Connecter des Clouds avec VShield EDGE VPN

Publié le 25 Novembre 2010

cloud federation

Bonjour à tous,

 

Dans cet article, nous allons parler d'un outil important de la boite à outil VMware concernant la gestion des Clouds.

La famille de produit vShield a pour tâche de sécuriser les Clouds à travers de nombreux mécanismes de sécurisation: Load Balancer, VPN, Firewall, NAT, Monitoring des flux, etc.

Ces services sont nécessaires au bon fonctionnement du Datacenter depuis bien longtemps. Ils étaient autrefois limités à des Appliances physiques, ce qui limitait l'expansion de la virtualisation au sein des entreprises. Des silos de clusters se créaient alors, isolé entre eux par ces appliances physique de sécurité.

Une bonne stratégie de virtualisation ne pourra se faire sans notion de sécurité.
A retenir: Un Cloud est une sorte de Datacenter virtuel fortement automatisé avec la sécurité intégré en son coeur.
La famille de produit vShield est composé de 4 produits différents:

  • vShield Zone
  • vShield App
  • vShield Edge
  • vShield EndPoint

Tous ensembles, ils couvrent de nombreux aspects de la sécurité. Plus d'infos sur ces différents produits peut être trouvé ici.

Nous allons nous focaliser sur vShield Edge.

Ce produit permet de sécuriser chaque application et chaque réseau au sein du Cloud en offrant de nombreux services réseaux: DHCP, Firewall, NAT.

Lorsqu'un service est déployé au sein du Cloud (cf. mon premier article), une Appliance vShield Edge peut être automatiquement déployé pour protéger cette application. De la même façon, lors de la création d'un nouveau réseau, une Appliance vShield est automatiquement déployée pour protéger ce réseau et lui fournir des services.

reseaux-vCD.PNG

Ces services peuvent être configurés directement au sein du Cloud et les utilisateurs, en fonction de leurs droits, peuvent modifier cette configuration.

vShield Edge existe en plusieurs versions. Nous avons parlé de la version intégré à vCloud Director mais il existe aussi la version 1.0 qui offre des services supplémentaires: notamment VPN et Load Balancer.

La fonctionnalité VPN est primordiale dans une stratégie Cloud et un excellent outil pour un grand nombre de scénario d'entreprise hors Cloud.

Le VPN de vShield Edge permet de se connecter à un site distant et créer un tunnel crypté, sécurisant les échanges et connectant les 2 sites. Il est ainsi possible de se connecter aux appliances physiques ou virtuels des éditeurs habituels du marché (Cisco, Checkpoint, Juniper) ou à une autre Appliance vShield Edge.

 

Faisons un point sur les cas d'utilisation du VPN.

  • Le premier, et celui qui sera parmi les plus utilisés,  est la connectivité Inter Cloud. La capacité de relier votre Cloud Interne vers le Cloud externe et vice-versa est une nécessité pour créer un Cloud hybride.

Cloud-Hybrid.PNG

  • Ensuite, toutes les entreprises qui ont besoin de connecter leur(s) site(s) distant(s) (Filiales, Branches, etc.). vShield Edge devient donc un composant important du fameux "Filiale in a box". C'est à dire: tous les services nécessaires pour une filiale sur un seul serveur ESX.
  • Enfin, la connexion de réseau intra Cloud est aussi possible grâce à vShield Edge. Il s'agit même de notre cas pratique ci-dessous.

 

Nous allons maintenant passer en revue les étapes nécessaire pour mettre en place ce VPN.

Le Schéma utilisé est le suivant:

  Vshield-Edge-VPN-v1.png

Nous allons maintenant faire un rapide step by step des opérations nécessaires pour la mise en place de cette liaison VPN au sein de notre Cloud Interne.

La première étape consiste à créer les 2 organisations (VMcloud Private et VMCloud SP) et déployer 1 VM dans chaque organisation.

Un réseau externe routé est créé pour chaque organisation. Une Appliance vShield est alors créée pour chaque organisation.

Ceci n'est pas traité ici.

La seconde étape consiste à configurer ces appliances vShield pour créer le tunnel IPSEC qui connectera les 2 réseaux créés.

Pour cela, on va se connecter au port DvS interne sur lequel est branché l'Appliance vShield Edge et cliquer sur l'onglet vShield Edge.

 

DVS-private1.PNG

 

La configuration se fait après avoir cliquée sur le lien VPN. Ici, il suffit de paramétrer l'IP Externe (donnée dans l'interface précédente) puis faire le "per site" configuration, c'est à dire donner les coordonnées de connexion au site distant.

Il faut donc entrer l'IP du vShield distant, le MTU, puis créer un tunnel où l'on va renseigner le subnet IP du site distant et le protocole d'encryption. Cliquer sur commit, puis sur status et démarrer le service VPN.

 

DVS-private2.PNG

 

Il suffit ensuite de faires la même chose  pour le vShield distant en modifiant les IPs bien entendu.

 

DVS-SP1.PNG

DVS SP2 

Ensuite, nous allons nous loguer sur les VMs dans chaque organisation et pinger la VM dans le réseau distant.

Les pings aboutissent une fois le pont VPN mis en place.

 

PING-SUCCESFUL.PNG

 

Comme vous le voyez, la connexion de site distant est relativement triviale et directement intégré à vCenter server. Depuis votre console de management de votre infrastructure virtuelle, vous pouvez créer des ponts entre vos différents sites.

 

Ceci conclut cet article. Merci de votre attention.