NSX Présentation

 

Présentation

 

Nous allons dans cette suite d’articles présenter NSX et détailler les étapes d’installation et de configuration dans notre Lab.

Depuis quelques années, VMware s’est mis dans l’idée de tout virtualiser. Le software Defined Data Center, si cher à VMware, prend une nouvelle dimension avec la virtualisation des réseaux et NSX. Ceci est certainement la plus grosse nouveauté depuis la virtualisation des serveurs. En tout cas, elle suscite énormément de curiosité et d’attente.

Dans le cas de la virtualisation des serveurs, l’hyperviseur (ESXi), fournit, tel un serveur physique, la mémoire, le CPU, la carte réseau, etc aux différentes VMs. Avec la virtualisation des réseaux, l’hyperviseur reproduit l’équivalent des couches 2 à 7 du modèle OSI (switch, routage, ACL, Firewall, etc) en tant que software. Ceci permet de créer un réseau virtuel isolé. Le réseau virtuel est indépendant du réseau physique et complètement agnostique. Il vient s’interfacer au-dessus de la couche physique et ne demande aucun équipement supplémentaire à part les ESXi habituels.

NSX peut être configuré depuis le web client, la ligne de commande et les REST API.

Nous allons présenter les composants de NSX avant l’installation.

 

Composants NSX

 

 

 

Data Plane :

 

NSX Data Plane correspond aux vSwitch NSX qui sont basés sur les vSphere Distributed Switch (vDS) ainsi que des composants additionnels. Des modules (VIB) sont installés sur les ESXi pour activer les services comme le routage distribué, le firewall logique et pour activer les VXLAN.

Les vSwitch NSX basés sur vDS font abstraction du réseau physique. Voici les avantages :

  • Couche supérieure avec les protocoles comme VXLAN et centralisation de la configuration du réseau
    • Création d’une couche 2 flexible par-dessus le réseau IP existant physique sans ajout de matériel dans votre réseau physique
    • Communication est-ouest et nord-sud en maintenant une isolation entre plusieurs tenants
    • Les applications et VMs ne sont pas impactés, elles voient le réseau virtuel comme un réseau physique
  • Facilite l’ajout d’hyperviseur dans le réseau
  • Plusieurs fonctionnalités supportées : Port Mirroring, QoS, LACP, Network Health Check, NetFlow, Sauvegarde et Restauration des confgiurations, monitoring, management et troubleshooting du réseau virtuel

De plus, le data plane fournit une passerelle entre les VXLAN et le réseau physique (VLAN). L’appliance NSX Edge gère cette partie. Cette appliance interagit sur les couches 2 et 3, le firewall de périmètre, le load balancing et d’autres services comme VPN et DHCP.

 

Control Plane :

 

Le Control Plane NSX est assuré par les contrôleurs NSX (NSX controller). NSX controller contrôle les switchs virtuels (logical switches) et maintiennent les informations des VMs, ESXi, logical switch et VXLAN.

Les contrôleurs sont déployés dans un cluster par nombre impair afin d’assurer une haute disponibilité. Une panne d’un des contrôleurs ne doit pas impacter le trafic dataplane.

 

Management Plane :

 

Le management plane NSX est assuré par l’appliance NSX Manager qui est le premier composant NSX à déployer dans votre vCenter. Il fournit le point unique pour configurer l’environnement NSX et communique avec les REST API.

 

Consumption Platform :

 

La plateforme de consommation est accessible directement via vSphere Web Client. Elle permet de configurer et administrer NSX. D’autres plug-in existent pour vCAC, vCloud Director et Open Stack ainsi que les REST API.

 

Services NSX

 

Logical Switches :

 

Les switch logiques créés des domaines de broadcast virtuels permettant de séparer des VMs. Ceci est l’équivalent dans un réseau physique aux VLANs. Un switch logique est distribué. Il permet de faciliter la mobilité d’une VM sans les contraintes de la couche 2 physique (VLAN).

 

Logical Routers :

 

Les routeurs logiques permettent de router les informations entre les domaines de broadcast créés par les logical switches. NSX permet de faciliter les échanges Est-Ouest et donc d’effectuer des communications VM à VM directement sans sortir de l’infrastructure virtuelle. Les routeurs logiques permettent également le traffic Nord-Sud qui permet aux VMs de communiquer avec le réseau physique par exemple.

 

Logical Firewall :

 

Les Firewall logiques fournissent des mécanismes de sécurité tout comme des firewall dans un réseau physique. Les composants Distributed Firewall des Firewall logiques permettent de segmenter le datacenter virtuel à travers des objets vCenter (Datacenter, VM, etc), à travers des utilisateurs, des ESXi, etc comme on peut le faire dans un réseau physique à travers des IP, VLAN, etc. Le composant Edge Firewall permet de créer des DMZ basées sur les IP/VLAN, de faire du NAT, du VPN, etc. Enfin pour monitorer l’activité réseau entre vos machines, la fonctionnalité Flow Monitoring vous permettra d’auditer votre trafic réseau.

 

Autres services : Logical Virtual Private Networks, Logical Load Balancer, Service Composer et NSX Extensibility.

 

NSX :

Partie 1 – NSX Présentation

Partie 2 – NSX : LAB Design

Partie 3 – Installer NSX Manager

Partie 4 – NSX : Mise en place du Control Plane / Control Cluster

Partie 5 – NSX : Déployer les modules VIB sur les ESXi

Partie 6 – NSX : Configurer les VXLAN

Partie 7 – NSX : Segment ID et Transport Zone

Partie 8 – NSX : Déployer les Logical Switches

Partie 9 – Présentation NSX Edge

Partie 10 – NSX : Installer un Logical Router

Partie 11 – Installer NSX Edge Service Gateway

Partie 12 – NSX : Présentation Logical Firewall

Partie 13 – NSX : Logical Firewall – Modification de règle par défaut

Partie 14 – NSX : Logical Firewall – Création d’une règle

Partie 15 – NSX : Présentation du Routage

Partie 16 – NSX : Routage Statique

Partie 17 – NSX : Routage Dynamique avec OSPF 

 

 

 

3 thoughts on “NSX Présentation

  1. Rizzello

    Bonjour,

    Merci pour votre blog .
    En fait, j’aimerai démontrer l’isolation par différents scénario pratiques
    Je ne sais pas quelle configuration choisir pour démontrer cette isolation

    Merci

    • Bonjour Rizello,
      Isolation réseau (Segmentation IP) ou isolation selon contexte avec mise en quarantaine par exemple (service composer) ?

      • wafaa

        Merci beaucoup Alban lcorps-Fouad el akkad

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url=""> 


*