiques d'accès à la règle
Index de popularité Nombre de déclenchements de la règle au cours des dernières 24 heures.
Nombre d'accès Nombre de fois où la règle a été déclenchée depuis sa création.
Tableau 2-17. Statistiques de flux
Nombre de paquets Flux total de paquets via cette règle.
Nombre d'octets Flux total d'octets via cette règle.
Les statistiques commencent à s'accumuler dès l'activation de la règle.
n Réorganisez les règles de pare-feu.
Une règle créée à partir du bouton AJOUTER UNE NOUVELLE RÈGLE est placée en haut de la liste des règles de la stratégie. Les règles de pare-feu de chaque stratégie sont appliquées de haut en bas dans l'ordre. Pour modifier la position d'une règle dans la liste, sélectionnez-la et faites-la glisser vers un nouvel emplacement. Cliquez sur PUBLIER pour publier la modification.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 60
Gérer les règles de pare-feu distribué
Le trafic tentant de transiter par le pare-feu est soumis aux règles dans l'ordre indiqué dans la liste TOUTES LES RÈGLES.
L'ordre des règles de pare-feu distribué dans la liste TOUTES LES RÈGLES est l'union de la liste ordonnée des stratégies et de la liste ordonnée des règles de chaque stratégie. Vous pouvez réorganiser les sections et les règles de pare-feu distribué au sein d'une section. Vous pouvez également modifier la configuration d'un pare-feu distribué existant, supprimer ou cloner une règle ou une section de pare-feu.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Sélectionnez Mise en réseau et sécurité > Pare-feu distribué.
3 (Facultatif) Modifiez les paramètres de stratégie.
Cliquez sur le bouton de sélection vertical au début de la ligne de stratégie pour effectuer des actions en bloc, qui affectent toutes les règles de la stratégie.
4 (Facultatif) Réorganisez les stratégies.
Une stratégie créée à partir du bouton AJOUTER UNE STRATÉGIE est placée en haut de la liste des stratégies. Les règles de pare-feu de chaque stratégie sont appliquées de haut en bas dans l'ordre des stratégies. Pour modifier la position d'une stratégie (et toutes les règles qu'elle contient) dans la liste, sélectionnez-la et faites-la glisser vers un nouvel emplacement. Cliquez sur PUBLIER pour publier la modification.
5 (Facultatif) Clonez ou copiez une règle.
Cliquez sur le bouton de sélection vertical au début de la ligne de la règle.
n Vous pouvez Cloner la règle pour faire une copie de la règle dans cette stratégie.
n Vous pouvez Copier la règle pour faire une copie de la règle que vous pouvez ajouter à une autre stratégie.
6 (Facultatif) Ajoutez ou supprimez une règle.
Cliquez sur le bouton de sélection vertical au début de la ligne de la règle.
n Vous pouvez Ajouter une règle pour ajouter une règle dans cette stratégie.
n Vous pouvez Supprimer la règle pour supprimer la règle de cette stratégie.
7 (Facultatif) Enregistrez ou affichez les configurations de pare-feu distribué.
Les configurations de pare-feu distribué dans VMware Cloud on AWS sont similaires à la fonctionnalité Brouillons de pare-feu d'un dispositif NSX-T sur site. Cliquez sur ACTIONS > Configurations > Afficher pour afficher la liste des configurations enregistrées. Cliquez sur ACTIONS > Configurations > Enregistrer pour enregistrer la configuration actuelle. Les configurations sont enregistrées automatiquement par défaut. Cliquez sur ACTIONS > Paramètres > Paramètres généraux pour désactiver la fonctionnalité Enregistrer automatiquement les brouillons.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 61
Gérer la liste d'exclusions du pare-feu distribué
La liste d'exclusions du pare-feu distribué vous permet de spécifier les groupes d'inventaire à exclure de la couverture du pare-feu distribué. Le trafic réseau est-ouest vers et depuis les membres des groupes exclus est exempté des règles de pare-feu distribué qui s'appliquent en temps normal.
La liste d'exclusions du pare-feu distribué vous permet d'empêcher des groupes d'inventaire spécifiques d'être pris en compte par les règles de pare-feu distribué. Par défaut, les machines virtuelles et les dispositifs de gestion, tels que vCenter, NSX Manager et les contrôleurs NSX, se trouvent sur la liste d'exclusions. Vous pouvez modifier la liste pour ajouter ou supprimer des entrées.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Sélectionnez Mise en réseau et sécurité > Pare-feu distribué.
3 Cliquez sur ACTIONS > Paramètres > Liste d'exclusions pour afficher la page Gérer la liste d'exclusions.
n Pour ajouter un groupe existant à la liste d'exclusions, cliquez sur AJOUTER UN GROUPE et sélectionnez un Nom de groupe existant.
n Pour créer un groupe à partir de la page Gérer la liste d'exclusions, saisissez un nom pour le groupe dans le champ Nom du groupe, puis cliquez sur Définir les membres pour ouvrir la page de création des groupes d'inventaire. Pour plus d'informations sur l'utilisation de cette page, consultez Ajouter ou modifier un groupe de calcul.
n Pour supprimer un groupe de la liste, cliquez sur le bouton de sélection vertical au début de la ligne du groupe et cliquez sur Supprimer.
4 Cliquez sur APPLIQUER pour enregistrer vos modifications.
Configuration des services DNS
Les services de transfert DNS de VMware Cloud on AWS s'exécutent dans des zones DNS et permettent aux machines virtuelles de charge de travail dans la zone de résoudre les noms de domaine complets en adresses IP.
Votre SDDC inclut des zones DNS par défaut pour la passerelle de gestion et la passerelle de calcul. Chaque zone inclut un service DNS préconfiguré. Utilisez l'onglet Services DNS sur la page Services DNS pour afficher ou mettre à jour les propriétés des services DNS pour les zones par défaut. Pour créer des zones DNS supplémentaires ou configurer des propriétés supplémentaires pour les services DNS dans n'importe quelle zone, utilisez l'onglet Zones DNS.
Pour plus d'informations sur les choix de configuration DNS pour VMware Cloud on AWS, consultez Stratégies DNS pour VMware Cloud on AWS.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 62
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Sélectionnez Mise en réseau et sécurité > DNS.
3 Cliquez sur Services DNS pour ouvrir la page Services DNS.
4 Affichez ou modifiez les paramètres du service DNS.
La plupart des paramètres du service DNS de la passerelle sont en lecture seule, mais vous pouvez cliquer sur le bouton de sélection vertical et choisir Modifier les adresses IP du serveur DNS pour ajouter ou modifier les adresses IP du serveur pour ce service.
5 Cliquez sur ENREGISTRER.
Ajouter une zone DNS
Chaque zone DNS de votre réseau SDDC représente une partie de l'espace de noms DNS que vous gérez vous-même.
Les zones DNS dans le SDDC se divisent en deux catégories :
n Les zones par défaut, où les serveurs écoutent les requêtes DNS provenant de toutes les machines virtuelles SDDC sur un sous-réseau de la zone.
n Les zones de nom de domaine complet, où les serveurs écoutent les demandes DNS transférées à partir d'une zone par défaut.
Les passerelles de calcul et de gestion sont toutes configurées avec une seule zone DNS par défaut. Vous pouvez ajouter jusqu'à quatre zones supplémentaires de chaque type afin d'avoir la flexibilité de disposer de plusieurs serveurs et sous-domaines DNS. Pour plus d'informations sur la façon dont NSX-T implémente les zones DNS, consultez Ajouter une zone DNS dans le Guide d'administration de NSX-T Data Center.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Cliquez sur Mise en réseau et sécurité > DNS et ouvrez l'onglet Zones DNS.
3 Pour ajouter une zone par défaut, sélectionnez AJOUTER UNE ZONE DNS > Ajouter une zone par défaut.
Vous pouvez ajouter ou modifier des adresses IP pour les redirecteurs DNS de la passerelle de gestion et de la passerelle de calcul dans la zone DNS par défaut. Les requêtes DNS des machines virtuelles dans la zone par défaut sont envoyées à ces adresses IP par défaut si elles ne correspondent pas aux critères d'une zone de nom de domaine complet.
a Entrez un nom et éventuellement une description. Vous utilisez ce nom si vous créez des règles de pare-feu DNS qui s'appliquent au trafic dans cette zone.
b Entrez les adresses IP de trois serveurs DNS au maximum. Tous les serveurs DNS que vous spécifiez doivent être configurés de la même manière.
c (Facultatif) Entrez une adresse IP dans le champ Adresse IP source.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 63
4 Pour ajouter une zone de nom de domaine complet, sélectionnez AJOUTER UNE ZONE DNS > Ajouter une zone de nom de domaine complet.
Spécifiez un ou plusieurs noms de domaine complets pour activer le transfert DNS. Un redirecteur DNS est associé à une zone DNS par défaut et à cinq zones DNS de nom de domaine complet au maximum. Lorsqu'il reçoit une requête DNS depuis une machine virtuelle dans la zone, le redirecteur DNS compare le nom de domaine de la requête avec les noms de domaine des zones DNS de nom de domaine complet. Si une correspondance est trouvée, la requête est transférée aux serveurs DNS spécifiés dans la zone DNS de nom de domaine complet. Sinon, la requête est transférée aux serveurs DNS spécifiés dans la zone DNS par défaut.
a Entrez un nom et éventuellement une description. Vous utilisez ce nom si vous créez des règles de pare-feu DNS qui s'appliquent au trafic dans cette zone.
b Entrez un nom de domaine complet pour le domaine. Il doit s'agir d'un nom de domaine complet, tel que example.com.
c Entrez l'adresse IP de trois serveurs DNS au maximum.
d (Facultatif) Entrez une adresse IP dans le champ Adresse IP source.
5 (Facultatif) Marquez la zone DNS.
Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
6 Cliquez sur ENREGISTRER.
Afficher les routes apprises et annoncées sur VMware Transit Connect
Dans un SDDC qui est membre d'un groupe de SDDC, vous pouvez utiliser l'outil Mise en réseau et sécurité Transit Connect pour afficher les routes apprises et annoncées par ce SDDC dans le réseau VMware Transit Connect créé pour le groupe.
Dans un groupe de SDDC, tout le trafic réseau entre les membres du groupe est acheminé sur un réseau VMware Transit Connect. Le routage entre les réseaux de calcul de tous les SDDC d'un groupe est géré automatiquement par VMware Transit Connect lorsque des sous-réseaux sont ajoutés et supprimés. Les outils Transit Connect et Groupe de SDDC fournissent des informations concernant les routes sur ce réseau. Pour plus d'informations sur la création d'un groupe de SDDC ou sur l'ajout d'un SDDC à un groupe, reportez-vous à la section Création et gestion des groupes de déploiement de SDDC dans Guide des opérations de VMware Cloud on AWS.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 64
2 Dans l'onglet Mise en réseau et sécurité, cliquez sur Transit Connect ou cliquez simplement sur l'icône Groupes de SDDC sur la page Présentation.
La page Transit Connect affiche les listes des Routes apprises par ce SDDC à partir d'autres SDDC dans le groupe et des Routes annoncées par ce SDDC aux autres SDDC dans le
groupe. Cliquez sur l'icône de téléchargement ( ) pour télécharger l'une ou l'autre des listes au format CSV.
Configurer un SDDC à plusieurs dispositifs Edge avec des groupes de trafic
Dans la configuration par défaut, votre réseau SDDC dispose d'un seul routeur Edge (T0) via lequel s'effectue tout le trafic Nord-Sud. Ce edge prend en charge le groupe de trafic par défaut, qui n’est pas configurable. Si vous avez besoin de bande passante supplémentaire pour le sous-ensemble de ce trafic routé vers des membres du groupe de SDDC, une passerelle Direct Connect attachée à un groupe de SDDC, un maillage de services HCX ou le VPC connecté, vous pouvez reconfigurer votre SDDC afin d'utiliser plusieurs dispositifs Edge en créant des groupes de trafic, chacun d'eux créant un routeur T0 supplémentaire.
Un groupe de trafic utilise un mappage d'association pour associer une liste de préfixes de blocs CIDR à l'une des passerelles T0 qui prennent en charge des groupes de trafic autres que celui par défaut dans votre SDDC. Les listes de préfixes sont indépendantes des passerelles et se composent d'adresses IP sources. Le trafic de ces adresses est acheminé vers le edge T0 qui prend en charge le groupe de trafic associé. Vous pouvez créer et mettre à jour des listes de préfixes à tout moment, mais vous ne pouvez pas supprimer une liste de préfixes si elle est incluse dans une carte d’association. L'association d'une liste de préfixes à un groupe de trafic route tout le trafic des blocs CIDR de la liste via le routeur T0 créé pour le groupe.
Note Le trafic VPN, ainsi que le trafic DX vers un VIF privé, doivent passer par le routeur T0 par défaut et ne peuvent pas être routés vers un groupe de trafic autre que celui par défaut. En outre, comme les règles NAT s'exécutent toujours sur le routeur T0 par défaut, les routeurs T0 supplémentaires ne peuvent pas gérer le trafic affecté par les règles SNAT ou DNAT. Cela inclut le trafic vers et depuis la connexion Internet native du SDDC. Cela inclut également le trafic vers le service Amazon S3, qui utilise une règle NAT et doit passer par le T0 par défaut. Tenez compte de ces limitations lorsque vous créez des listes de préfixes.
Conditions préalables
n Avant de pouvoir créer des groupes de trafic, vous devez utiliser VMware Transit Connect™ pour connecter votre SDDC à une passerelle Passerelle de transit gérée par VMware (VTGW). Reportez-vous à la section Création et gestion des groupes de déploiement de SDDC dans Guide des opérations de VMware Cloud on AWS.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 65
n Les groupes de trafic ne peuvent être créés que dans des SDDC qui ont des dispositifs de gestion de grande taille et au moins quatre hôtes. Reportez-vous à la section Augmenter la taille des dispositifs de gestion de SDDC pour obtenir plus d'informations sur la façon de faire passer la taille du dispositif de gestion d'un SDDC de moyenne à grande. Reportez-vous à la section Ajouter des hôtes pour obtenir plus d'informations sur l'ajout d'hôtes à un SDDC.
n Le nombre de groupes de trafic qu'un SDDC à plusieurs AZ (cluster étendu) peut prendre en charge dépend du nombre d'hôtes que le SDDC fournit dans chaque région et peut être représenté par une formule semblable à celle-ci :
TG=(hosts-per-region - 2)/2
où GT représente le nombre maximal de groupes de trafic que le SDDC peut prendre en charge et hôtes-par-région est le nombre d'hôtes déployés par le SDDC dans chaque région qu'il occupe.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Cliquez sur Mise en réseau et sécurité > Groupes de trafic.
3 Créez un groupe de trafic. Dans l'onglet Groupes de trafic de la page Groupes de trafic, cliquez sur AJOUTER UN GROUPE DE TRAFIC et donnez au nouveau groupe de trafic un Nom, puis cliquez sur ENREGISTRER pour créer le groupe de trafic et un routeur T0 supplémentaire pour celui-ci.
L'État du groupe de trafic passe à En cours pendant la création du nouveau dispositif Edge T0. Le processus peut prendre jusqu'à 30 minutes pour se terminer. Dans ce cas, l'État du groupe de trafic passe à Réussite et vous pouvez créer un mappage d'association pour celui-ci.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 66
4 Créez une liste de préfixes.
Étant donné que les SDDC à plusieurs dispositifs Edge utilisent un routage basé sur la source dans leurs groupes de trafic, les listes de préfixes doivent contenir des adresses sources, et non des adresses de destination.
a Dans l'onglet Liste de préfixes d'adresse IP de la page Groupes de trafic, cliquez sur AJOUTER UNE LISTE DE PRÉFIXES D'ADRESSE IP et donnez à la nouvelle liste de préfixes un Nom et une Description (facultative).
b Cliquez sur Définir pour afficher la fenêtre Définir des préfixes, puis cliquez sur AJOUTER UN PRÉFIXE et renseignez le bloc CIDR d'un segment de réseau SDDC qui inclut les adresses sources des machines virtuelles de charge de travail dont vous souhaitez inclure le trafic dans le groupe de trafic (et router sur le dispositif Edge supplémentaire).
Important Vous ne pouvez pas utiliser le bloc CIDR de gestion du SDDC ici ou le bloc CIDR d'un segment qui fournit l'adresse IP locale d'un VPN. Si vous ajoutez l'un de ces blocs CIDR à une liste de préfixes, vous ne pourrez pas utiliser la liste dans un mappage d'association.
Cliquez sur AJOUTER pour ajouter le préfixe spécifié à la liste. Pour ajouter des préfixes ou modifier ceux qui se trouvent déjà dans la liste, cliquez sur les boutons de sélection
pour ouvrir l'éditeur de préfixes.
c Cliquez sur APPLIQUER pour appliquer les modifications à la liste de préfixes.
d Lorsque vous avez terminé d'ajouter ou de modifier des préfixes, cliquez sur ENREGISTRER pour enregistrer ou créer la liste de préfixes.
5 Associez une liste de préfixes à une passerelle. Dans l'onglet Groupes de trafic de la page Groupes de trafic, recherchez le groupe de trafic que vous souhaitez utiliser, puis cliquez sur son bouton de sélection et choisissez Modifier.
Cliquez sur l'icône plus dans la zone MAPPAGES D'ASSOCIATION, donnez au mappage un Nom et sélectionnez une liste de préfixes existante dans le menu déroulant Préfixes. Sélectionnez une passerelle dans le menu déroulant Passerelle, puis cliquez sur ENREGISTRER pour créer le mappage d'association.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 67
6 (Facultatif) Pour supprimer un groupe de trafic, vous devez d'abord supprimer ses mappages d'association.
a Recherchez le groupe de trafic sur la page Groupes de trafic. Cliquez sur le bouton de
sélection et choisissez Modifier.
b Cliquez sur l'icône moins située à droite de l'étiquette État sous Mappages d'association pour sélectionner le mappage à supprimer, puis cliquez sur ENREGISTRER pour supprimer le mappage.
c Cliquez sur FERMER LA MODIFICATION, puis revenez au groupe de trafic sur la page Groupes de trafic. Cliquez sur son bouton de sélection, puis choisissez Supprimer.
La suppression d'un groupe de trafic peut prendre jusqu'à 30 minutes. La suppression du groupe de trafic entraîne la suppression du routeur T0 qui a été créé pour le prendre en charge. HCX, s'il est utilisé, crée son propre mappage d'association que vous pouvez afficher, mais pas modifier. Pour supprimer un mappage d'association créé par HCX, vous devez désinstaller HCX. Reportez-vous à la section Désinstallation de VMware HCX dans le Guide de l'utilisateur de VMware HCX.
Exemple : Modifications de la table de route après l’ajout d’un groupe de traficCet exemple simplifié montre l'effet de la création d'un groupe de trafic et de son association avec une liste de préfixes de seulement deux routes d'hôtes (/32).
Configuration initiale
Prenons ces valeurs pour les entrées de la table de routage dans le groupe de trafic par défaut et la passerelle de calcul (CGW, Compute Gateway) avant d'ajouter le premier groupe de trafic (ce qui crée un routeur T0 supplémentaire).
Tableau 2-18. Routes par défaut
Sous-réseau Tronçon suivant
0.0.0.0/0 Passerelle Internet
192.168.150.51/24 CGW
192.168.151.0/24 CGW
Sous-réseaux VTGW, DXGW Connexions VTGW, DXGW
CIDR de gestion MGW
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 68
Tableau 2-19. Routes de la passerelle CGW avec le groupe de trafic par défaut
Sous-réseau Tronçon suivant
0.0.0.0/0 Routeur T0 par défaut
192.168.150.0/24 Routeur T0 par défaut
192.168.151.0/24 Routeur T0 par défaut
Configuration à plusieurs dispositifs Edge
Une fois le premier groupe de trafic créé, de nouvelles routes sont ajoutées au routeur T0 par défaut. En supposant que la liste de préfixes associée au groupe de trafic contient les entrées suivantes :
192.168.150.100/32
192.168.151.51/32
les tables de routage pour le routeur T0 par défaut, le nouveau routeur T0 et la CGW seront définies comme cela.
Tableau 2-20. Routes T0 par défaut après l'ajout d'un groupe de trafic
Sous-réseau Tronçon suivant
0.0.0.0/0 Passerelle Internet
192.168.150.0/24 CGW
192.168.150.100/32 Nouveau routeur T0
192.168.151.0/24 CGW
192.168.151.51/32 Nouveau routeur T0
Sous-réseaux VTGW, DXGW Connexions VTGW, DXGW
CIDR de gestion MGW
Les nouvelles routes (192.168.150.100/32 et 192.168.151.51/32 dans les exemples de tables) utilisent le nouveau routeur T0 comme tronçon suivant et le nouveau routeur T0 utilise la correspondance de préfixe la plus longue pour router le trafic vers la CGW.
Tableau 2-21. Routes sur le nouveau groupe de trafic
Sous-réseau Tronçon suivant
0.0.0.0/0 Routeur T0 par défaut
192.168.150.100/32 CGW
192.168.151.51/32 CGW
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 69
Tableau 2-21. Routes sur le nouveau groupe de trafic (suite)
Sous-réseau Tronçon suivant
Sous-réseaux VTGW, DXGW Connexions VTGW, DXGW
CIDR de gestion MGW
La table de routage de la passerelle CGW est mise à jour pour créer le groupe de trafic en spécifiant le nouveau routeur T0 comme tronçon suivant pour les nouvelles routes.
Tableau 2-22. Routes de passerelle CGW avec un groupe de trafic supplémentaire
Sous-réseau Tronçon suivant
0.0.0.0/0 Routeur T0 par défaut
192.168.150.0/24 Routeur T0 par défaut
192.168.150.100/32 Nouveau routeur T0
192.168.151.0/24 Routeur T0 par défaut
192.168.151.51/32 Nouveau routeur T0
Utilisation des groupes d'inventaire
Utilisez l'inventaire Mise en réseau et sécurité de VMware Cloud on AWS pour créer des groupes de machines virtuelles et de services réseau que vous pouvez utiliser lorsque vous créez des règles de pare-feu.
Les règles de pare-feu s'appliquent généralement à un groupe de machines virtuelles présentant certaines caractéristiques communes, parmi lesquelles :
n les noms qui suivent une convention de dénomination (par exemple, Win* pour les machines virtuelles Windows ou Photon* pour les machines virtuelles de photons) ;
n les adresses IP dans une plage spécifique ou un bloc CIDR ;
n balises
Elles peuvent également s'appliquer aux services réseau, qui se distinguent par des caractéristiques telles que le type de service et le protocole réseau. La fonctionnalité Inventaire de la Mise en réseau et sécurité de VMware Cloud on AWS simplifie le processus de création de groupes de machines virtuelles ayant des besoins similaires pour la protection par pare-feu. Elle vous permet également d'ajouter de nouveaux services réseau à la liste de services intégrée, afin de pouvoir inclure ces services dans les règles de pare-feu.
VMware Cloud on AWS crée des groupes de gestion et un inventaire de services dans tous les nouveaux SDDC. Il gère également une liste de vos machines virtuelles de charge de travail et de leurs balises. Vous pouvez ajouter ou modifier vos propres groupes d'inventaire de machines virtuelles de gestion ou de calcul.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 70
Ajouter un groupe de gestion
Les groupes d'inventaire de gestion contiennent des composants d'infrastructure SDDC. Vous pouvez utiliser ces groupes dans les règles de pare-feu de la passerelle de gestion.
Les groupes d'inventaire de gestion prédéfinis sont créés automatiquement pour les composants d'infrastructure SDDC tels que vCenter et NSX Manager. Vous ne pouvez pas modifier un groupe de gestion prédéfini, mais vous pouvez créer des groupes d'inventaire de gestion supplémentaires en spécifiant les blocs CIDR auxquels les membres du groupe sont connectés.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Dans l'onglet Mise en réseau et sécurité, cliquez sur Inventaire > Groupes.
3 Sur la fiche Groupes, cliquez sur GROUPES DE GESTION, puis cliquez sur AJOUTER UN GROUPE et attribuez-lui un Nom et éventuellement une Description.
4 Cliquez sur Définir les membres pour ouvrir la page Sélectionner les membres.
Entrez une ou plusieurs adresses IP de machines virtuelles de gestion au format CIDR.
5 (Facultatif) Marquez le groupe.
Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
6 Cliquez sur ENREGISTRER pour créer le groupe.
Étape suivante
Vous pouvez modifier ou supprimer n'importe quel groupe de gestion que vous avez créé en cliquant sur le bouton de sélection vertical et en sélectionnant Modifier ou Supprimer.
Ajouter ou modifier un groupe de calcul
Les groupes d'inventaire de calcul classent les machines virtuelles de calcul en utilisant des critères tels que les noms, les adresses IP et les balises.
En effet, les groupes d'inventaire de calcul sont constitués des machines virtuelles de calcul que vous déployez sur vos segments de réseau de calcul. VMware Cloud on AWS ne peut pas les créer à votre place. Vous devrez les créer vous-même avant de pouvoir développer des règles de pare-feu de passerelle de calcul.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Dans l'onglet Mise en réseau et sécurité, cliquez sur Inventaire > Groupes.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 71
3 Sur la fiche Groupes, cliquez sur GROUPES DE CALCUL, puis cliquez sur AJOUTER UN GROUPE et attribuez-lui un Nom et éventuellement une Description.
Pour modifier un groupe existant, sélectionnez-le et cliquez sur le bouton de sélection situé au début de la ligne du groupe.
4 Cliquez sur Définir les membres pour ouvrir la page Sélectionner les membres.
Les groupes de gestion contiennent des machines virtuelles sur le réseau de gestion. Les membres du groupe de gestion doivent être spécifiés par une adresse IP. Les groupes de calcul contiennent des machines virtuelles ou des objets réseau, tels que des segments dans le réseau de calcul. Il existe plusieurs manières de désigner l'appartenance à un groupe de calcul.
Option Description
Critères d'appartenance Cliquez sur Ajouter des critères et utilisez les contrôles de menu déroulant pour spécifier un ou plusieurs critères sous la forme de tuples
Type d'objet, Propriété, Condition, Valeur
. Par exemple, un groupe avec les critères suivants :
Virtual Machine Name Contains db_
inclut les machines virtuelles dont les noms contiennent la chaîne db_ dans le groupe. Vous pouvez également créer des groupes de segments réseau, de ports de segments ou d'ensembles d'adresses IP marqués en spécifiant une balise ou
Segment Tag Equals testbeds
pour inclure les segments de réseau contenant la balise testbeds.
Les objets correspondant à tous les critères sélectionnés sont inclus dans le groupe.
Membres Sélectionnez une catégorie d'appartenance dans la liste déroulante Sélectionner une catégorie, puis sélectionnez des membres dans la liste.
Adresse IP/MAC Entrez une adresse IP, une adresse MAC, un bloc CIDR ou une plage d'adresses IP au format ip-ip (par exemple, 192.168.1.1-192.168.1.100).
5 (Facultatif) Marquez le groupe.
Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
6 Cliquez sur ENREGISTRER pour créer le groupe.
Étape suivante
Pour vérifier les membres d'un groupe, sélectionnez un groupe et cliquez sur Afficher les membres pour consulter la liste des membres du groupe afin d'afficher les membres du groupe et les critères d'appartenance. Cliquez sur Utilisé dans pour afficher la liste des règles de pare-feu incluant le groupe.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 72
Ajouter un service personnalisé
Les règles de pare-feu s'appliquent souvent au trafic provenant d'un service réseau. Un nouveau SDDC inclut des entrées d'inventaire pour la plupart des types de services réseau courants, mais vous pouvez ajouter des services personnalisés si nécessaire.
Lorsque vous créez une règle de pare-feu, vous pouvez spécifier qu'elle s'applique au trafic réseau d'un ou de plusieurs services définis dans l'inventaire Services de votre SDDC. La liste par défaut inclut des services VMware tels que la console distante et le provisionnement, des services standard tels que IKE, ICMP et TCP, ainsi que de nombreux services tiers connus. Vous pouvez ajouter des services à cette liste en sélectionnant des valeurs, généralement des ports et des protocoles, dans une liste de types de services et de propriétés de service supplémentaires.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Dans l'onglet Mise en réseau et sécurité, cliquez sur Inventaire > Services.
La fiche Services répertorie les services prédéfinis.
3 Cliquez sur AJOUTER UN SERVICE et attribuez un Nom au nouveau service.
4 Cliquez sur Définir les entrées du service pour ouvrir la page Définir les entrées du service.
5 Sur la page Définir les entrées du service, cliquez sur AJOUTER UNE ENTRÉE DE SERVICE.
Pour afficher la liste des services connus, utilisez les contrôles de menu déroulant pour faire défiler les listes Type de service et Propriétés supplémentaires. Pour ajouter un service, sélectionnez un Type de service dans le menu déroulant et spécifiez les Propriétés supplémentaires, telles que les ports source ou de destination du service, puis cliquez sur Appliquer.
6 (Facultatif) Fournissez une Description du service et marquez le service.
Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
7 Cliquez sur ENREGISTRER pour créer la définition du service.
Afficher l'inventaire des machines virtuelles
VMware Cloud on AWS conserve un inventaire des machines virtuelles de charge de travail dans votre SDDC. Les machines virtuelles sont répertoriées par nom et par nombre de balises.
L'inventaire Machines virtuelles est généré automatiquement. Vous pouvez modifier les balises attribuées à une machine virtuelle dans cette liste, mais vous ne pouvez pas ajouter ou supprimer des machines virtuelles. Le système effectue automatiquement ces actions lors de la création et la destruction de machines virtuelles.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 73
2 Dans l'onglet Mise en réseau et sécurité, cliquez sur Inventaire > Machines virtuelles.
Si une machine virtuelle comporte des balises, le nombre de balises s'affiche dans la colonne Balises. Cliquez sur le nombre pour afficher ces balises. Pour ajouter ou supprimer des balises de machines virtuelles, cliquez sur le bouton de sélection vertical au début de la ligne de la machine virtuelle et sélectionnez Modifier pour afficher l'éditeur de balises. Cliquez sur l'icône
pour ajouter d'autres balises.
Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
Gestion des connexions de charge de travail
Les machines virtuelles de charge de travail se connectent à Internet par défaut. Les règles NAT et les règles de pare-feu distribué offrent un contrôle précis sur ces connexions.
Les machines virtuelles de charge de travail peuvent communiquer entre elles sur leurs adresses IP privées ou publiques (en NAT). Lors de l'utilisation d'adresses IP publiques, le trafic de communication de charge de travail à charge de travail est soumis aux règles suivantes :
n Le trafic n'est pas soumis aux règles de pare-feu CGW.
n Le traitement de la règle de pare-feu distribué par une machine virtuelle source utilise l'adresse IP publique de destination et l'adresse IP publique source de la machine virtuelle de destination, et il doit être basé sur IP. Les règles de pare-feu distribué basées sur des attributs de machine virtuelle n'affectent pas le trafic de charge de travail à charge de travail.
Note La communication de la machine virtuelle de charge de travail vers l'adresse IP publique de vCenter Server est soumise aux règles de pare-feu MGW, mais l'adresse IP de la machine virtuelle de charge de travail est traduite en son adresse IP publique avant l'application de la règle de pare-feu.
Attacher une machine virtuelle ou détacher une machine virtuelle de charge de travail à partir d'un segment de réseau de calcul
Utilisez vSphere Web Client pour gérer l'attachement de machines virtuelles de charge de travail aux segments de réseau de calcul.
Conditions préalables
Le réseau de calcul de votre SDDC doit disposer d'au moins un segment. Reportez-vous à la section Créer ou modifier un segment de réseau.
Procédure
1 Connectez-vous à vSphere Client pour votre SDDC.
2 Sélectionnez Menu > Listes d'inventaires globaux.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 74
3 Sélectionnez Réseaux logiques.
4 Dans le menu déroulant vCenter Server, sélectionnez le dispositif vCenter Server qui gère le réseau logique à utiliser.
5 Cliquez en regard du nom du réseau logique pour le sélectionner.
6 Indiquez si vous souhaitez attacher ou détacher des machines virtuelles.
n Cliquez sur Attacher une VM pour attacher des machines virtuelles au réseau sélectionné.
n Cliquez sur Détacher la VM pour détacher des machines virtuelles du réseau sélectionné.
7 Sélectionnez la ou les machines virtuelles à attacher ou à détacher, cliquez sur >> pour les déplacer dans la colonne Objets sélectionnés, puis cliquez sur Suivant.
8 Pour chaque machine virtuelle, sélectionnez la carte réseau virtuelle à attacher et cliquez sur Suivant.
9 Cliquez sur Terminer.
Demander ou libérer une adresse IP publique
Vous pouvez demander des adresses IP publiques à attribuer aux machines virtuelles de charge de travail pour permettre l'accès à ces machines virtuelles depuis Internet. VMware Cloud on AWS provisionne l'adresse IP à partir d'AWS.
Il est recommandé de libérer les adresses IP publiques qui ne sont pas en cours d'utilisation.
Conditions préalables
Vérifiez que votre machine virtuelle dispose d'une adresse IP statique attribuée à partir de son réseau logique.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Sélectionnez Mise en réseau et sécurité > IP publiques.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 75
3 Pour demander une nouvelle adresse IP publique, cliquez sur DEMANDER UNE NOUVELLE ADRESSE IP.
Vous pouvez éventuellement entrer vos remarques à propos de la demande.
4 Pour libérer une adresse IP publique existante dont vous n'avez plus besoin, cliquez sur le bouton de sélection, puis sur Libérer l'adresse IP.
Les demandes de libération d'une adresse IP publique échouent si l'adresse est utilisée par une règle NAT.
5 Cliquez sur ENREGISTRER.
Après quelques instants, une nouvelle adresse IP publique est provisionnée.
Étape suivante
Une fois l'adresse IP publique fournie, configurez NAT pour diriger le trafic de l'adresse IP publique vers l'adresse IP interne d'une machine virtuelle dans votre SDDC. Reportez-vous à la section Créer ou modifier des règles NAT.
Créer ou modifier des règles NAT
La traduction d'adresse réseau (NAT, Network Address Translation) mappe des adresses IP internes sur votre réseau de calcul à des adresses exposées sur l'Internet public. Pour créer une règle NAT, vous devez fournir l'adresse interne et le numéro de port d'une machine virtuelle de charge de travail ou d'un service, ainsi qu'une adresse IP publique et le numéro de port que vous avez obtenu du système.
Règles NAT sur l'interface Internet du SDDC, car c'est là que les adresses publiques des machines virtuelles de charge de travail sont exposées. Les règles de pare-feu, qui examinent les sources et les destinations des paquets, s'exécutent sur la Passerelle de calcul et traitent le trafic après qu'il a été transformé par toutes les règles NAT applicables. Lorsque vous créez une règle NAT, vous pouvez spécifier si l'adresse IP interne ou externe et le numéro de port d'une machine virtuelle sont exposés aux règles de pare-feu qui affectent le trafic réseau vers et depuis cette machine virtuelle.
Important Le trafic entrant vers l'adresse IP publique du SDDC est toujours traité par les règles NAT que vous créez. Le trafic sortant (les paquets de réponse des machines virtuelles de charge de travail du SDDC) est acheminé sur les routes annoncées et est traité par les règles NAT lorsque l'itinéraire par défaut pour votre réseau SDDC passe par l'interface Internet du SDDC. Mais si la route par défaut passe par une connexion Direct Connect ou VPN (par exemple, si 0.0.0.0/0 est annoncé via BGP ou s'il existe un VPN basé sur les stratégies avec un réseau distant de 0.0.0.0/0), les règles NAT s'exécutent pour le trafic entrant, mais pas pour le trafic sortant, créant ainsi un chemin asymétrique qui laisse la machine virtuelle inaccessible à son adresse IP publique. Lorsque la route par défaut est annoncée depuis l'environnement sur site, vous devez configurer des règles NAT sur le réseau sur site, à l'aide de la connexion Internet sur site et des adresses IP publiques.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 76
Conditions préalables
n Vous devez avoir obtenu une adresse IP publique qui sera utilisée par une machine virtuelle dans ce SDDC. Reportez-vous à la section Demander ou libérer une adresse IP publique.
n La machine virtuelle doit être connectée à un segment de réseau de calcul. Vous pouvez créer des règles NAT pour les machines virtuelles, qu'elles aient des adresses statiques ou dynamiques (DHCP), mais gardez à l'esprit que les règles NAT des machines virtuelles utilisant l'attribution d'adresse DHCP peuvent être invalidées lorsque la machine virtuelle est attribuée à une adresse interne qui ne correspond plus à celle spécifiée dans la règle.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Sélectionnez Mise en réseau et sécurité > NAT .
3 Cliquez sur AJOUTER UNE RÈGLE NAT et attribuez un Nom à la règle.
4 Entrez les paramètres de la règle NAT.
Option Description
Adresse IP publique Faites une sélection dans la liste déroulante d'adresses IP publiques qui ont été provisionnées pour ce SDDC. Reportez-vous à la section Demander ou libérer une adresse IP publique.
Service n Sélectionnez Tout le trafic pour créer une règle qui s'applique au trafic entrant (DNAT) et au trafic sortant (SNAT) vers ou depuis l'adresse IP interne spécifiée.
n Sélectionnez un des services répertoriés pour créer une règle entrante (DNAT) qui s'applique uniquement au trafic utilisant ce protocole et ce port.
Note Comme les services qui utilisent plusieurs ports de destination ne peuvent pas être soumis à une règle NAT, ils n'apparaissent pas dans cette liste.
Port public Si vous avez défini Service sur Tout le trafic, le port public par défaut est défini sur Tous.
Si vous avez sélectionné un Service particulier, la règle s'applique au port public attribué à ce service.
Adresse IP interne Entrez l'adresse IP interne de la machine virtuelle.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 77
Option Description
Port interne Affiche le port interne utilisé par le Service sélectionné. Pour utiliser un port personnalisé, Ajouter un service personnalisé, sélectionnez ensuite ce service dans la règle NAT.
Si vous avez défini Service sur Tout le trafic, le port interne par défaut est défini sur Tous.
Si vous avez sélectionné un Service particulier, la règle s'applique au port public attribué à ce service.
Pare-feu Spécifiez la manière dont le trafic soumis à cette règle NAT est exposé aux règles de pare-feu de la passerelle de calcul. Par défaut, les règles de pare-feu CGW correspondent à la combinaison de l'adresse IP interne et du port interne. Sélectionnez Faire correspondre à l'adresse externe pour que les règles de pare-feu correspondent à la combinaison de l'Adresse IP externe et du Port externe. (Les règles de pare-feu distribué ne s'appliquent jamais aux adresses ou aux ports externes.)
Vous pouvez créer plusieurs règles NAT qui utilisent les mêmes adresses IP publiques et adresses IP internes avec Tout le trafic. Si vous agissez ainsi, chaque adresse IP interne utilise l'adresse IP publique pour le trafic sortant (SNAT), mais seule la première règle correspondante sera utilisée pour le trafic entrant (DNAT). Le système crée (mais n'affiche pas) une règle sortante par défaut. Cette règle est utilisée pour toutes les adresses IP internes qui ne correspondent pas à une règle NAT spécifique qui s'applique à Tout le traffic. L'adresse IP utilisée pour cette règle s'affiche dans le résumé de la Passerelle de calcul par défaut sur la page Mise en réseau et sécurité Présentation en tant qu'adresse IP publique NAT source.
5 (Facultatif) Cliquez sur le bouton bascule Journalisation pour enregistrer les actions de la règle.
6 La nouvelle règle est activée par défaut. Cliquez sur le bouton bascule Activer pour la désactiver.
7 Cliquez sur ENREGISTRER pour créer la règle.
La règle est créée et son État est signalé comme étant Activé.
Création de règles de pare-feu pour gérer le trafic entre les réseaux de calcul et de gestion
Dans la configuration par défaut, les règles de pare-feu empêchent les VM sur le réseau de calcul d'accéder aux machines virtuelles sur le réseau de gestion. Pour autoriser des machines virtuelles de charge de travail individuelles à accéder à des machines virtuelles de gestion, créez des groupes d'inventaire de charge de travail et de gestion, puis créez des règles de pare-feu de passerelle de gestion qui les référencent.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 78
Procédure
1 Créez des groupes d'inventaire de charge de travail : une pour le réseau de gestion et une pour la machine virtuelle de charge de travail à laquelle vous souhaitez accéder.
Dans l'onglet Mise en réseau et sécurité, cliquez sur Groupes dans la catégorie Inventaire, puis sur Groupes de charge de travail. Créer deux groupes de charges de travail :
n Cliquez sur AJOUTER UN GROUPE et créez un groupe avec un Type de membre d'adresse IP et le bloc CIDR du réseau de gestion. Cliquez sur ENREGISTRER pour créer le groupe.
n Cliquez sur AJOUTER UN GROUPE et créez un groupe avec un Type de membre de machine virtuelle et une machine virtuelle membre à partir de votre inventaire vSphere. Cliquez sur ENREGISTRER pour créer le groupe.
2 Créez un groupe d'inventaire de gestion pour représenter le réseau de gestion auquel vous souhaitez accéder à partir du groupe de charge de travail.
Dans l'onglet Mise en réseau et sécurité, cliquez sur Groupes dans la catégorie Inventaire, puis sur Groupes de gestion. Cliquez sur AJOUTER UN GROUPE et créez un groupe avec un Type de membre d'adresse IP le bloc CIDR de réseau de gestion. Cliquez sur ENREGISTRER pour créer le groupe.
3 Créez une règle de pare-feu de passerelle de gestion autorisant le trafic entrant vers vCenter Server et ESXi.
Reportez-vous à la section Ajouter ou modifier des règles de pare-feu de passerelle de gestion pour plus d'informations sur la création de règles de pare-feu de passerelle de gestion. En supposant que vos machines virtuelles de charge de travail n'ont besoin d'accéder qu'à vSphere, PowerCLI ou OVFtool sur vCenter et ESXi, la règle doit uniquement autoriser l'accès sur le port 443.
Tableau 2-23. Règle de passerelle de gestion pour autoriser le trafic entrant vers ESXi et vCenter
Nom Source Destination Services Action
Entrant vers ESXi Adresse IP privée de la machine virtuelle de charge de travail
ESXi HTTPS (TCP 443) Autoriser
Entrant vers l'adresse IP privée de vCenter
Adresse IP privée de la machine virtuelle de charge de travail
Adresse IP privée de vCenter
HTTPS (TCP 443) Autoriser
Entrant vers l'adresse IP publique de vCenter
Machine virtuelle de charge de travail avec adresse IP en NAT
Adresse IP publique de vCenter
HTTPS (TCP 443) Autoriser
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 79
Configurer les fonctionnalités de surveillance et de dépannage 3Utilisez IPFIX et la fonctionnalité de mise en miroir de port fournie par NSX-T pour surveiller et dépanner la mise en réseau et la sécurité du SDDC.
Par défaut, les hôtes ESXi SDDC ont accès au réseau de superposition, ce qui leur permet de communiquer avec des applications de surveillance et de dépannage déployées en tant que charges de travail de machine virtuelle dans votre SDDC. Cependant, vous devez configurer le pare-feu pour autoriser le trafic entre les hôtes ESXi et le segment logique auquel les machines virtuelles de charge de travail sont attachées. Reportez-vous à la section Création de règles de pare-feu pour gérer le trafic entre les réseaux de calcul et de gestion.
n Configurer IPFIX
IPFIX (Internet Protocol Flow Information Export) est une norme pour le formatage et l'exportation d'informations de flux de réseau pour le dépannage, l'audit ou la collecte d'informations analytiques.
n Configurer la mise en miroir de port
La mise en miroir de port vous permet de répliquer et rediriger tout le trafic provenant d'une source. Le trafic en miroir est envoyé encapsulé dans un tunnel d'encapsulation de routage générique (GRE) à un collecteur afin que toutes les informations de paquet d'origine soient conservées lors de la traversée du réseau vers une destination distante.
n Afficher les informations sur le VPC connecté
Le VPC Amazon connecté contient votre SDDC et tous ses réseaux. Les informations sur ce VPC, y compris les ENI actives, le sous-réseau VPC et l'ID de VPC, sont disponibles dans l'onglet Mise en réseau et sécurité.
Configurer IPFIX
IPFIX (Internet Protocol Flow Information Export) est une norme pour le formatage et l'exportation d'informations de flux de réseau pour le dépannage, l'audit ou la collecte d'informations analytiques.
VMware, Inc. 80
Vous pouvez configurer la surveillance de flux sur un segment logique. Tous les flux des machines virtuelles connectées à ce segment logique sont capturés et envoyés au collecteur IPFIX. Les noms de collecteurs sont spécifiés en tant que paramètres pour chaque profil de commutateur IPFIX.
Note Dans un SDDC membre d'un groupe de SDDC, tout le trafic sortant des hôtes vers des destinations extérieures au réseau SDDC est routé vers la passerelle VTGW ou le VIF privé, quelles que soient les autres configurations de routage du SDDC. Cela inclut IPFIX et le trafic de mise en miroir de ports. Consultez Création et gestion des groupes de déploiement de SDDC avec VMware Transit Connect dans le Guide des opérations de VMware Cloud on AWS.
Conditions préalables
Vérifiez qu'un segment logique est configuré. Reportez-vous à la section Créer ou modifier un segment de réseau.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Sélectionnez Mise en réseau et sécurité > IPFIX.
3 Pour ajouter un nouveau collecteur, cliquez sur COLLECTEURS > AJOUTER UN NOUVEAU COLLECTEUR et donnez un Nom au collecteur.
Entrez l'adresse IP et le port du collecteur. Le port UDP par défaut est 4739. Vous pouvez ajouter jusqu'à 4 collecteurs IPFIX.
4 Cliquez sur ENREGISTRER pour créer le collecteur.
5 Cliquez sur PROFILS IPFIX DE COMMUTATEUR pour créer ou modifier un profil IPFIX de commutateur.
Pour plus d'informations sur les paramètres de profil IPFIX de commutateur de NSX-T, consultez Configurer les profils IPFIX de commutateur dans le Guide d'administration de NSX-T Data Center.
6 (Facultatif) Marquez le profil.
Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
7 Cliquez sur ENREGISTRER pour créer le profil.
Étape suivante
Cliquez sur le bouton de sélection en regard d'un profil IPFIX de commutateur et cliquez sur Modifier pour apporter des modifications de configuration.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 81
Configurer la mise en miroir de port
La mise en miroir de port vous permet de répliquer et rediriger tout le trafic provenant d'une source. Le trafic en miroir est envoyé encapsulé dans un tunnel d'encapsulation de routage générique (GRE) à un collecteur afin que toutes les informations de paquet d'origine soient conservées lors de la traversée du réseau vers une destination distante.
La mise en miroir de port est utilisée dans les scénarios suivants :
n Dépannage : analyser le trafic pour détecter les intrusions, et pour déboguer et diagnostiquer les erreurs sur un réseau.
n Conformité et surveillance : transférer tout le trafic surveillé à un dispositif réseau pour analyse et correction.
La mise en miroir de port inclut un groupe source dans lequel les données sont surveillées et un groupe de destination dans lequel les données collectées sont copiées. Les critères d'appartenance au groupe source imposent que les machines virtuelles soient regroupées en fonction de la charge de travail (par exemple, par groupe Web ou par groupe d'applications). Les critères d'appartenance au groupe de destination imposent que les machines virtuelles soient regroupées en fonction des adresses IP.
La mise en miroir de ports dispose d'un point d'application, où vous pouvez appliquer des règles de stratégie à votre environnement SDDC.
La direction du trafic pour la mise en miroir de port est Entrée, Sortie ou Bidirectionnel.
n Entrée est le trafic réseau sortant de la machine virtuelle vers le réseau logique.
n Sortie est le trafic réseau entrant du réseau logique vers la machine virtuelle.
n Le trafic bidirectionnel est celui allant de la machine virtuelle au réseau logique et du réseau logique à la machine virtuelle. Il s'agit de l'option par défaut.
Pour plus d'informations sur la mise en miroir de ports avec NSX-T, consultez Ajouter un profil de mise en miroir de ports dans le Guide d'administration de NSX-T Data Center.
Note Dans un SDDC membre d'un groupe de SDDC, tout le trafic sortant des hôtes vers des destinations extérieures au réseau SDDC est routé vers la passerelle VTGW ou le VIF privé, quelles que soient les autres configurations de routage du SDDC. Cela inclut IPFIX et le trafic de mise en miroir de ports. Consultez Création et gestion des groupes de déploiement de SDDC avec VMware Transit Connect dans le Guide des opérations de VMware Cloud on AWS.
Conditions préalables
Important La mise en miroir de ports peut générer une grande partie du trafic réseau. Il est recommandé de limiter son utilisation à un maximum de 6 machines virtuelles à la fois pendant de courtes périodes à des fins de dépannage et de correction.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 82
Vérifiez que des groupes de charge de travail avec adresse IP et critères d'appartenance de machines virtuelles sont disponibles. Reportez-vous à la section Ajouter ou modifier un groupe de calcul.
Procédure
1 Connectez-vous à la Console VMC à l'adresse https://vmc.vmware.com.
2 Sélectionnez Mise en réseau et sécurité > Mise en miroir de port.
3 Sur la page Mise en miroir de ports, cliquez sur AJOUTER UN PROFIL et attribuez un Nom et éventuellement une Description à ce profil.
4 Spécifiez les paramètres de profil.
Paramètre Description
Direction Sélectionnez la direction du trafic dans la liste déroulante.
Longueur de la capture Spécifiez le nombre d'octets à capturer à partir d'un paquet.
Source Les sources peuvent inclure des segments, des ports de segment, des groupes de machines virtuelles et des groupes de vNIC.
Destination Les destinations sont des groupes comportant 3 adresses IP au maximum. Vous pouvez utiliser les groupes d'inventaire existants ou en créer de nouveaux à partir de la page Définir la destination.
Type d'encapsulation Doit indiquer GRE.
Clé GRE Identifie un flux de données GRE particulier, tel que défini dans RFC 6245. Entrez une valeur 32 bits aléatoire pour identifier les paquets en miroir à partir du port logique.
Cette valeur clé est copiée dans le champ Clé de l'en-tête GRE de chaque paquet en miroir. Si la valeur Clé est définie sur 0, la définition par défaut est copiée dans le champ Clé de l'en-tête GRE.
La valeur 32 bits par défaut est composée des valeurs suivantes.
n Les 24 premiers bits sont une valeur VNI. Le VNI fait partie de l'en-tête IP des trames encapsulées.
n Le 25e bit indique si les premiers 24 bits sont une valeur VNI valide. Un représente une valeur valide et zéro représente une valeur non valide.
n Le 26e bit indique la direction du trafic en miroir. Un représente une direction d'entrée et zéro représente une direction de sortie.
n Les six bits restants ne sont pas utilisés.
5 (Facultatif) Marquez le profil de mise en miroir de ports.
Pour plus d'informations sur le balisage d'objets NSX-T, reportez-vous à la section Ajouter des balises à un objet dans le Guide d'administration de NSX-T Data Center.
6 Cliquez sur ENREGISTRER pour enregistrer la session.
Étape suivante
Cliquez sur le bouton de sélection en regard d'un profil de mise en miroir de ports et sélectionnez Modifier pour apporter des modifications de configuration.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 83
Afficher les informations sur le VPC connecté
Le VPC Amazon connecté contient votre SDDC et tous ses réseaux. Les informations sur ce VPC, y compris les ENI actives, le sous-réseau VPC et l'ID de VPC, sont disponibles dans l'onglet Mise en réseau et sécurité.
Cliquez sur VPC connecté dans la catégorie Système dans l'onglet Mise en réseau et sécurité pour ouvrir la page Amazon VPC connecté, qui fournit les informations suivantes :
ID de compte AWS
ID de compte AWS que vous avez spécifié lors de la création de votre SDDC
ID du VPC
ID AWS de ce VPC
Sous-réseau VPC
ID AWS du sous-réseau VPC que vous avez spécifié lors de la création de votre SDDC.
Interface réseau active
Identifiant du ENI utilisé par VMC dans ce VPC
Noms des rôles IAM
Noms des rôles de gestion des identités et des accès AWS définis dans ce VPC Reportez-vous à la section Rôles et autorisations AWS dans Guide des opérations de VMware Cloud on AWS.
Noms de piles Cloud Formation
Nom de la pile AWS Cloud Formation utilisée pour créer votre SDDC
Accès aux services
Liste des services AWS activés dans ce VPC.
Mise en réseau et sécurité de VMware Cloud on AWS
VMware, Inc. 84