Présentation de vRealize Suite - vRealize Suite 2019automatique de données Non Oui Oui vRealize...
45
Présentation de vRealize Suite vRealize Suite 2019
Transcript of Présentation de vRealize Suite - vRealize Suite 2019automatique de données Non Oui Oui vRealize...
Présentation de vRealize Suite
vRealize Suite 2019
Vous trouverez la documentation technique la plus récente sur le site Web de VMware, à l'adresse :
https://docs.vmware.com/fr/
Si vous avez des commentaires à propos de cette documentation, envoyez-les à l'adresse suivante :
VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com
VMware France SAS.Tour Franklin100-101 Terrasse Boieldieu92042 Paris La Défense 8 CedexFrancewww.vmware.com/fr
Copyright © 2019 VMware, Inc. Tous droits réservés. Informations relatives aux copyrights et marques commerciales.
Présentation de vRealize Suite
VMware, Inc. 2
Table des matières
Présentation de VMware vRealize Suite 4
1 Introduction à vRealize Suite 5Fonctionnalités de vRealize Suite 5
Éditions et produits de vRealize Suite 6
Attribution de licence vRealize Suite 9
2 Présentation de l'architecture vRealize Suite 10SDDC (Software Defined Data Center) 10
Design conceptuel d'un environnement vRealize Suite 12
Produits vRealize Suite dans le cluster de gestion 14
Infrastructure principale de SDDC 16
Virtualisation et gestion de l'infrastructure vRealize Suite 16
Gestion de l'infrastructure principale de vRealize Suite 20
Surveillance de l'infrastructure principale de vRealize Suite 22
Livraison d'un service d'infrastructure 23
Livraison de PaaS (Platform as a Service) 24
Considérations sur la sécurité de vRealize Suite 25
Authentification et autorisation dans vRealize Suite 26
TLS et protection des données 29
Sécurisation de la couche physique 30
Sécurisation des couches virtuelles 34
Utilisation de VMware NSX pour sécuriser les charges de travail 37
3 Liste de vérification pour l'installation de vRealize Suite 43
4 Mise à niveau de versions antérieures de vRealize Suite ou vCloud Suite 45
VMware, Inc. 3
Présentation de VMware vRealize Suite
La Présentation de VMware vRealize Suite fournit une présentation de l'architecture et des informations sur l'installation, la configuration et l'utilisation de vRealize Suite.
Pour vous aider à démarrer, des discussions de haut niveau sur l'installation, la configuration et l'utilisation vous dirigent vers des ensembles dédiés de produits individuels pour une description détaillée des concepts et des procédures.
Public viséCes informations sont destinées à toute personne souhaitant déployer et utiliser les produits vRealize Suite pour surveiller et gérer un SDDC (Software-Defined Data Center). Ces informations s'adressent à des administrateurs de systèmes Windows ou Linux expérimentés qui connaissent la technologie des machines virtuelles et le fonctionnement des centres de données.
VMware, Inc. 4
Introduction à vRealize Suite 1vRealize Suite fournit une plate-forme de gestion de cloud complète pour la livraison, la surveillance et la gestion d'applications dans VMware vSphere® et autres hyperviseurs, notamment l'infrastructure physique, et les clouds privés et publics. vRealize Suite est disponible dans les éditions standard, avancée et d'entreprise.
Ce chapitre contient les rubriques suivantes :
n Fonctionnalités de vRealize Suite
n Éditions et produits de vRealize Suite
n Attribution de licence vRealize Suite
Fonctionnalités de vRealize SuiteFonctionnement intelligent, traitement automatisé, IaaS (Infrastructure as a Service) et traitement prêt pour DevOps sont les utilisations les plus courantes d'une solution de gestion de cloud. Le fonctionnement intelligent aide à mettre en œuvre un fonctionnement de centre de données simplifié et automatisé. Traitement automatisé, IaaS et traitement prêt pour DevOps permettent la livraison de services d'application et d'infrastructure.
Gestion d'opérations intelligentesLes opérations intelligentes assurent la gestion de la santé, des performances et des capacités des services informatiques dans un environnement de cloud hétérogène et hybride pour améliorer les performances et la disponibilité des services informatiques.
Traitement automatisé à IaaSLe traitement automatisé et IaaS automatisent la livraison et la gestion courante d'infrastructures informatiques pour réduire le temps de réponse aux demandes de ressources informatiques et pour améliorer la gestion courante des ressources provisionnées.
Traitement prêt pour DevOpsLe traitement prêt pour DevOps vous aide à construire une solution cloud pour les équipes de développement pouvant livrer une pile d'applications complètes avec ces fonctionnalités :
n Prise en charge du choix du développeur sous la forme d'API et d'accès aux ressources par interface utilisateur graphique.
VMware, Inc. 5
n Provisionnement de ressources dans un cloud hybride.
n Extension de l'étendue d'une solution en assurant la livraison continue pour accélérer la livraison des applications.
Éditions et produits de vRealize SuitevRealize Suite est disponible dans les éditions standard, avancée et d'entreprise. Une édition de vRealize Suite contient divers produits distincts avec des éditions de produits et capacités différentes.
Les éditions Standard, Advanced et Enterprise de vRealize Suite fournissent chacune un ensemble de fonctionnalités différent, décrit dans le tableau suivant.
Tableau 1-1. Capacités de la version de vRealize Suite
Produit vRealize Suite Capacité de vRealize Suite Standard Edition Advanced Edition Enterprise Edition
vRealize Operations Manager (inclut vRealize Log Insight)
Analyse des journaux Oui Oui Oui
Plate-forme d'opérations Oui Oui Oui
Visualisation Oui Oui Oui
Gestion des stratégies Oui Oui Oui
Surveillance et analyse des performances
Oui Oui Oui
Gestion de la capacité Oui Oui Oui
Équilibrage des charges de travail Oui Oui Oui
Gestion des modifications, de la configuration et de la conformité
Oui Oui Oui
Mappage des dépendances d'application
Oui Oui Oui
Surveillance des applications Non Non Oui
vRealize Business for Cloud
Mesure, définition du coût et fixation des prix automatiques de l'infrastructure virtuelle
Oui Oui Oui
Fixation automatique des prix du catalogue de services, intégrée à vRealize Automation
Oui Oui Oui
Analyse de la consommation de l'infrastructure virtuelle
Oui Oui Oui
Jeu de données exportable permettant la création de rapports automatiques
Oui Oui Oui
Comparaison du coût du cloud public et de celui de l'infrastructure de virtualisation
Oui Oui Oui
Définition du coût, analyse de la consommation et fixation des prix du cloud public
Non Oui Oui
Présentation de vRealize Suite
VMware, Inc. 6
Tableau 1-1. Capacités de la version de vRealize Suite (suite)
Produit vRealize Suite Capacité de vRealize Suite Standard Edition Advanced Edition Enterprise Edition
Justification basée sur les rôles dans l'infrastructure virtuelle et le cloud public
Non Oui Oui
Optimisation du centre de données intégrée à vRealize Operations Manager
Non Oui Oui
Quantification des opportunités de récupération de l'infrastructure virtuelle intégrée à vRealize Operations Manager
Non Oui Oui
Rapports personnalisés, graphiques visuels et API pour extraction automatique de données
Non Oui Oui
vRealize Automation Libre-service avec catalogue de services unifié et fonctions d'API
Non Oui Oui
Prise en charge de clouds virtuels, physiques et publics multifournisseurs
Non Oui Oui
IaaS. Gestion complète du cycle de vie du provisionnement des machines à un seul ou à plusieurs niveau(x)
Non Oui Oui
IaaS. Configuration du réseau et de la sécurité
Non Oui Oui
XaaS (Anything as a service). Création de services informatiques personnalisés
Non Oui Oui
XaaS. Peut être déployé en tant qu'élément de catalogue ou en tant qu'opération de jour 2
Non Oui Oui
Création d'applications. Création de composants logiciels et provisionnement de la pile d'applications
Non Non Oui
Création d'applications. Scripts logiciels dynamiques et liaisons de dépendances
Non Non Oui
Création d'applications. Configuration du réseau et de la sécurité en fonction des applications
Non Non Oui
Produits vRealize SuiteVMware vRealize Suite inclut certains produits ou un sous-ensemble de ces produits en fonction de l'édition de vRealize Suite que vous achetez.
Présentation de vRealize Suite
VMware, Inc. 7
Tableau 1-2. Produits inclus dans vRealize Suite
Nom du produit Description
vRealize Suite Lifecycle Manager Automatise les opérations Jour 0 à Jour 2 de l’intégralité de vRealize Suite pour une expérience opérationnelle simplifiée. vRealize Suite Lifecycle Manager automatise la gestion du cycle de vie dans un seul volet de façon transparente, libérant ainsi les ressources des clients pour qu'ils puissent se concentrer sur les initiatives stratégiques, tout en améliorant le retour sur investissement, la fiabilité et la cohérence.
vRealize Operations Manager Recueille des données de performance provenant de chaque objet à chaque niveau de votre environnement virtuel, des machines virtuelles et lecteurs de disque individuels à des clusters et centres de données complets. Il stocke et analyse les données et utilise cette analyse pour fournir des informations en temps réel sur les problèmes, réels ou potentiels, affectant n'importe quelle partie de votre environnement virtuel.
vRealize Log Insight Fournit une agrégation et un indexage évolutifs des journaux pour vRealize Suite, y compris toutes les éditions de vSphere, ainsi que des capacités de recherche et d'analyse en temps réel. Log Insight collecte, importe et analyse les journaux pour fournir des réponses en temps réel aux problèmes liés aux systèmes, aux services et aux applications dans l'ensemble des environnements physiques, virtuels et de cloud.
vRealize Automation Facilite le déploiement et le provisionnement de services de cloud appropriés à l'activité sur des clous privés et publics, une infrastructure physique, des hyperviseurs et des fournisseurs de cloud public. vRealize Automation Enterprise inclut vRealize Automation Application Services.
vRealize Orchestrator Simplifie l'automatisation de tâches informatiques complexes et s'intègre aux produits de vRealize Suite afin d'adapter et d'étendre la livraison de services et la gestion opérationnelle pour travailler efficacement avec l'infrastructure, les outils et les processus existants.
vRealize Business for Cloud Fournit des informations sur les aspects financiers de votre infrastructure de cloud et vous permet d'optimiser et d'améliorer ces opérations.
Éditions de vRealize Suiteet éditions de leurs produitsCertaines éditions de produits sont disponibles en versions Standard, Advanced et Enterprise de vRealize Suite.
Tableau 1-3. Éditions des produits logiciels vRealize Suite dans les éditions de Suite
Édition du produit vRealizevRealize Suite Standard Edition
vRealize Suite Advanced Edition
vRealize Suite Enterprise Edition
VMware vRealize Automation Advanced Edition Non Oui Non
VMware vRealize Automation Enterprise Edition Non Non Oui
VMware vRealize Operations Management Suite (Advanced)
Oui Oui Oui
Surveillance des applications VMware vRealize Operations Management Suite
Non Non Oui
VMware vRealize Business for CloudStandard Edition
Oui Non Non
Présentation de vRealize Suite
VMware, Inc. 8
Tableau 1-3. Éditions des produits logiciels vRealize Suite dans les éditions de Suite (suite)
Édition du produit vRealizevRealize Suite Standard Edition
vRealize Suite Advanced Edition
vRealize Suite Enterprise Edition
VMware vRealize Business for Cloud Advanced Edition
Non Oui Oui
VMware vRealize Orchestrator - - -
VMware vRealize Log Insight Oui Oui Oui
Attribution de licence vRealize SuiteLes produits contenus dans vRealize Suite peuvent faire l'objet d'une licence individuelle ou être inclus dans vRealize Suite 2017.
Vous obtenez et utilisez un type de licence pour mettre des produits vRealize Suite sous licence.
Tableau 1-4. Types de licence compatibles avec les produits vRealize Suite
Type de licence Capacités de la licence
Licence pour produit individuel Certains produits sont proposés en tant que produits autonomes pour lesquels vous pouvez obtenir une licence par machine virtuelle en utilisant la licence du produit. Les licences pour produit individuel sont destinées aux charges de travail sur cloud public ou aux charges de travail sur matériel physique.
Unité de licence portable (PLU) pour vRealize Suite Une Unité de licence portable (Portable License Unit ou PLU) vous permet de provisionner et de gérer des charges de travail dans des environnements vSphere et hybrides incluant des fournisseurs de cloud public et privé. Une PLU est une SKU unique qui mesure les charges de travail dans des environnements vSphere et hybrides, et qui prend en charge les mesures de CPU et de machine virtuelle. Chaque PLU fournit une licence pour un CPU pour un nombre illimité de machines virtuelles ou pour 15 instances du système d'exploitation.
Pour plus d'informations sur les PLU, reportez-vous à Gestion des licences, fixation des prix et conditionnement de VMware vRealize Suite et vCloud Suite.
Présentation de vRealize Suite
VMware, Inc. 9
Présentation de l'architecture vRealize Suite 2L'architecture décrit le mode d'interaction des produits vRealize Suite entre eux et avec les systèmes du centre de données pour livrer un SDDC (Software Defined Data Center).
Ce chapitre contient les rubriques suivantes :
n SDDC (Software Defined Data Center)
n Design conceptuel d'un environnement vRealize Suite
n Produits vRealize Suite dans le cluster de gestion
n Infrastructure principale de SDDC
n Considérations sur la sécurité de vRealize Suite
SDDC (Software Defined Data Center)Le SDDC (software-defined data center) fournit différents types de capacités, les fonctionnalités les plus complexes s'appuyant sur l'infrastructure sous-jacente. Pour activer toutes les fonctionnalités de vRealize Suite, vous devez effectuer une série d'opérations d'installation et de configuration.
La livraison des capacités entièrement opérationnelles de vRealize Suite à votre organisation ou à vos clients est un processus structuré. Dans une grande organisation, cela peut impliquer des cycles d'évaluation, de conception, de déploiement, de transfert de connaissances et de validation de solutions. Selon votre organisation, vous devez planifier un processus étendu impliquant différents rôles.
Tous les environnements n'ont pas besoin de toutes les possibilités de vRealize Suite à un moment précis. Commencez par déployer l'infrastructure principale du centre de données, ce qui vous permet d'ajouter des capacités si votre organisation en a besoin. Pour chacune des couches de SDDC, vous devrez éventuellement planifier et effectuer un processus de déploiement distinct.
VMware, Inc. 10
Figure 2-1. Couches du SDDC
Gestion desservices
Gestion du portefeuille
Gestion desopérations
Couche degestion du
cloud
Catalogue de services
Portail en libre-service
Orchestration
Continuitéd'activité
Fault Tolerance et Disaster Recovery
Sauvegarde et restauration
Hyperviseur
Pools de ressources
Contrôle de la virtualisation
Couched'infrastructure
virtuelle
Calcul
Stockage
Réseau
Couchephysique
Sécurité
Réplication Conformité
Risque
Gouvernance
Couche physique La couche la plus basse de la solution inclut les composants de calcul, de réseau et de stockage. Le composant de calcul contient les serveurs x86 qui exécutent les charges de travail de calcul, de gestion, de périphérie et de locataires. Le composant de stockage fournit la base physique pour le SDDC et le cloud d'automatisation informatique.
Couche d'infrastructure virtuelle
La couche d'infrastructure virtuelle inclut la plate-forme de virtualisation dotée de l'hyperviseur, du pooling de ressources et du contrôle de virtualisation. Les produits VMware dans cette couche sont vSphere, VMware NSX, ESXi et vCenter Server. Ces produits établissent un environnement virtualisé robuste dans lequel toutes les autres solutions s'intègrent. L'abstraction des ressources à partir de la couche physique fournit la base de l'intégration de solutions d'orchestration et de surveillance VMware. D'autres processus et technologies s'appuient sur l'infrastructure pour activer IaaS (Infrastructure as a Service) et PaaS (Platform as a Service).
Couche de gestion du cloud
La couche de gestion du cloud inclut le catalogue de services, qui héberge les fonctionnalités à déployer, l'orchestration, qui fournit les workflows pour déployer les éléments du catalogue, et le portail en libre-service qui permet aux utilisateurs finaux d'utiliser le SDDC. vRealize Automation fournit le portail et le catalogue, et les capacités intégrées de vRealize Orchestrator aident à gérer les workflows pour automatiser des processus informatiques complexes.
Gestion des services Utilisez la gestion des services pour suivre et analyser le fonctionnement de plusieurs sources de données dans le SDDC multirégion. Déployez vRealize Operations Manager et vRealize Log Insight dans plusieurs nœuds pour une disponibilité continue et une augmentation des taux d'ingestion de journaux.
Présentation de vRealize Suite
VMware, Inc. 11
Continuité d'activité Utilisez la continuité d'activité pour créer des travaux de sauvegarde dans vSphere Data Protection pour vRealize Operations Manager, vRealize Log Insight, VMware NSX et vRealize Automation. Si une panne de matériel se produit, vous pouvez restaurer les composants de ces produits à partir des sauvegardes effectuées.
Sécurité VMware livre l'infrastructure de l'architecture de référence de conformité et la plate-forme prête pour l'audit assurant la conformité. Les clients utilisent la plate-forme pour répondre aux spécifications de conformité exigeantes des charges de travail virtualisées et pour gérer le risque professionnel. Les produits VMware et les produits compatibles des partenaires sont soigneusement mappés pour répondre aux exigences des sources d'autorisation, par exemple PCI DSS, HIPAA, FedRAMP et CJIS. Les principaux documents de l'infrastructure de l'architecture de référence de conformité sont les suivants :
n Les guides d'applicabilité des produits fournissent les descriptions de suites de produits VMware produit par produit, discutant la réglementation avec un mappage des contrôles réglementaires des fonctionnalités des produits.
n Les guides de conception d'architecture fournissent des réflexions sur la construction d'un environnement VMware vRealize sécurisé, conforme, qui respecte les réglementations spécifiques.
n Les documents de l'architecture de référence validés fournissent une preuve du respect des réglementations à partir d'une étude d'audit que vous pouvez appliquer à votre environnement.
Pour consulter les documents, accédez à VMware Marketplace et sélectionnez Solutions de conformité.
Vous pouvez améliorer votre environnement vRealize Suite en intégrant des produits et des services VMware supplémentaires. Ces produits ont des capacités telles que la récupération d'urgence dans le cloud, le stockage défini par logiciel (Software-Defined Storage) et la mise en réseau définie par logiciel (Software-Defined Networking).
Design conceptuel d'un environnement vRealize SuitePour démarrer le déploiement de vRealize Suite, vous n'avez besoin que d'un petit nombre d'hôtes physiques. La base la meilleure et la plus sécurisée pour dimensionner votre environnement consiste à distribuer vos hôtes en clusters de gestion, en clusters Edge et en clusters de charge utile pour établir la base d'un déploiement pouvant ultérieurement évoluer jusqu'à des dizaines de milliers de machines virtuelles.
Les clusters exécutent toute l'infrastructure de vRealize Suite, notamment les charges de travail des clients.
Présentation de vRealize Suite
VMware, Inc. 12
Le déploiement et l'utilisation de vRealize Suite impliquent une transformation technologique et opérationnelle. Lors du déploiement de nouvelles technologies dans le centre de données, votre organisation doit également mettre en œuvre des processus appropriés et attribuer les rôles nécessaires. Par exemple, vous pouvez avoir besoin de processus pour traiter les nouvelles informations recueillies. Chaque produit de gestion a besoin d'un ou de plusieurs administrateurs, dont certains peuvent avoir des niveaux variables d'accès.
Le diagramme montre les possibilités technologiques et les structures organisationnelles.
Figure 2-2. Design conceptuel d'un environnement vRealize Suite
Équilibrage de charge
Locataire
Organisation
Fournisseur
Opérations
Portail Portail
Gestion de la virtualisation
Cluster Edge Cluster de calcul
Moteur IaaS, PaaS, ITaaS
vRealize Automation
vCenter
Gestion des performances
et de la capacité
vRealize Operations
vRealize Business for Cloud
Gestion et analyse
des journaux
vRealizeLog Insight
Contrôle de l'activitéinformatique
Contrôle desservices
Contrôle desopérations
Contrôle del'infrastructure
• Commencer avec trois hôtes• Commencer avec deux
clusters• Commencer avec trois hôtes
Cluster de gestion
• Commencer avec trois hôtes
Orchestration
Les clusters, comportant chacun un minimum de trois hôtes, constituent la base de votre implémentation de vRealize Suite.
Cluster de gestion Les hôtes du cluster de gestion exécutent les composants de gestion requis pour prendre en charge le SDDC. Un cluster gestion spécifique est requis pour chaque emplacement physique. Vous pouvez installer manuellement des hôtes ESXi qui exécutent le cluster de gestion, puis les configurer pour utiliser des disques durs locaux pour démarrer.
Un cluster de gestion assure l'isolation des ressources. Les applications de production, les applications de test et d'autres types d'applications ne peuvent pas utiliser les ressources de cluster réservées pour les services de gestion, de surveillance et d'infrastructure. L'isolation des ressources
Présentation de vRealize Suite
VMware, Inc. 13
aide les services de gestion et d'infrastructure à fonctionner à un niveau de performance optimal. Un cluster séparé peut satisfaire une stratégie d'organisation exigeant une isolation physique entre le matériel de gestion et le matériel de charge utile du client.
Cluster Edge Le cluster Edge prend en charge des périphériques réseau qui assurent l'interconnectivité entre les environnements. Il fournit une capacité protégée au moyen de laquelle les réseaux internes du centre de données se connectent par des passerelles à des réseaux externes. Les services Edge de mise en réseau et la gestion du trafic réseau s'effectuent dans le cluster. Toute la connectivité réseau vers l'extérieur se termine dans ce cluster.
Une instance dédiée de vCenter Server qui est associée à VMwareNSXgère les hôtes ESXi dans le cluster Edge. La même instance de vCenter Server gère les clusters de charge utile qui nécessitent un accès à des réseaux externes.
Le cluster Edge peut être petit et être composé d'hôtes ESXi disposant d'une capacité inférieure à ceux des clusters de gestion et de charge utile.
Cluster de charge utile Le cluster de charge utile prend en charge la livraison de toutes les autres charges utiles autres que celles des clients Edge. Le cluster reste vide jusqu'à ce qu'un consommateur de l'environnement commence à le remplir de machines virtuelles. Vous pouvez monter en puissance en ajoutant d'autres clusters de charge utile.
Lorsque le centre de données grandit, vous pouvez créer de nouveaux clusters Edge et de charge utile, monter en puissance en ajoutant des ressources ou en ajoutant des hôtes.
Produits vRealize Suite dans le cluster de gestionLe nombre de produits vRealize Suite dans le cluster de gestion augmente lorsque vous ajoutez des possibilités. Un cluster de gestion doit contenir un ensemble minimal de produits. Vous pouvez développer l'ensemble de produits lorsque vous avez besoin de possibilités supplémentaires.
Présentation de vRealize Suite
VMware, Inc. 14
Figure 2-3. Produits VMware dans le cluster de gestion
vRealizeBusinessfor Cloud
Cluster de gestion
Gestion
vCenter Server
Réseaux
NSX vRealize Network Insight
Gestion des performances et de la capacité
vRealizeOperationsManager
Continuité d'activité et récupération d'urgence
vSphereReplication
vSphereData
Protection
SiteRecoveryManager
IaaS & PaaS
vRealizeAutomation
vRealize Orchestrator
Réplicationsur un sitesecondaire
Ensemble minimal de produits du cluster de gestionLe cluster de gestion inclut toujours une instance de vCenter Server.
vRealize Suite n'inclut pas par défaut de solutions de mise en réseau VMware. NSX for vSphere peut remplir les fonctions de mise en réseau du cluster de gestion de vRealize Suite. NSX fournit la virtualisation de la couche 2 à la couche 7, avec des stratégies de sécurité qui suivent les charges de travail dans le centre de données pour assurer un provisionnement et une gestion de réseau plus rapides. Vous pouvez acheter NSX for vSphere à un prix réduit.
Note vCloud Networking and Security était inclus avec la version précédente de vRealize Suite, et effectuait des fonctions de mise en réseau du cluster de gestion. vCloud Networking and Security ne fait plus partie de vRealize Suite.
Ensemble étendu de produitsComme la complexité de l'environnement augmente, vous installez et configurez des produits supplémentaires. Par exemple, vRealize Operations Manager et les produits associés fournissent des fonctionnalités de surveillance avancées. vRealize Automation est l'élément clé de votre solution IaaS, car il permet une modélisation et un provisionnement rapides de serveurs et de postes de travail sur des infrastructures virtuelles et physiques, privées et publiques, ou des infrastructures de cloud hybride. Une instance de vCenter Site Recovery Manager peut fournir une réplication sur un site secondaire à des fins de récupération d'urgence.
Présentation de vRealize Suite
VMware, Inc. 15
Infrastructure principale de SDDCL'infrastructure principale de SDDC est composée de produits vSphere et vRealize Suite tels que vRealize Operations Manager et vRealize Log Insight pour la surveillance, vRealize AutomationvRealize Orchestrator pour la gestion des workflows, et vRealize Business for Cloud pour l'estimation des coûts de revient.
L'infrastructure principale inclut la couche physique, la couche d'infrastructure virtuelle et la couche de gestion de cloud. La virtualisation principale fait partie de la couche d'infrastructure virtuelle, tandis que le catalogue de services et les services d'orchestration font partie de la couche de gestion de cloud. La couche d'infrastructure virtuelle permet la consolidation et le pooling de ressources physiques sous-jacentes. La couche de gestion de cloud fournit les possibilités d'orchestration et réduit les coûts associés à l'exploitation d'un centre de données sur site. La couche de gestion des services fournit des capacités d'identification et de résolution proactives de problèmes émergeants avec analyse prédictive et alertes intelligentes, garantissant des performances optimales ainsi que la disponibilité des applications et de l'infrastructure.
Les produits vRealize Suite de l'infrastructure SDDC contribuent à gérer efficacement la performance, la disponibilité et la capacité des ressources sur un environnement virtuel et cloud hybride. L'infrastructure principale aide à gérer des environnements de cloud hybride et hétérogène, sur site ou hors site, en fonction de vSphere ou d'autres technologies tierces.
Lorsque l'infrastructure SDDC est en place, vous pouvez l'étendre pour fournir IaaS (Infrastructure as a service) et PaaS (Platform as a service) à des consommateurs de ressources informatiques à l'intérieur ou à l'extérieur de l'organisation. IaaS et PaaS complètent la plate-forme SDDC, et fournissent d'autres opportunités d'extension des capacités. Avec IaaS et PaaS, vous augmentez l'agilité des services informatiques et des opérations des développeurs.
Figure 2-4. Étapes de construction de l'infrastructure SDDC
OrchestrationVirtualisation SurveillanceInfrastructure
adaptée à SDDC
Virtualisation et gestion de l'infrastructure vRealize SuiteLes différents produits VMware qui sont inclus dans vRealize Suite fournissent les possibilités de virtualisation et de gestion requis pour la base de vRealize Suite. Pour établir une base robuste pour votre centre de données, installez et configurez vCenter Server, ESXi, et ses composants de support.
Déploiement de cloud hybrideAvec vRealize Suite, les entreprises peuvent étendre leur charge de travail de cloud privé au cloud public, pour capitaliser le provisionnement à la demande, en libre-service et élastique de points de terminaison tout en tirant parti de l'environnement de gestion, de la fiabilité et des performances d'un cloud privé optimisé par vRealize Suite.
Présentation de vRealize Suite
VMware, Inc. 16
L'utilisation de vRealize Automation et de vRealize Orchestrator dans la couche de gestion cloud d'un SDDC permet aux entreprises de provisionner des machines virtuelles et des points de terminaison allant au-delà des environnements vSphere jusqu'aux environnements qui ne sont pas basés sur vSphere. Les environnements non-vSphere qui ne sont pas basés sur vSphere peuvent être des centres de données privés ou des fournisseurs de clouds publics. La couche de gestion des services de SDDC permet de surveiller les points de terminaison de vSphere et les points de terminaison qui ne sont pas basés sur vSphere. vRealize Operations Manager et vRealize Log Insight sont les produits clés de la couche de gestion des services qui aident des entreprises à fournir une analyse sur les machines virtuelles.
Informations relatives à la conception d'ESXi et de vCenter ServerLes décisions de conception pour la virtualisation de SDDC doivent régler les problèmes spécifiques de déploiement et de support de ESXi et de vCenter Server.
Tenez compte des décisions de conception suivantes lorsque vous planifiez le déploiement d'hôtes ESXi.
ESXi
n Utilisez un outil tel que VMware Capacity Planner pour analyser les performances et l'utilisation de serveurs existants.
n Utilisez les plates-formes de serveur prises en charge répertoriées dans Guide de compatibilité VMware.
n Vérifiez que votre matériel répond à la configuration système minimale requise pour l'exécution d'ESXi.
n Pour éliminer la variabilité et obtenir une infrastructure gérable et pouvant être prise en charge, normalisez la configuration physique des hôtes ESXi.
n Vous pouvez déployer des hôtes ESXi manuellement ou en utilisant une méthode d'installation automatisée telle que vSphere Auto Deploy. Une approche valide consiste à déployer manuellement le cluster de gestion et de mettre en œuvre vSphere Auto Deploy pour accompagner la croissance de votre environnement.
vCenter Server
n Vous pouvez déployer vCenter Server comme un dispositif virtuel Linux ou sur une machine physique ou virtuelle Windows 64 bits.
Note vCenter Server sur Windows monte en puissance pour prendre en charge jusqu'à 10 000 machines virtuelles sous tension. vCenter Server Appliance est un autre choix qui est préconfiguré et permet un déploiement plus rapide et une réduction des coûts de licences du système d'exploitation. Lors de l'utilisation d'une base de données Oracle externe, vCenter Server Appliance peut prendre en charge un maximum de 10 000 machines virtuelles.
n Fournissez suffisamment de ressources système virtuelles pour vCenter Server.
Présentation de vRealize Suite
VMware, Inc. 17
n Déployez vSphere Web Client et vSphere Client pour les interfaces utilisateur dans votre environnement. Déployez vSphere Command Line Interface (vCLI) ou vSphere PowerCLI pour une gestion sur ligne de commande ou par script. vCLI et vSphere SDK for Perl sont introduits dans vSphere Management Assistant.
Considérations relatives à la conception d'un réseauAlors que la virtualisation et l'informatique dématérialisée se généralisent dans les centres de données, une mutation s'opère dans le modèle traditionnel de mise en réseau à trois couches. Le modèle traditionnel à trois couches (cœur de réseau, couche d'agrégation et couche d'accès) est supplanté par une conception maillée (feuille-épine dorsale).
La conception du réseau doit être pensée pour répondre aux besoins variés des différentes entités composant une organisation. Ces entités incluent des applications, services, stockages, administrateurs et utilisateurs.
n Utilisez un accès contrôlé là où cela est requis, et l'isolation lorsque cela est nécessaire pour fournir un niveau de sécurité acceptable.
n Utilisez une conception maillée (feuille-épine dorsale) pour simplifier l'architecture du réseau.
n Configurez les noms de groupes de ports communs sur les divers hôtes afin de prendre en charge la migration des machines virtuelles et le basculement.
n Isolez les principaux services de réseau les uns des autres pour obtenir un niveau de sécurité plus élevé et de meilleures performances.
L'isolation du réseau est souvent recommandée comme constituant la meilleure pratique dans les centres de données. Un environnement vRealize Suite peut comporter plusieurs VLAN clés s'étendant à deux clusters matériels ou plus.
Dans l'illustration suivante, tous les hôtes font partie de la gestion d'ESXi, vSphere vMotion, de VXLAN et des VLAN NFS. L'hôte de gestion est également connecté au VLAN externe, et chaque hôte d'extrémité se connecte à son VLAN spécifique au client.
Dans cette situation, les connexions utilisent le protocole LACP (Link Aggregation Control Protocol) fourni par un vSphere Distributed Switch pour agréger la bande passante des cartes d'interface réseau physiques sur les hôtes ESXi connectés aux canaux de port LACP. Il est possible de créer plusieurs groupes d'agrégation de liens (LAG) sur un commutateur distribué. Un LAG inclut deux ports ou plus et connecte les cartes d'interface réseau physiques aux ports. Les ports LAG sont associés dans le groupe d'agrégation de liens à des fins de redondance. Le trafic réseau, quant à lui, fait l'objet d'un équilibrage de charge entre les ports à l'aide d'un algorithme LACP.
Reportez-vous à Prise en charge du protocole LACP sur un vSphere Distributed Switch.
Présentation de vRealize Suite
VMware, Inc. 18
Figure 2-5. Divers types d'hôtes ESXi se connectent à des VLAN différents
Gestion de VLAN ESXi
VLAN vSphere vMotion
VLAN VTEP (VXLAN)
Client VLAN 1(Hôte d'extrémité)
Client VLAN 2(Hôte d'extrémité)
vSphere Distributed Switch
LAG 1-1LAG 1LAG 1-0
HôteESXi 1
vmnic1vmnic0
Canal de portLACP Commutateur physique
VLAN NFS
Gestion externe de VLAN(Hôte de gestion)
HôteESXi 2
vmnic1vmnic0
Canal de portLACP
Considérations relatives à la conception du stockage partagéUn stockage bien conçu constitue la base d'un centre de données virtuel performant.
n La conception du stockage doit être optimisée afin de répondre aux besoins variés des applications, services, administrateurs et utilisateurs.
n Les niveaux de stockage ont des spécificités différentes en matière de performances, de capacité et de disponibilité.
n La conception de niveau de stockage différent est une opération rentable car les applications n'ont pas toutes besoin d'un stockage coûteux, hautement performant et à haute disponibilité.
n Les technologies Fibre Channel, NFS et iSCSI constituent des options sages et viables pour prendre en charge les besoins des machines virtuelles.
L'illustration suivante présente la façon dont divers types d'hôtes exploitent des baies de stockage différentes. Les hôtes du cluster de gestion ont besoin de stockage pour la gestion, la surveillance et les portails. Les hôtes du cluster Edge ont besoin d'un stockage auquel le client peut accéder. Un hôte du cluster de charge utile a accès à un stockage spécifique au client. Différents hôtes du cluster de charge utile ont accès à un stockage différent.
Présentation de vRealize Suite
VMware, Inc. 19
L'administrateur de stockage peut gérer tout le stockage. Cependant, il n'a pas accès aux données du client.
Figure 2-6. Stockage prenant en charge les différents hôtes
Dispositif virtuel
Dispositifvirtuel
Dispositifvirtuel
APPSE
APPSE
APPSE
Dispositifvirtuel
Dispositifvirtuel
Dispositifvirtuel
Locataire n
Cluster de gestion Cluster Edge Cluster de calcul
Locataire 1
Hôte ESXi Hôte ESXi Hôte ESXi
Banques de données
Gest. Surveillance Portails EdgesGroupe 1
EdgesGroupe 2
EdgesGroupe N
Charges
SLA 1utiles
Stockage défini par logiciel
Gestion du stockage basée sur stratégieServices de données virtualisés
Abstraction du stockage ou de l'hyperviseur
SAN ou NAS ou DAS(Tiers ou VMware Virtual SAN)
Disques physiques
SSD FC15K FC10K SATA
VMDK
Fichiers d'échange + Journaux
Exemple de LUN
Niveau0 Niveau1 Niveau2 Niveau3
Administrateurde stockage
partagéesBanques de données
partagéesCharges
SLA 2utiles
Charges
SLA Nutiles
Niveau0 Niveau1 Niveau2 Niveau3
SSD FC15K FC10K SATA
Banques de donnéespartagées
Gestion de l'infrastructure principale de vRealize SuiteLa gestion d'un SDDC s'accompagne d'opérations nombreuses et souvent répétitives. Dans vRealize Suite, vous pouvez utiliser vRealize Orchestratorpour gérer des processus complexes par le biais de workflows.
La couche de gestion du cloud permet de créer des workflows semblables à des macros qui automatisent des processus manuels. L'orchestration permet de fournir des opérations qui se répètent.
Présentation de vRealize Suite
VMware, Inc. 20
Au sein de la couche de gestion du cloud, des workflows peuvent être déclenchés automatiquement ou manuellement.
n vRealize Automation peut développer des workflows de vRealize Orchestrator.
n Vous pouvez également publier des workflows dans votre catalogue de services et les déclencher manuellement.
L'établissement d'un moteur d'orchestration à un stade précoce du processus est bénéfique pour tous les niveaux de maturité du client et constitue la base sur laquelle le reste de la solution s'appuie. Déployez au moins une instance de vCenter Server pour chaque système vCenter Server de votre environnement en fonction des exigences liées à votre charge.
La couche d'orchestration contient les éléments principaux suivants.
n vRealize Orchestrator
n Plug-ins vRealize Orchestrator
Figure 2-7. Conception de la couche d'orchestration de vRealize Suite
Plug-ins vRO
vRealize Orchestrator Appliance
Base de données intégrée
AD, LDAP ou vCenter Single Sign-On
Plug-ins activés
vCenter Server
À plusieurs nœuds
AD
Authentification
Configuration de vRealize Orchestrator
Conception de vRealize Orchestrator
Présentation de vRealize Suite
VMware, Inc. 21
Tableau 2-1. Composants de la couche d'orchestration de vRealize Suite
Composant Description
Dispositif vRealize Orchestrator Il est possible de déployer vRealize Orchestrator en tant que dispositif virtuel. Le dispositif vRealize Orchestrator, lorsqu'il s'exécute en mode autonome et non HA, constitue l'approche recommandée pour les petits déploiements.
Authentification Fournie par Active Directory ou vCenter Single Sign-On.
Interface de configuration de vRealize Orchestrator Utilisez l'interface de configuration basée sur le Web pour configurer la base de données du dispositif, le certificat TLS, la licence, etc.
Interface de conception de vRealize Orchestrator Utilisez l'interface de conception basée sur le Web pour créer et personnaliser des workflows.
Plug-in vCenter Server Utilisez le plug-in vRealize Orchestrator pour gérer plusieurs instances de vCenter Server. Le plug-in fournit une bibliothèque de workflows standard qui automatisent les opérations de vCenter Server.
Plug-in à plusieurs nœuds Utilisez le plug-in vRealize Orchestrator à plusieursnœuds pour gérer à distance vRealize Orchestrator et l'exécution du workflow.
Surveillance de l'infrastructure principale de vRealize SuiteLa capacité de surveillance est un élément requis d'un SDDC. L'élément de surveillance fournit des possibilités de gestion des performances et de la capacité de composants d'infrastructures associées, notamment la satisfaction des exigences, les spécifications, la gestion et leurs relations.
Les produits de surveillance de vRealize Suite incluent plusieurs produits VMware.
Tableau 2-2. Produits de surveillance de vRealize Suite
Produit de surveillance Description
vRealize Operations Manager Fournit des informations sur les performances, la capacité et la santé de votre infrastructure. Distribué en tant que dispositif virtuel que vous pouvez déployer sur des hôtes ESXi. Configurez le dispositif virtuel et enregistrez-le dans un système vCenter Server. Reportez-vous à la documentation de vRealize Operations Manager.
vRealize Log Insight Collecte et analyse des données de journaux pour fournir des réponses en temps quasi réel aux problèmes liés aux systèmes, aux services et aux applications, et apporte un éclairage important. Reportez-vous à la documentation de vRealize Log Insight.
Vous pouvez déployer tous les produits de surveillance ou seulement certains d'entre eux sans compromettre l'intégrité de la solution.
Présentation de vRealize Suite
VMware, Inc. 22
Livraison d'un service d'infrastructureLa possibilité de livrer IaaS (Infrastructure as a service) représente la transformation technologique et organisationnelle des opérations de centre de données au cloud. Vous pouvez modéliser et provisionner des machines virtuelles et des services sur une infrastructure privée, publique ou cloud hybride.
Dans SDDC, les groupes de fournisseurs ou les organisations peuvent isoler et abstraire des ressources sous la forme de services d'infrastructure et d'application, puis les rendre disponibles aux groupes ou aux organisations de locataire.
La couche de gestion du cloud fournit un portail d'utilisateur en libre-service qui réduit les frais généraux administratifs par l'utilisation de stratégies pour provisionner des services d'infrastructure. Les administrateurs utilisent des stratégies pour contrôler la consommation de services d'une manière détaillée et flexible. Des exigences d'approbation peuvent faire partie de chaque service.
Vous pouvez construire le service d'infrastructure en utilisant plusieurs composants.
Tableau 2-3. Composants du service d'infrastructure
Section du service d'infrastructure Composants de conception
Dispositif virtuel vRealize Automation n Serveur Web de portail ou serveur d'applications vRealize Automation
n Base de données vPostgreSQL de vRealize Automation
IaaS vRealize Automation n Serveur Web IaaS vRealize Automation
n Services de gestionnaire IaaS vRealize Automation
Distributed Execution Manager Les instances de Distributed Execution Managers vRealize Automation sont composées d'instances de DEM Orchestrator et d'instances de DEM Worker.
Intégration Machines d'agents vRealize Automation
Gestion des coûts vRealize Business for Cloud
Provisionnement de l'infrastructure n Environnement vSphere
n Environnement vRealize Orchestrator
n Autre environnement physique, virtuel ou cloud
Infrastructure de prise en charge n Environnement de base de données Microsoft SQL
n Environnement LDAP ou Active Directory
n Environnement SMTP et e-mail
Un service d'infrastructure est déployé en plusieurs étapes.
Figure 2-8. Étapes d'un déploiement IaaS
Portail enlibre service
Composantsd'infrastructure
Services et locataires
Gestion des coûts
Infrastructureadaptée au service
Présentation de vRealize Suite
VMware, Inc. 23
Pour une discussion approfondie sur les concepts clés d'IaaS, reportez-vous à la documentation de vRealize Automation sur IaaS (Infrastructure en tant que service).
Portail en libre-service vRealize Automation offre un portail sécurisé dans lequel les administrateurs, développeurs ou utilisateurs peuvent demander de nouveaux services informatiques.
Composants d'infrastructure
Pour déployer vRealize Automation, vous configurez des produits VMware tels que vSphere et vCloud Air, puis vous configurez des composants vRealize Automation tels que des points de terminaison de machines physiques, des groupes Fabric et des Blueprints.
Services et locataires Le catalogue de services offre un portail en libre-service unifié pour l'utilisation de services informatiques. Les utilisateurs peuvent parcourir le catalogue afin de demander des éléments dont ils ont besoin, effectuer le suivi de leurs demandes et gérer leurs éléments provisionnés.
Gestion des coûts Les solutions intégrées à vRealize Automation, telles que vRealize Business for Cloud, prennent en charge l'exploration et la gestion des coûts.
Livraison de PaaS (Platform as a Service)Utilisez PaaS (Platform-as-a-Service) pour modéliser et provisionner des applications dans des infrastructures privées, publics et cloud hybride.
PaaS est un type de service informatique cloud qui fournit une plate-forme de calcul et une pile de solutions en tant que service. Avec SaaS (Software-as-a-Service) et IaaS (Infrastructure-as-Service), PaaS est un modèle de service de calcul cloud qui vous permet d'utiliser des outils et des bibliothèques que le fournisseur propose pour créer une application ou un service. Vous contrôlez les paramètres de déploiement et de configuration du logiciel. Le fournisseur fournit les réseaux, les serveurs et les autres services requis pour héberger votre application.
Automatiser le provisionnement des applicationsUn aspect clé de PaaS est la capacité d'automatiser le provisionnement d'applications. vRealize Automation est une solution de provisionnement d'applications basée sur un modèle qui simplifie la création et la normalisation des topologies de déploiement d'applications sur des infrastructures cloud. Les architectes d'applications utilisent des fonctionnalités glisser-déplacer pour créer des topologies de déploiement d'applications nommées Blueprints. Ces Blueprints d'application définissent la structure de l'application, permettent d'utiliser des composants d'infrastructure d'application normalisés et d'inclure des dépendances d'installation et des configurations par défaut dans des applications d'entreprise personnalisées et modularisées. Vous pouvez utiliser le catalogue prérempli et extensible de modèles logiques standard, le service d'infrastructure d'application, les composants et les scripts pour modéliser un Blueprint d'application. Les Blueprints d'application sont des topologies de déploiement logiques qui sont compatibles entre les clouds IaaS, tels que vRealize Automation, et entre les clouds publics tels qu'Amazon EC2.
Présentation de vRealize Suite
VMware, Inc. 24
À l'aide de vRealize Automation, vous spécifiez la structure d'applications et de services en partant du principe que l'infrastructure de cloud sous-jacente répond aux conditions requises de calcul, de réseau et de stockage. Vous pouvez déployer les Blueprints vRealize Automation sur n'importe quel cloud privé ou public basé sur VMware vSphere. Ce modèle de provisionnement d'application libère les développeurs et les administrateurs d'applications de la gestion de la configuration de l'infrastructure, du système d'exploitation et des logiciels intermédiaires, et permet à votre entreprise de se concentrer sur l'apport de valeur professionnelle avec ses applications.
Les utilisateurs d'entreprise peuvent normaliser, déployer, configurer, mettre à jour et dimensionner des applications complexes dans des environnements de cloud dynamiques. Ces applications vont des applications Web simples aux applications personnalisées complexes et aux applications modularisées. Avec sa bibliothèque de composants ou de services standard, vRealize Automation Application Services automatise et gère le cycle de vie de mise à jour des déploiements d'applications d'entreprise multiniveau dans des environnements de cloud hybride.
Surveiller la performance des applicationsLa surveillance offre des possibilités de gestion des performances liées aux applications.
Composants d'applications préconstruitsVMware Cloud Management Marketplace fournit des Blueprints, des services, des scripts et des plug-ins que vous pouvez télécharger et utiliser pour développer vos propres services d'application. Les grands fournisseurs de logiciels intermédiaires, de mise en réseau, de sécurité et d'applications fournissent des composants préfabriqués qui utilisent des configurations réutilisables et flexibles que vous pouvez insérer dans tout plan de provisionnement d'applications multiniveau.
Considérations sur la sécurité de vRealize SuiteChaque produit vRealize Suite doit respecter des exigences de sécurité. Vous devez réfléchir à l'authentification et à l'autorisation de chaque produit, vous assurer que les certificats respectent les exigences de l'entreprise et mettre en œuvre l'isolation du réseau.
La documentation relative aux familles de produits ou aux produits individuels peuvent vous aider à sécuriser votre environnement. Ce document se consacre plus spécialement aux étapes supplémentaires que vous devez suivre pour sécuriser la suite de produits.
Tableau 2-4. Documentation sur la sécurité des produits vRealize Suite
Produit Documentation
vCenter ServerESXi Reportez-vous à la documentation de Sécurité vSphere pour en savoir plus sur de nombreux sujets, notamment sur la gestion des certificats, la sécurisation d'ESXi et la sécurisation de vCenter Server, ainsi que sur l'authentification et l'autorisation.
Reportez-vous au livre blanc Sécurité de VMware Hypervisor pour obtenir des informations sur la sécurité d' ESXi.
vSphere Reportez-vous aux Guides de la sécurisation renforcée de vSphere en ce qui concerne vos produits vSphere.
Présentation de vRealize Suite
VMware, Inc. 25
Tableau 2-4. Documentation sur la sécurité des produits vRealize Suite (suite)
Produit Documentation
vRealize Automation et produits associés. Consultez le Préparation à l'installation de dans la documentation vRealize Automation pour plus d'informations sur les certificats, les phrases secrètes, la sécurité de l'utilisateur, l'utilisation de groupes de sécurité, etc.
Consultez le Guide sur la configuration sécurisée de vRealize Automation pour en savoir plus sur l'optimisation de la configuration sécurisée de votre environnement vRealize Automation.
vRealize Suite Lifecycle Manager Consultez le Guide de sécurisation renforcée de vRealize Suite Lifecycle Manager pour plus d’informations sur l’optimisation de la configuration sécurisée de votre environnement vRealize Suite Lifecycle Manager.
Authentification et autorisation dans vRealize SuiteL'authentification avec vCenter Single Sign-On garantit que seuls les utilisateurs inclus dans les sources d'identité prises en charge peuvent se connecter à vRealize Suite. L'autorisation garantit que seul un utilisateur disposant des privilèges correspondants peut afficher des informations ou effectuer des tâches. L'autorisation s'applique aux services et aux utilisateurs humains.
Authentification avec vCenter Single Sign-OnvCenter Single Sign-On prend en charge l'authentification dans votre infrastructure de gestion. Seuls les utilisateurs pouvant s'authentifier dans vCenter Single Sign-On peuvent afficher et gérer des composants d'infrastructure. Vous pouvez ajouter des sources d'identité telles qu'Active Directory ou OpenLDAP à vCenter Single Sign-On.
Présentation de vCenter Single Sign-On
vCenter Single Sign-On est un broker d'authentification et une infrastructure d'échange de jetons de sécurité pour les utilisateurs et les utilisateurs de solutions qui sont des ensembles de services VMware. Lorsqu'un utilisateur ou un utilisateur de solutions s'authentifie dans vCenter Single Sign-On, il reçoit un jeton SAML. Par la suite, l'utilisateur peut utiliser le jeton SAML pour s'authentifier auprès des services vCenter Server. L'utilisateur peut ensuite afficher les informations et effectuer des actions pour lesquelles il détient des privilèges.
En utilisant vCenter Single Sign-On, les produits vRealize Suite communiquent entre eux par le biais d'un mécanisme d'échange de jetons sécurisé, au lieu d'imposer que chaque produit authentifie un utilisateur séparément avec un service d'annuaire tel que Microsoft Active Directory. Pendant l'installation ou la mise à niveau, vCenter Single Sign-On construit un domaine de sécurité interne, par exemple, vsphere.local, où les solutions et produits vSphere sont enregistrés. Plutôt que d'utiliser ce domaine de sécurité interne pour des informations d'authentification spécifiques d'une entreprise, vous pouvez ajouter une ou plusieurs sources d'identité telles qu'un domaine Active Directory à vCenter Single Sign-On.
Configuration de vCenter Single Sign-On
Vous pouvez configurer vCenter Single Sign-On à partir de vSphere Web Client.
Présentation de vRealize Suite
VMware, Inc. 26
À partir de vSphere 6.0, vCenter Single Sign-On fait partie de Platform Services Controller. Platform Services Controller contient des services partagés qui prennent en charge les composants de vCenter Server et de vCenter Server. Pour gérer vCenter Single Sign-On, vous vous connectez à l'instance de Platform Services Controller associée à votre environnement. Reportez-vous à Authentification de vSphere avec vCenter Single Sign-On pour des informations de base et des détails sur la configuration.
Autorisation dans vRealize SuiteL'autorisation détermine quel utilisateur ou processus peut accéder aux différents composants de votre déploiement vRealize Suite et les modifier. Les différents composants de vRealize Suite traitent l'autorisation à différents niveaux de granularité.
Différents types d'administrateurs sont chargés d'accorder un accès à différents types d'utilisateurs pour différents produits ou différents composants de produits.
Autorisation vCenter Server
Le modèle d'autorisation vCenter Server permet aux administrateurs d'attribuer des rôles à un utilisateur ou un groupe pour un objet spécifique dans la hiérarchie d'objets de vCenter Server. Les rôles sont des ensembles de privilèges. vCenter Server inclut des rôles prédéfinis, mais vous pouvez également créer des rôles personnalisés.
Dans de nombreux cas, des autorisations doivent être définies sur un objet source et sur un objet de destination. Par exemple, si vous déplacez une machine virtuelle, vous avez besoin de privilèges sur cette machine virtuelle, mais également sur le centre de données de destination.
En outre, les autorisations globales vous permettent d'attribuer à certains utilisateurs des privilèges sur tous les objets de la hiérarchie d'objets de vCenter. Utilisez les autorisations globales avec précaution, surtout si vous les propagez dans la hiérarchie d'objets.
Reportez-vous à la documentation de vSphere Security pour obtenir des détails et regarder des vidéos d'instructions sur les autorisations de vCenter Server.
Authentification de vRealize Automation
vRealize Automation vous permet d'utiliser des rôles prédéfinis pour déterminer quel utilisateur ou quel groupe peut effectuer les différentes tâches. Contrairement à vCenter Server, vous ne pouvez pas définir des rôles personnalisés, mais un ensemble étendu de rôles prédéfinis est disponible.
L'authentification et l'autorisation se déroulent de la façon suivante :
1 L'administrateur système effectue la configuration initiale de Single Sign-On et la configuration de base du locataire, notamment la désignation d'au moins un magasin d'identités et d'un administrateur de locataire pour chaque locataire.
2 Par la suite, un administrateur de locataire peut configurer des magasins d'identités supplémentaires et attribuer des rôles aux utilisateurs ou aux groupes à partir des magasins d'identités.
Les administrateurs de locataire peuvent également créer au sein de leur propre locataire des groupes personnalisés et y ajouter des utilisateurs et des groupes définis dans le magasin d'identités. Des rôles peuvent être attribués à des groupes personnalisés, par exemple des groupes et des utilisateurs de magasin d'identités
Présentation de vRealize Suite
VMware, Inc. 27
3 Les administrateurs peuvent ensuite attribuer des rôles à des utilisateurs et à des groupes, selon le rôle qu'ils détiennent eux-mêmes.
n Un ensemble de rôles à l'échelle du système, par exemple administrateur système, administrateur IaaS et administrateur Fabric sont prédéfinis.
n Un ensemble distinct de rôles de locataire, par exemple administrateur de locataire ou administrateur du catalogue d'application, sont également prédéfinis.
Reportez-vous à la documentation de vRealize Automation.
Gestion d'identités fédéréesLa gestion d'identités fédérées permet d'accepter des identités et des attributs électroniques dans le domaine et de les utiliser pour accéder à des ressources dans d'autres domaines. Vous pouvez activer la gestion d'identités fédérées entre vRealize Automation, vRealize Operations Manager et vSphere Web Client en utilisant vCenter Single Sign-On et VMware Identity Manager.
Les environnements d'identités fédérées divisent les utilisateurs en catégories nommées personas en fonction de leur mode d'interaction avec les systèmes d'identités fédérées. Les utilisateurs utilisent les systèmes pour recevoir des services. Les administrateurs configurent et gèrent la fédération entre systèmes. Les développeurs créent et étendent les services consommés par les utilisateurs. Le tableau suivant décrit les avantages de la gestion d'identités fédérées dont bénéficient ces personas.
Tableau 2-5. Avantage pour les personas
Types d'utilisateurs Avantage des identités fédérées
Utilisateurs n Authentification unique pratique pour plusieurs applications
n Moins de mots de passe à gérer
n Sécurité améliorée
Administrateurs n Plus de contrôle sur les droits d'accès aux applications
n Authentification basée sur le contexte et sur la stratégie
Développeurs n Intégration simple
n Avantages de l'architecture mutualisée, de la gestion des utilisateurs et des groupes, de l'authentification extensible et de l'autorisation déléguée avec peu d'effort
Vous pouvez configurer une fédération entre VMware Identity Manager et vCenter Single Sign-On en créant une connexion SAML entre les deux parties. vCenter Single Sign-On agit comme le fournisseur d'identités et VMware Identity Manager comme le fournisseur de services. Un fournisseur d'identités fournit une identité électronique. Un fournisseur de services attribue l'accès à des ressources après évaluation et acceptation de l'identité électronique.
Pour que les utilisateurs puissent être authentifiés par vCenter Single Sign-On, le même compte doit exister dans VMware Identity Manager et dans vCenter Single Sign-On. Au minimum, le nom d'utilisateur principal doit correspondre aux deux extrémités. D'autres attributs peuvent différer, car ils ne sont pas utilisés pour identifier l'objet SAML.
Présentation de vRealize Suite
VMware, Inc. 28
Pour les utilisateurs locaux de vCenter Single Sign-On, comme [email protected], des comptes correspondants doivent être créés dans VMware Identity Manager où le nom d'utilisateur principal au moins est identique. Les comptes correspondants doivent être créés manuellement ou à l'aide d'un script en utilisant les API de création d'utilisateurs locaux de VMware Identity Manager.
La configuration de SAML entre SSO2 et vIDM implique les tâches suivantes.
1 Importer le jeton SAML de vCenter Single Sign-On vers VMware Identity Manager avant de mettre à jour l'authentification par défaut de VMware Identity Manager.
2 Dans VMware Identity Manager, configurez vCenter Single Sign-On en tant que fournisseur d'identité tiers sur VMware Identity Manager et mettez à jour l'authentification par défaut de VMware Identity Manager.
3 Sur vCenter Single Sign-On, configurez VMware Identity Manager en tant que fournisseur de services en important le fichier VMware Identity Managersp.xml.
Reportez-vous à la documentation de produit suivante :
n Pour obtenir des informations sur la configuration de SSO2 en tant que fournisseur d'identité pour vRealize Automation, reportez-vous à Utilisation de VMware vCenter SSO 5.5 U2 avec VMware vCloud Automation Center 6.1.
n Pour la documentation de vRealize AutomationVMware Identity Manager, reportez-vous à Mettre à jour votre mot de passe Single Sign-On pour VMware Identity Manager.
n Pour des informations sur la configuration de la fédération entre Gestion des répertoires et SSO2, reportez-vous à Configurer une fédération SAML entre Gestion des répertoires et SSO2.
n Pour la documentation de vRealize Operations Manager SSO, reportez-vous à Configurer une source Single Sign-On dans vRealize Operations Manager.
TLS et protection des donnéesLes différents produits vRealize Suite utilisent TLS pour chiffrer les informations de session entre produits. Par défaut, VMware Certificate Authority (VMCA), faisant partie de Platform Services Controller, fournit des certificats à certains produits et services Des certificats auto-signés sont provisionnés à d'autres composants.
Si vous souhaitez remplacer les certificats par défaut par vos propres certificats d'entreprise ou par des certificats signés par une autorité de certification, le processus diffère pour les différents composants.
La vérification de certificat est activée par défaut et des certificats TLS sont utilisés pour chiffrer le trafic réseau. À partir de vSphere 6.0, VMCA attribue des certificats aux hôtes ESXi et aux systèmes vCenter Server dans le cadre du processus d'installation. Vous pouvez remplacer ces certificats pour utiliser VMCA comme autorité de certification intermédiaire ou vous pouvez utiliser des certificats personnalisés dans votre environnement. vSphere version 5.5 et versions antérieures utilise des certificats auto-signés, et vous pouvez utiliser ou remplacer ces certificats si nécessaire.
Présentation de vRealize Suite
VMware, Inc. 29
Vous pouvez remplacer les certificats vSphere 6.0 à l'aide de l'utilitaire vSphere Certificate Manager avec des interfaces de ligne de commande de gestion de certificats. Vous pouvez remplacer les certificats de vSphere 5.5 et versions antérieures à l'aide de l'outil d'automatisation des certificats.
Produits qui utilisent VMCAPlusieurs produits VMware reçoivent des certificats de VMCA pendant l'installation. Pour ces produits, vous avez plusieurs options.
n Laissez les certificats en place pour les déploiements internes ou envisagez le remplacement des certificats externes mais en laissant en place les certificats internes signés par VMCA.
n Faites de VMCA un certificat intermédiaire. Par la suite, utilisez la chaîne complète pour signer.
n Remplacez les certificats signés par VMCA par des certificats personnalisés.
Consultez la section Considérations relatives à la Sécurité vSphere.
Produits qui utilisent des certificats auto-signésVous pouvez utiliser dans l'état des produits qui emploient des certificats auto-signés. Les navigateurs invitent les utilisateurs à accepter ou à refuser un certificat auto-signé lors de sa première utilisation. Les utilisateurs peuvent cliquer sur un lien pour ouvrir et afficher les détails du certificat avant de l'accepter ou de le refuser. Les navigateurs stockent les certificats acceptés localement et les accepte en silence lors des utilisations suivantes. Vous pouvez éviter l'étape d'acceptation en remplaçant les certificats auto-signés par des certificats d'entreprise ou des certificats signés par une autorité de certification si nécessaire. La documentation du produit explique comment remplacer les certificats auto-signés.
Tableau 2-6. Remplacement des certificats auto-signés
Produit Documentation
vSphere Replication Reportez-vous à Modifier le certificat SSL du dispositif vSphere Replication.
vRealize Automation Reportez-vous à Mise à jour des certificats vRealize Automation.
vRealize Log Insight Reportez-vous à Installation d'un certificat SSL personnalisé.
vRealize Orchestrator Reportez-vous à Modification des certificats SSL.
vRealize Operations Manager Reportez-vous à Ajouter un certificat personnalisé à vRealize Operations Manager.
vRealize Business for Cloud Standard Reportez-vous à Modifier ou remplacer le certificat SSL de vRealize Business for Cloud.
Sécurisation de la couche physiqueLa sécurisation de la couche physique inclut la sécurisation et le renforcement de l'hyperviseur, configurant votre réseau physique pour une sécurité maximale et sécurisant votre solution de stockage.
Présentation de vRealize Suite
VMware, Inc. 30
Sécurisation des ports de commutateurs standardComme c'est le cas avec les adaptateurs réseau physiques, un adaptateur réseau virtuel peut envoyer des trames semblant provenir d'une machine différente ou emprunter l'identité d'une autre machine. En outre, tout comme les adaptateurs réseau physiques, un adaptateur réseau virtuel peut être configuré de façon à recevoir des trames ciblant d'autres machines.
Lorsqu'un commutateur standard est créé, des groupes de ports sont ajoutés pour imposer une configuration de stratégie aux machines virtuelles et systèmes de stockage associés au commutateur. Les ports virtuels sont créés par l'intermédiaire de vSphere Web Client ou de vSphere Client.
Dans le cadre de l'ajout d'un port ou d'un groupe de ports standard à un commutateur standard, vSphere Client configure un profil de sécurité pour le port. L'hôte peut alors empêcher n'importe laquelle de ses machines virtuelles d'emprunter l'identité d'autres machines du réseau. Le système d'exploitation invité responsable de l'emprunt d'identité ne détecte pas que l'emprunt d'identité a été empêché.
Le profil de sécurité détermine la force avec laquelle l'hôte applique la protection contre l'emprunt d'identité et les attaques par interception sur des machines virtuelles. Pour utiliser correctement les paramètres du profil de sécurité, vous devez comprendre les principes de base de la façon dont les adaptateurs réseau virtuels contrôlent les transmissions et de la façon dont les attaques sont planifiées à ce niveau.
Chaque adaptateur réseau virtuel dispose d'une adresse MAC qui lui est attribuée lors de la création de l'adaptateur. Cette adresse est appelée adresse MAC initiale. Même s'il est possible de configurer l'adresse MAC initiale depuis l'extérieur du système d'exploitation invité, cette adresse ne peut pas être modifiée par le système d'exploitation invité. En outre, chaque adaptateur a une adresse MAC active qui filtre et rejette le trafic réseau entrant dont l'adresse MAC de destination diffère de l'adresse MAC active. Il incombe au système d'exploitation invité de définir l'adresse MAC active et, en général, il fait correspondre l'adresse MAC active à l'adresse MAC initiale.
Lors de l'envoi de paquets, un système d'exploitation insère généralement sa propre adresse MAC active d'adaptateur réseau dans le champ d'adresse MAC source du cadre Ethernet. Il insère également l'adresse MAC de l'adaptateur réseau destinataire dans le champ d'adresse MAC de destination. L'adaptateur destinataire accepte les paquets uniquement lorsque l'adresse MAC de destination figurant dans un paquet correspond à sa propre adresse MAC active.
Lors de la création, l'adresse MAC active et l'adresse MAC initiale d'un adaptateur réseau sont les mêmes. Le système d'exploitation de la machine virtuelle peut modifier l'adresse MAC active à tout moment en lui donnant une autre valeur. Si un système d'exploitation modifie l'adresse MAC active, son adaptateur réseau reçoit le trafic réseau destiné à la nouvelle adresse MAC. Le système d'exploitation peut à tout moment envoyer des trames dont l'adresse MAC source a une identité empruntée. Il en résulte qu'un système d'exploitation peut planifier des attaques malveillantes dans un réseau en empruntant l'identité d'un adaptateur réseau autorisé par le réseau de destination.
Il est possible d'utiliser des profils de sécurité de commutateur sur des hôtes pour se prémunir contre ce type d'attaque en définissant trois options. Si un paramètre par défaut d'un port est modifié, le profil de sécurité doit être modifié en éditant les paramètres de commutateur standard dans vSphere Client.
Présentation de vRealize Suite
VMware, Inc. 31
Sécurisation du stockage iSCSILe stockage configuré pour un hôte peut inclure un ou plusieurs réseaux de zone de stockage (SAN) utilisant le protocole iSCSI. Lorsque le protocole iSCSI est configuré sur un hôte, les administrateurs peuvent adopter plusieurs mesures pour réduire les risques de sécurité.
Le protocole iSCSI permet d'accéder à des périphériques SCSI et d'échanger des enregistrements de données en utilisant le protocole TCP/IP sur un port réseau plutôt que par le biais d'une connexion directe à un périphérique SCSI. Lors de transactions iSCSI, des blocs de données SCSI brutes sont encapsulés dans des enregistrements iSCSI et transmis au périphérique ou à l'utilisateur effectuant la demande.
Pour sécuriser des périphériques iSCSI contre des intrusions indésirables, une solution consiste à exiger que l'hôte, ou l'initiateur, soit authentifié par le périphérique iSCSI, ou cible, chaque fois que l'hôte tente d'accéder à des données sur le LUN cible. L'authentification prouve que l'initiateur a le droit d'accéder à une cible.
ESXi et le protocole iSCSI prennent en charge le protocole CHAP (Challenge Handshake Authentication Protocol) qui vérifie la légitimité des initiateurs accédant à des cibles sur le réseau. Utilisez vSphere Client ou vSphere Web Client pour déterminer si l'authentification est effectuée et pour configurer la méthode d'authentification. Pour obtenir des informations sur la configuration du protocole CHAP pour iSCSI, reportez-vous à la documentation de vSphere.
Sécurisation des interfaces de gestion ESXiLa sécurité de l'interface de gestion ESXi joue un rôle essentiel dans la protection contre les intrusions non autorisées et les abus. Si un hôte est compromis de quelque façon que ce soit, les machines virtuelles avec lesquelles il interagit peuvent également être compromises. Pour réduire les risques d'attaque par le biais de l'interface de gestion, ESXi est protégé par un pare-feu intégré.
Pour protéger l'hôte contre une intrusion non autorisée et contre les abus, VMware impose des contraintes s'appliquant à plusieurs paramètres, valeurs et activités. Ces contraintes peuvent être assouplies pour répondre aux besoins de la configuration mais, si vous agissez ainsi, vous devez prendre des mesures pour protéger le réseau dans son ensemble ainsi que les périphériques connectés à l'hôte.
Examinez les recommandations suivantes lorsque vous évaluez la sécurité et l'administration de l'hôte.
n Pour améliorer la sécurité, limitez l'accès utilisateur à l'interface de gestion et appliquez des stratégies de sécurité d'accès telles que la configuration de restrictions pour les mots de passe.
n Ne concédez un accès en connexion à ESXi Shell qu'aux utilisateurs autorisés. Le produit ESXi Shell dispose d'un accès privilégié à certaines parties de l'hôte.
n Dans la mesure du possible, exécutez uniquement les processus, services et agents essentiels, tels que les analyses antivirus, et les sauvegardes de machines virtuelles.
n Dans la mesure du possible, utilisez vSphere Web Client ou un outil de gestion de réseau tiers pour administrer les hôtes ESXi au lieu d'utiliser l'interface de ligne de commande en tant qu'utilisateur racine. Lorsque vous utilisez vSphere Web Client, vous vous connectez toujours à l'hôte ESXi par le biais d'un système vCenter Server.
Présentation de vRealize Suite
VMware, Inc. 32
L'hôte exécute plusieurs modules tiers pour prendre en charge les interfaces de gestion ou les tâches qu'un opérateur doit exécuter. VMware ne prend pas en charge la mise à niveau de ces modules à partir d'une source autre que VMware. Lorsqu'un téléchargement ou un correctif provenant d'une autre source est utilisé, la sécurité ou les fonctions de l'interface de gestion risquent d'être compromises. Consultez régulièrement les sites des fournisseurs tiers et la base de connaissances VMware pour connaître les alertes de sécurité.
Pour atténuer les risques courus par les hôtesESXi, vous pouvez utiliser d'autres méthodes en plus de la mise en œuvre du pare-feu.
n Assurez-vous que tous les ports de pare-feu qui ne sont pas spécifiquement nécessaires à l'accès pour la gestion de l'hôte sont fermés. Les ports doivent être spécifiquement ouverts si des services supplémentaires sont requis.
n Remplacez les certificats par défaut et n'activez pas de chiffrement faible. Par défaut, les chiffrements faibles sont désactivés et toutes les communications provenant des clients sont sécurisées par TLS. Les algorithmes exacts utilisés pour sécuriser le canal dépendent du protocole de négociation TLS. Les certificats par défaut créés sur ESXi utilisent SHA-1 avec chiffrement RSA comme algorithme de signature.
n Installez les correctifs de sécurité. VMware surveille toutes les alertes de sécurité pouvant affecter la sécurité d' ESXi et, le cas échéant, produit un correctif de sécurité.
n Les services non sécurisés tels que FTP et Telnet ne sont pas installés et les ports dédiés à ces services sont fermés. Étant donné que des services plus sécurisés tels que les protocoles SSH et SFTP sont largement disponibles, évitez toujours d'utiliser ces services peu sûrs et préférez-leur des alternatives plus sûres. Si vous devez utiliser des services non sécurisés, mettez en œuvre une protection suffisante pour les hôtes ESXi et ouvrez les ports correspondants.
Vous pouvez placer des hôtes ESXi en mode de verrouillage. Lorsque le mode de verrouillage est activé, l'hôte peut uniquement être géré à partir de vCenter Server. Aucun utilisateur autre que vpxuser ne dispose d'une autorisation d'authentification et les connexions directes à l'hôte sont rejetées.
Sécurisation des systèmes vCenter ServerPour sécuriser vCenter Server, il convient de garantir la sécurité de la machine sur laquelle vCenter Servers'exécute, de respecter les recommandations en matière d'attribution de privilèges et de rôles, et de vérifier l'intégrité des clients qui se connectent à vCenter Server.
Contrôlez strictement les privilèges de l'administrateur de vCenter Server afin de renforcer la sécurité du système.
n Retirez les droits administratifs complets sur vCenter Server au compte d'administrateur Windows local et accordez-les seulement à un compte d'administrateur de vCenter Server local à vocation spécifique. Accordez des droits administratifs complets sur vSphere aux seuls administrateurs devant en disposer. N'accordez ce privilège à aucun groupe dont les membres ne sont pas strictement contrôlés.
Présentation de vRealize Suite
VMware, Inc. 33
n N'autorisez pas les utilisateurs à se connecter directement au système vCenter Server. Réservez l'accès aux utilisateurs ayant des tâches légitimes à effectuer et assurez-vous que leurs actions sont surveillées.
n Installez vCenter Server à l'aide d'un compte de service plutôt qu'avec un compte Windows. Il est possible d'utiliser un compte de service ou un compte Windows pour exécuter vCenter Server. L'utilisation d'un compte de service permet une authentification Windows auprès du serveur SQL, ce qui garantit une sécurité accrue. Le compte de service doit correspondre à un administrateur de la machine locale.
n Vérifiez la réaffectation des privilèges lors du redémarrage de vCenter Server. S'il n'est pas possible de confirmer la validité de l'utilisateur, ou du groupe d'utilisateurs, auquel est attribué le rôle d'administrateur sur le dossier racine du serveur, les privilèges d'administrateur sont supprimés et attribués au groupe d'administrateurs Windows local.
Accordez des privilèges minimaux à l'utilisateur de la base de données vCenter Server. Un utilisateur de la base de données n'a besoin que de certains privilèges spécifiques d'accès à la base de données. En outre, certains privilèges sont uniquement nécessaires pour l'installation et la mise à niveau. Ces privilèges peuvent donc être supprimés une fois le produit installé ou mis à niveau.
Sécurisation des couches virtuellesVous ne devez pas vous limiter à sécuriser les couches physiques (le matériel, les commutateurs et autres), mais sécuriser également les couches virtuelles. Sécurisez les machines virtuelles, y compris le système d'exploitation et la couche de mise en réseau virtuelle.
Sécurité et machines virtuellesLes machines virtuelles sont les conteneurs logiques dans lesquels les applications et systèmes d'exploitation invités s'exécutent. Par nature, toutes les machines virtuelles VMware sont isolées les unes des autres. Cette isolation permet à plusieurs machines virtuelles de s'exécuter en toute sécurité tout en partageant du matériel ; elle leur fournit également leur capacité à accéder au matériel et des performances ininterrompues.
Même un utilisateur doté de privilèges d'administrateur système sur le système d'exploitation invité d'une machine virtuelle ne peut pas violer cette couche d'isolation pour accéder à une autre machine virtuelle sans disposer de privilèges explicitement accordés par l'administrateur système d'ESXi. Du fait de l'isolation de la machine virtuelle, si un système d'exploitation invité s'exécutant dans une machine virtuelle ne fonctionne plus, les autres machines virtuelles se trouvant sur le même hôte continuent à s'exécuter. Les utilisateurs peuvent toujours accéder aux autres machines virtuelles et les performances de ces autres machines virtuelles ne sont pas affectées.
Chaque machine virtuelle est isolée des autres machines virtuelles qui s'exécutent sur le même matériel. Bien que les machines virtuelles partagent des ressources physiques telles que le CPU, la mémoire et les périphériques d'E/S, un système d'exploitation invité sur une machine virtuelle individuelle peut uniquement détecter les périphériques virtuels que vous mettez à sa disposition.
Présentation de vRealize Suite
VMware, Inc. 34
Figure 2-9. Isolation des machines virtuelles
CPU
ContrôleurSCSI
Mémoire
Souris
Disque
CD/DVD
Réseau et cartes vidéo
Clavier
Système d'exploitation
Ressources des machines virtuelles
Machine virtuelle
VMkernel soumet à médiation toutes les ressources physiques. Tout accès à un matériel physique s'effectue par le biais de VMkernel et les machines virtuelles ne peuvent pas contourner ce niveau d'isolation.
Tout comme une machine physique communique avec d'autres machines d'un réseau par le biais d'une carte réseau, une machine virtuelle communique avec d'autres machines virtuelles s'exécutant sur le même hôte à l'aide d'un commutateur virtuel. En outre, une machine virtuelle communique avec le réseau physique, y compris les machines virtuelles sur d'autres hôtes ESXi, par le biais d'un adaptateur réseau physique.
Figure 2-10. Mise en réseau virtuelle par le biais de commutateurs virtuels
Le commutateur virtuel lie des
machines virtuelles
Machine virtuelle
adaptateurréseauvirtuel
Machine virtuelle
ESXi
VMkernel
Couche demise en réseau
virtuelle
L'adaptateur réseau matériel lie les machines
virtuelles au réseau physique
Réseau physique
adaptateurréseauvirtuel
Présentation de vRealize Suite
VMware, Inc. 35
L'isolation des machines virtuelles affecte également la mise en réseau virtuelle.
n Si une machine virtuelle ne partage pas un commutateur virtuel avec une autre machine virtuelle, elle est complètement isolée des machines virtuelles se trouvant dans l'hôte.
n Si aucun adaptateur réseau physique n'est configuré pour une machine virtuelle, celle-ci est complètement isolée. Cela inclut l'isolation par rapport à tout réseau physique ou virtuel.
n Les machines virtuelles sont aussi sécurisées que les machines physiques si vous les protégez du réseau à l'aide de pare-feu, logiciels anti-virus, etc.
Vous pouvez renforcer la protection des machines virtuelles en définissant des réservations et limites de ressources sur l'hôte. Vous pouvez, par exemple, utiliser l'allocation de ressources pour configurer une machine virtuelle de façon à ce qu'elle reçoive toujours au moins 10 pour cent des ressources de CPU de l'hôte, mais jamais plus de 20 pour cent.
Les réservations et limites de ressources protègent les machines virtuelles contre la dégradation des performances pouvant découler d'une consommation excessive des ressources matérielles partagées par une autre machine virtuelle. Si, par exemple, une attaque de type Déni de service (DoS) paralyse l'une des machines virtuelles sur un hôte, une limite de ressource sur cette machine empêche l'attaque d'accaparer tellement de ressources matérielles que les autres machines virtuelles en seraient également affectées. De même, une réservation de ressources sur chaque machine virtuelle garantit qu'en cas de demandes de ressources élevées effectuées par la machine virtuelle ciblée par l'attaque par déni de service, toutes les autres machines virtuelles disposeront de suffisamment de ressources pour fonctionner.
Par défaut, ESXi impose une forme de réservation de ressources en appliquant un algorithme de distribution qui divise les ressources disponibles de l'hôte de façon égale entre les machines virtuelles tout en réservant un certain pourcentage de ressources à d'autres composants du système. Ce comportement par défaut fournit un degré de protection naturelle contre les attaques par DoS et déni de service distribué (DDoS). Des réservations et limites de ressources spécifiques sont définies sur une base individuelle pour personnaliser le comportement par défaut afin que la distribution ne soit pas égale sur l'ensemble de la configuration de machine virtuelle.
Sécurité et réseaux virtuelsSi l'accès à un hôte ESXi s'effectue par le biais de vCenter Server, vCenter Server est généralement protégé par un pare-feu. Ce pare-feu fournit la protection de base du réseau.
Un pare-feu est généralement installé sur ce que l'on considère être un point d'entrée pour le système. Un pare-feu peut se trouver placé entre les clients et vCenter Server. Sinon, il se peut que vCenter Server et les clients se trouvent derrière le pare-feu pour votre déploiement.
Les réseaux configurés avec vCenter Server peuvent recevoir des communications par le biais de vSphere Client ou de clients de gestion de réseau tiers. vCenter Server écoute les données provenant de ses hôtes et clients gérés sur les ports désignés. vCenter Server suppose également que ses hôtes gérés écoutent les données provenant de vCenter Server sur les ports désignés. Les pare-feu entre ESXi, vCenter Server et d'autres composants vSphere doivent disposer de ports ouverts pour prendre en charge le transfert de données.
Présentation de vRealize Suite
VMware, Inc. 36
Des pare-feu peuvent également être installés à divers autres points d'accès dans le réseau selon l'utilisation planifiée du réseau et le niveau de sécurité requis par divers périphériques. Sélectionnez les emplacements des pare-feu en fonction des risques de sécurité ayant été identifiés pour la configuration du réseau.
Utilisation de VMware NSX pour sécuriser les charges de travailVMware NSX fournit des services de mise en réseau définie par logiciel, des services de sécurité de mise en réseau virtuel par pare-feu logique, une commutation logique et un routage logique. Les concepteurs de réseaux virtuels assemblent par programme ces services dans une combinaison arbitraire pour produire des réseaux virtuels isolés uniques. Cette technologie fournit une sécurité plus détaillée que les dispositifs matériels traditionnels. Dans les environnements virtuels, vous pouvez appliquer ces services au niveau vNIC. Les services traditionnels sont configurés sur le réseau physique.
Les capacités sélectionnées de VMware NSX sont décrites de façon détaillée dans le Guide de conception de la virtualisation de réseau de VMware NSX for vSphere (NSX). Vous trouverez les procédures pour l'implémentation de ces fonctionnalités dans la Documentation de VMware NSX for vSphere.
NSX est la plate-forme de sécurité de virtualisation réseau VMware que vous pouvez utiliser pour construire un environnement de réseau virtuel sécurisé pour votre SDDC. Utilisez NSX pour construire un réseau virtualisé sécurisé en déployant et en gérant des pare-feu définis par logiciel, des routeurs, des passerelles et leurs stratégies. Lorsque les machines virtuelles sont indépendantes de la plate-forme physique sous-jacente et permettent au service informatique de traiter les hôtes physiques comme un pool de capacité de calcul, les réseaux virtuels sont indépendants du matériel du réseau IP sous-jacent. Les services informatiques peuvent traiter le réseau physique comme un pool de capacité de transport pouvant être consommé et réaffecté à la demande. À l'aide de NSX, vous pouvez protéger le trafic Edge vertical et le trafic horizontal entre les piles réseau et de calcul qui doivent maintenir l'intégrité des données. Par exemple, les charges de travail de différents locataires peuvent s'exécuter sur des réseaux virtuels individuels isolés même s'ils partagent le même réseau physique sous-jacent.
Fonctionnalités de NSXNSX fournit un ensemble complet d'éléments réseau logiques, de protocoles de limite et de services de sécurité pour organiser et gérer vos réseaux virtuels. L'installation d'un plug-in NSX sur vCenter Server vous donne un contrôle centralisé pour créer et gérer des composants et des services NSX à l'échelle de votre centre de données.
Pour en savoir plus sur les descriptions des fonctionnalités et capacités, reportez-vous au Guide d'administration de NSX.
VMware NSX Edge
Fournit un routage vertical centralisé entre les réseaux logiques déployés dans des domaines NSX et l'infrastructure de réseau physique externe. NSX Edge prend en charge les protocoles de routage dynamique tels que OSPF (Open Shortest Path First), iBGP (Internal Border Gateway Protocol) et eBGP (External Border Gateway Protocol), et peut utiliser le routage statique. La capacité de routage prend en
Présentation de vRealize Suite
VMware, Inc. 37
charge les services avec état actif/en veille et le routage ECMP (Equal-Cost Multipath). NSX Edge fournit également des services Edge standard tels que la traduction d'adresses réseau (NAT, Network Address Translation), l'équilibrage de charge, le réseau privé virtuel (VPN, virtual private network) et les services de pare-feu.
Commutation logique
Les commutateurs logiques NSX fournissent des réseaux logiques L2 mettant en œuvre l'isolation entre les charges de travail sur différents réseaux logiques. Les commutateurs virtuels distribués peuvent couvrir plusieurs hôtes ESXi dans un cluster sur une structure L3 en utilisant la technologie VXLAN, ajoutant ainsi l'avantage d'une gestion centralisée. Vous pouvez contrôler l'étendue de l'isolation en créant des zones de transport à l'aide de vCenter Server et en attribuant des commutateurs logiques aux zones de transport en fonction des besoins.
Routage distribué
Le routage distribué est fourni par un élément logique nommé routeur logique distribué (DLR, Distributed Logical Router). Le DLR est un routeur disposant d'interfaces directement connectées à tous les hôtes pour lesquels une connectivité de machines virtuelles est requise. Les commutateurs logiques sont connectés à des routeurs logiques pour fournir une connectivité L3. La fonction de supervision, le plan de contrôle servant à contrôler le transfert, est importée à partir d'une machine virtuelle de contrôle.
Pare-feu logique
La plate-forme NSX prend en charge les fonctions critiques suivantes pour la sécurisation des charges de travail multiniveau.
n Prise en charge native de la capacité de pare-feu logique, qui fournit une protection avec état de charges de travail multiniveau.
n Prise en charge de services de sécurité et d'insertion de services multifournisseurs (par exemple, analyse antivirus) pour la protection de la charge de travail des applications.
La plate-forme NSX inclut un service de pare-feu centralisé offert par la passerelle de services NSX Edge (ESG, Edge Services Gateway), et un pare-feu distribué (DFW, distributed firewall) activé dans le noyau en tant que module VIB sur tous les hôtes ESXi faisant partie d'un domaine NSX donné. Le DFW fournit le pare-feu avec des performances de débit proches de celles de la ligne, la virtualisation, la reconnaissance de l'identité, la surveillance des activités, la journalisation et d'autres fonctionnalités de sécurité réseau spécifiques à la virtualisation réseau. Vous configurez ces pare-feu pour filtrer le trafic au niveau vNIC de chaque machine virtuelle. Cette flexibilité est essentielle pour créer des réseaux virtuels isolés, même pour les machines virtuelles individuelles si ce niveau de détail est requis.
Utilisez vCenter Server pour gérer les règles de pare-feu. Le tableau de règles est organisé en sections, chaque section constituant une stratégie de sécurité particulière pouvant être appliquée à des charges de travail spécifiques.
Présentation de vRealize Suite
VMware, Inc. 38
Groupes de sécurité
NSX fournit les critères du mécanisme de groupement pouvant inclure les éléments suivants.
n Des objets vCenter Server, telles que des machines virtuelles, des commutateurs distribués et des clusters.
n Des propriétés de machines virtuelles, telles que des vNIC, des noms de machines virtuelles et des systèmes d'exploitation de machines virtuelles
n Des objets NSX, notamment des commutateurs logiques, des balises de sécurité et des routeurs logiques
Les mécanismes de groupement peuvent être statiques ou dynamiques, et un groupe de sécurité peut être n'importe quelle combinaison d'objets, notamment toute combinaison d'objets vCenter, d'objets NSX, de propriétés de machines virtuelles ou d'objets du gestionnaire d'identité, tels que des groupes AD. Un groupe de sécurité dans NSX est basé sur tous les critères statiques et dynamiques avec les critères d'exclusion statique définis par un utilisateur. Les groupes dynamiques grandissent et diminuent au rythme des entrées et des sorties des membres du groupe. Par exemple, un groupe dynamique peut contenir toutes les machines virtuelles qui commencent par le nom web_. Les groupes de sécurité ont plusieurs caractéristiques utiles.
n Vous pouvez attribuer plusieurs stratégies de sécurité à un groupe de sécurité.
n Un objet peut appartenir à plusieurs groupes de sécurité à la fois.
n Les groupes de sécurité peuvent contenir d'autres groupes de sécurité.
Utilisez NSX Service Composer pour créer des groupes de sécurité et appliquer des stratégies. NSX Service Composer provisionne et attribue des stratégies de pare-feu et des services de sécurité aux applications en temps réel. Des stratégies sont appliquées aux nouvelles machines virtuelles lors de leur ajout au groupe.
Balises de sécurité
Vous pouvez appliquer des balises de sécurité à toute machine virtuelle, en ajoutant un contexte sur la charge de travail, si nécessaire. Vous pouvez baser les groupes de sécurité sur des balises de sécurité. Les balises de sécurité indiquent plusieurs classifications communes.
n État de sécurité. Par exemple, vulnérabilité identifiée.
n Classification par service.
n Classification par type de données. Par exemple, données PCI.
n Type d'environnement. Par exemple, production ou développement.
n Géographie ou emplacement des machines virtuelles.
Stratégies de sécurité
Les règles de groupe des stratégies de sécurité sont des contrôles de sécurité appliqués à un groupe de sécurité créé dans le centre de données. Avec NSX vous pouvez créer des sections dans un tableau de règles de pare-feu. Les sections permettent une meilleure gestion et un meilleur groupement des règles de pare-feu. Une stratégie de sécurité spécifique est une section d'un tableau de règles de pare-feu.
Présentation de vRealize Suite
VMware, Inc. 39
Cette stratégie assure la synchronisation entre les règles dans un tableau de règles de pare-feu et entre les règles écrites au moyen de la stratégie de sécurité, garantissant ainsi une mise en œuvre cohérente. Lors de l'écriture de stratégies de sécurité pour des applications ou des charges de travail spécifiques, ces règles sont organisées en sections spécifiques dans un tableau de règles de pare-feu. Vous pouvez appliquer plusieurs stratégies de sécurité à une application spécifique. L'ordre des sections lorsque vous appliquez plusieurs stratégies de sécurité détermine la préséance de l'application des règles.
Services de réseau privé virtuel
NSX fournit des services VPN nommés VPN L2 et VPN L3. Créez un tunnel VPN L2 entre une paire de périphériques NSX Edge déployés dans des sites de centre de données distincts. Créez un VPN L3 pour fournir une connectivité L3 sécurisée au réseau de centres de données à partir d'emplacements distants.
Contrôle d'accès basé sur des rôles
NSX dispose de rôles d'utilisateurs intégrés qui régulent l'accès aux ressources d'ordinateur ou de réseau au sein d'une entreprise. Les utilisateurs ne peuvent avoir qu'un seul rôle.
Tableau 2-7. Rôles d'utilisateur de NSX Manager
Rôle Autorisations
Administrateur d'entreprise Opérations et sécurité de NSX.
Administrateur de NSX Opérations NSX uniquement. Par exemple, installer des dispositifs virtuels, configurer des groupes de ports.
Administrateur de sécurité Sécurité NSX uniquement. Par exemple, définir des stratégies de sécurité des données, créer des groupes de ports, créer des rapports pour des modules NSX.
Auditeur Lecture seule.
Intégration de partenaires
Les services des partenaires technologiques VMware sont intégrés à la plate-forme NSX dans les fonctions de gestion, de contrôle et de données pour fournir une expérience utilisateur unifiée et une intégration transparente à toute plate-forme de gestion de cloud. Pour en savoir plus, consultez : https://www.vmware.com/products/nsx/technology-partners#security.
Concepts relatifs à NSXLes administrateurs de SDDC configurent les fonctionnalités de NSX de façon à assurer l'isolation du réseau et la segmentation du centre de données.
Isolation du réseau
L'isolation est la base de la sécurité de la plupart des réseaux, que ce soit du point de vue de la conformité, du confinement ou de l'isolation des environnements de développement, de test et de production. Traditionnellement, on a recours à des listes de contrôle d'accès, règles de pare-feu et stratégies de routage pour établir et faire respecter l'isolation et l'architecture mutualisée. Avec la virtualisation des réseaux, la prise en charge de ces propriétés est inhérente. Avec le recours à la technologie VXLAN, les réseaux virtuels sont isolés les uns des autres et de l'infrastructure physique
Présentation de vRealize Suite
VMware, Inc. 40
sous-jacente par défaut, ce qui garantit le respect du principe de sécurité du « moindre privilège ». Les réseaux virtuels sont créés de façon isolée et demeurent isolés, sauf s'ils sont explicitement connectés. Aucun(e) sous-réseau, VLAN, liste de contrôle d'accès ou règle de pare-feu n'est nécessaire pour activer l'isolation.
Segmentation de réseau
La segmentation de réseau est associée à l'isolation, mais elle s'applique à un réseau virtuel multiniveau. Traditionnellement, la segmentation de réseau est une fonctionnalité d'un pare-feu ou routeur physique, conçue pour autoriser ou refuser le trafic entre des segments, ou couches, d'un réseau. Lorsque le trafic entre Internet et les couches d'applications et de bases de données est segmenté, les processus de configuration classiques prennent du temps et sont hautement sujets aux erreurs humaines, ce qui se traduit par un pourcentage élevé de failles de sécurité. La mise en œuvre requiert des compétences poussées en syntaxe de configuration de périphériques, adressage réseau et ports et protocoles d'applications.
La virtualisation des réseaux simplifie l'élaboration et les tests des configurations des services réseau afin de produire des configurations ayant fait leurs preuves, pouvant être déployées et dupliquées dans l'ensemble du réseau de façon programmée afin de faire respecter la segmentation. La segmentation de réseau, comme l'isolation, est une capacité essentielle de la virtualisation des réseaux NSX.
Micro-segmentation
La micro-segmentation isole le trafic au niveau de la carte réseau virtuelle en utilisant des routeurs distribués, ainsi que des pare-feu distribués. Les contrôles d'accès appliqués au niveau de la carte réseau virtuelle garantissent une efficacité accrue par rapport aux règles mises en œuvre sur les réseaux physiques. La micro-segmentation peut s'effectuer avec un pare-feu NSX distribué et un pare-feu à mise en œuvre distribuée pour une application à trois niveaux (par exemple, serveur Web, serveur d'application et base de données) lorsque plusieurs organisations sont susceptibles de partager la même topologie de réseau logique.
Modèle « à confiance zéro »
Pour garantir la configuration de sécurité la plus stricte, appliquez un modèle à confiance zéro à la configuration des stratégies de sécurité. Dans un modèle à confiance zéro, l'accès est refusé aux ressources et aux charges de travail, à moins que cet accès ne soit spécifiquement autorisé par une stratégie. Dans un tel modèle, le trafic doit être placé sur liste blanche pour être autorisé. Veillez à autoriser le trafic d'infrastructure essentiel. Par défaut, NSX Manager, les produits NSX Controller et les passerelles de service NSX Edge sont exclus des fonctions de pare-feu distribué. Les systèmes vCenter Server ne sont pas exclus et doivent être explicitement autorisés pour empêcher un verrouillage avant l'application d'une telle stratégie.
Protection du cluster de gestion et des charges de travail des locatairesSi vous êtes un administrateur de SDDC, vous pouvez utiliser les capacités de NSX pour isoler et protéger le cluster de gestion vRealize Suite et les charges de travail des locataires dans le centre de données.
Présentation de vRealize Suite
VMware, Inc. 41
Le cluster de gestion inclut le vCenter Server du domaine, les produits NSX Manager et vRealize Suite, ainsi que d'autres produits et composants de gestion. Utilisez le protocole TLS (Transport Layer Security) et l'authentification pour protéger ces systèmes contre les accès non autorisés. Utilisez les capacités de NSX pour renforcer l'isolation et la segmentation des systèmes de réseau virtuel du cluster de gestion par rapport au cluster Edge et aux systèmes et clusters de charge de travail. Accordez l'accès approprié aux ports voulus du système de gestion, comme cela est décrit dans les documents d'installation et de configuration des systèmes de gestion déployés.
Les charges de travail des locataires dans le centre de données peuvent être mises en œuvre en tant qu'applications à trois niveaux composées de serveurs Web, d'application et de base de données. Utilisez le protocole TLS et l'authentification pour protéger ces systèmes contre les accès non autorisés. Exploitez les services de sécurité fournis, comme les chaînes de connexion à la base de données, pour sécuriser les connexions, et le protocole SSH pour sécuriser l'accès aux hôtes. Dans la mesure du possible, appliquez les fonctionnalités de NSX au niveau de la carte réseau virtuelle pour isoler les charge de travail des locataires les unes des autres et les micro-segmenter.
Pour obtenir des informations sur les utilisations des capacités de NSX, reportez-vous au Guide de conception de la virtualisation de réseau de VMware NSX for vSphere (NSX). Pour rechercher les procédures permettant de configurer les fonctionnalités d'NSX, consultez la Documentation de VMware NSX for vSphere.
Présentation de vRealize Suite
VMware, Inc. 42
Liste de vérification pour l'installation de vRealize Suite 3Vous téléchargez, installez et configurez les produits vRealize Suite séparément, selon un ordre précis. Les produits individuels dans vRealize Suite sont livrés en tant que modules d'installation pour des machines Windows ou Linux, ou comme dispositifs virtuels que vous pouvez déployer sur des machines virtuelles qui s'exécutent sur des hôtes ESXi. Les produits de la suite que vous installez dépendent de votre édition de vRealize Suite.
Pour garantir l'interopérabilité, assurez-vous que vous utilisez les versions correctes de vos produits vRealize Suite. Pour obtenir plus d'informations sur la compatibilité certifiée par VMware, rendez-vous sur le site Guides de compatibilité VMware.
Vous pouvez également utiliser vRealize Suite Lifecycle Manager pour installer vRealize Suite ensemble dans un processus d’installation simplifié unique. Reportez-vous à la section vRealize Suite Lifecycle Manager.
Figure 3-1. Flux de déploiement pour vRealize Suite
Utilisez-vousvRealize Suite
Enterprise Edition ?
Oui
Installez vRealize Automation
Installez vRealize Log Insight
Installez vRealize Operations Manager
vRealize Suite Lifecycle Manager
VMware, Inc. 43
Tableau 3-1. Liste de vérification pour l'installation de vRealize Suite
Produits vRealize Suite Plus d'informations
Installer vRealize Operations Manager Pour consultez la documentation d'installation de vRealize Operations Manager, cliquez ici.
Installez vRealize Log Insight en tant que dispositif virtuel. Consultez la documentation d'installation de votre version de vRealize Log Insight, cliquez ici.
Si vous avez acheté vRealize Suite Advanced ou Enterprise Edition, installez vRealize Automation. Vous installez un dispositif vRealize Automation offrant des capacités d'administration et de libre-service, ainsi qu'un serveur IaaS (Infrastructure as a Service) Windows prenant en charge des fonctionnalités d'infrastructure s'étendant à plusieurs produits.
1 Planifiez votre installation. Consultez la documentation de l'architecture de référence de votre version de vRealize Automation.
n Architecture de référence de vRealize Automation 7.6
n Architecture de référence de vRealize Automation 7.4
n Architecture de référence de vRealize Automation 7.3
n Architecture de référence de vRealize Automation 7.2
n Architecture de référence de vRealize Automation 7.1
n Architecture de référence de vRealize Automation 7.0.1
2 Installez vRealize Automation. Consultez la documentation d'installation de votre version de vRealize Automation.
n Installation de vRealize Automation avec Easy Installer
n Installation de vRealize Automation 7.4
n Installation de vRealize Automation 7.3
n Installation ou mise à niveau de vRealize Automation 7.2
Installez vRealize Business for Cloud en tant que dispositif virtuel.
Consultez la documentation d'installation de votre version de vRealize Business for Cloud.
n vRealize Business for Cloud 7.6
n vRealize Business for Cloud 7.5
n Installation et administration de vRealize Business for Cloud 7.4
Présentation de vRealize Suite
VMware, Inc. 44
Mise à niveau de versions antérieures de vRealize Suite ou vCloud Suite 4Vous pouvez effectuer la mise à niveau de vRealize Suite à partir de vCloud Suite ou d'une version antérieure de vRealize Suite en mettant les produits individuels à niveau vers les versions actuelles. Suivez l'ordre recommandé pour la mise à jour afin de garantir une mise à niveau sans problème de vRealize Suite.
Avant d'effectuer la mise à niveau, consultez la matrice d'interopérabilité des produits VMware pour chaque produit que vous prévoyez de mettre à niveau afin de vous assurer que vous disposez de versions de produits compatibles et prises en charge. Reportez-vous au site Web sur les Matrices d'interopérabilité VMware Product.
Tableau 4-1. Mise à niveau des produits vRealize Suite
Produit Plus d'informations
VMware vRealize Operations Manager Il est possible de migrer des données de vCenter Operations Manager vers une nouvelle installation de VMware vRealize Operations Manager. Reportez-vous à Migration d'un déploiement de vCenter Operations Manager vers cette version .
vRealize Log Insight Mise à niveau de vRealize Log Insight
vRealize Automation Mise à niveau de vRealize Automation
vRealize Business for Cloud Mise à niveau vers vRealize Business for Cloud
VMware, Inc. 45
