Photo-2016-01-11-12-16-11_8138

Déploiement NSX : en route pour l’aventure SDN !

EDIT : Mise à jour concernant les problèmes d’installation de certificats SSL sur NSX Manager

Je vous avais présenté notre projet de mise en place de Deep Security sur NSX il y a quelques semaine déjà (voir ici). Au départ nous avions envisagé de mettre en place un nouveau cluster au sein de notre vCenter existant, après sa mise à jour en vSphere 6. Or, entre temps, nous en avons parlé avec VMWare et il s’est avéré que c’était plus compliqué que prévu.

En effet, nous disposons aussi, vous le savez sans doute, d’une instance vCloud Director, connectée au vCenter de production. Or, on nous a confirmé en fin d’année que nous ne pouvions pas faire cohabiter vShield (utilisé actuellement par vCloud) et NSX au sein d’un même vCenter. Cette mise en place “intégrée” nous aurait donc obligé à réaliser une phase d’upgrade vShield vers NSX qui complexifiait beaucoup le chantier technique.

Du coup, nous avons pris la décision de créer un nouvel ensemble de production complet autonome : vCenter, Deep Security et NSX, bien entendu. Cela présente finalement de nombreux avantages : on dé-corréle la mise à jour vSphere 6 de notre production historique par rapport à ce chantier, on prend donc moins de risques avec nos VM et on peut vraiment tester et valider sereinement la nouvelle infrastructure avant sa mise en production réelle. Evidemment, l’inconvénient principal est la multiplicité des vCenter, mais avec un Linked-mode amélioré en vSphere 6, on devrait s’en sortir sans trop de peine.

Dans ce contexte, je vous propose de vous retracer rapidement la mise en ordre de marche de ce vCenter avec NSX que nous avons réalisé la semaine dernière.

Lire la suite …

Photo-2015-10-09-15-35-08_7698

Protéger Windows Server 2003 : projet vSphere 6, NSX et Deep Security 9.6

Vous le savez, depuis le 14 Juillet dernier, Microsoft a cessé d’assurer le support et la maintenance de Windows Server 2003. Cela s’est accompagné chez nous par la préparation d’un chantier spécifique pour pouvoir mettre en place des solutions de protection dédiées à la sécurisation de la production historique du CHU tournant encore sur cette plate-forme. Malgré la volonté affichée de notre département IT, appuyée par notre RSSI, de procéder dès que possible à la migration des serveurs 2003 vers Windows 2008/2008R2 au minimum et malgré la pression importante mise sur nos fournisseurs, il nous reste encore une masse non négligeable de VMs de ce type encore en production aujourd’hui.

Après pas mal de discussions en interne, nous sommes parti finalement sur la solution Deep Security de Trend Micro. En effet, nous disposons déjà des solutions Trend pour notre Antivirus primaire au sein de notre Intranet, du coup, l’intégration de l’ensemble sera très bonne et les statistiques seront consolidées. Plus généralement, Deep Security existe depuis longtemps sur les environnements VMWare et nous avions eu l’occasion de PoC’er celle-ci il y a quelques années. DS S’appuie sur les API de sécurité des noyaux ESXi pour intercepter l’ensemble des flux de VM sélectionnées et ainsi assurer des fonctions Antivirales et surtout de “Virtual Patching”, la partie la plus intéressante pour nous.

Lire la suite …

2017-05-18 10-51-45 0248

VMWare NSX : le nouvel étalon du SDN

photo 3VMWare NSX, le nouveau stack réseau virtualisé de VMWare a donc été annoncé en GA (General Avalaibility) hier lors de l’ouverture du VMWorld 2013 de Barcelone. Il se positionne clairement en concurrent direct des Cisco Nexus 1000V, mais avec une approche intégrée qui risque de séduire rapidement bon nombre d’administrateurs de fermes VMWare. En effet, au delà des fonctions réseaux très riches offertes par NSX (dynamic routine, firewall, user based access control etc. …) c’est surtout l’interface de gestion qui m’a le plus impressionné lors de ma session de Hand-On Lab. En effet, tout est présent directement à la racine de votre vSphere Web Client.

photoLes fonctions de routage sont extrêmement poussées avec la gestion complète des protocoles de routage dynamique réseau OSPF et BGP, tout comme les plus classiques routes statiques. Tout est là à portée de clic pour construire tout un réseau entièrement virtualité, aux capacités logiques équivalentes à nos réseaux physiques historiques. De plus, NSX permet d’optimiser les flux routés pour éviter que deux VM d’un même serveur mais sur des réseaux logiques différents ne soient obligées de sortir de l’hyperviseur pour communiquer. Pour autant, toutes les fonctions de supervision (Netflow, mirroring de ports …) sont là pour garder la main sur ces flux internes (comme sur les dvSwitchs).

photo 2Enfin, ceux qui connaissent déjà vCloiud Director et ses edges gateway ne seront pas dépaysées, les fonctions de firewalling sont toutes présentes, avec un degré de granularité très important. Il est même possible de générer des règles de filtrage basées sur des utilisateurs Active Directory, comme dans les firewalls avancés du marché (Checkpoint, ASA). L’interface permet aussi de spécifier les sources et destinations de ces règles de filtrage en indiquant non pas les IPs mais tout simplement les objets vCenter impliqués (VM, réseau logique, vApp etc. …). Par ce raffinement, les règles ainsi créés sont encore plus claires et faciles à interpréter.

Il faudrait encore des heures pour vous détailler toutes les possibilités offerte par NSX, mais pour résumer, ce nouveau moteur de SDN semble bien né et risque de se poser en maître étalon de cette nouvelle frontière pour le SDDC. Le vrai challenge à mon sens, sera de faire adopter définitivement ces concepts virtualisés à la communauté des Ingénieurs Réseau, encore très encrée sur le matériel et les câbles RJ ;)

2017-05-18 10-51-45 0248

Première Journée au VMworld

Première journée au VMworld de Barcelone. Beaucoup de choses intéressantes au programme, évidemment. Entre ViPR, le SDS d’EMC et NSX, la première solution clef en main de SDN de chez VMware, il y avait matière à exploration :) . Une entreprise a tout de même particulièrement retenu mon attention, SimpliVity. un concept assez novateur de solution SDDC avec comme particularité d’aborder la de duplication et la compression le plus en amont possible : lors de la réception de l’IO, directement. De ce principe simple découle tout une série d’innovations particulièrement bluffantes, tant du point de vue du stockage que du point de vue de la sauvegarde. Je ne saurais que trop vous conseiller aller jeter un œil sur le site et pourquoi pas aller plus loin via un webinar ou un PoC.

Le site de SimpliVity
ViPR, le Software Defined Storage vu par EMC
NSX, le Software Defined Network par VMWare