VMware Hands-on Labs - HOL-1803-01-NET


Présentation du laboratoire - HOL-1803-01-NET - Démarrer avec VMware NSX

Instructions relatives au laboratoire


Remarque : il vous faudra plus de 90 minutes pour suivre ce laboratoire. Vous ne pourrez probablement terminer que 2 ou 3 modules au cours de cette session.  Les modules sont indépendants. Vous pouvez donc commencer à partir du module de votre choix. Utilisez le sommaire pour accéder au module choisi.

Le sommaire est disponible dans l’angle supérieur droit du manuel du laboratoire.

VMware NSX est la plate-forme de virtualisation de réseau. Ce laboratoire vous offre une expérience pratique des services de commutation logique, de routage logique distribué, de pare-feu distribué et de réseau logique.  Il présente les fonctionnalités clés de VMware NSX en matière de virtualisation du réseau et de la sécurité en environnement vSphere.

Liste des modules du laboratoire :

Responsables du laboratoire :

 Vous pouvez télécharger ce manuel de laboratoire depuis le site des documents de laboratoire d’essai en ligne accessible à l’adresse suivante :

http://docs.hol.vmware.com

Ce laboratoire peut être disponible dans d’autres langues.  Le document suivant vous aidera à définir vos préférences linguistiques et à déployer un manuel localisé pour votre laboratoire :

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Emplacement de la console principale

 

  1. La zone délimitée par un cadre ROUGE correspond à la console principale.  Le manuel de laboratoire apparaît dans le volet affiché sur la droite de la console principale.
  2. Des consoles supplémentaires peuvent être utilisées pour certains laboratoires. Elles s’affichent alors dans des onglets distincts en haut à gauche. Vous pourrez, au besoin, être invité à ouvrir une console supplémentaire spécifique.
  3. Au début de votre laboratoire, le minuteur est réglé sur 90 minutes.  Il est impossible de sauvegarder une session de laboratoire :  toutes les tâches doivent donc être effectuées en une seule session.  Vous avez toutefois la possibilité de cliquer sur EXTEND pour obtenir un délai supplémentaire.  Si vous suivez ce laboratoire dans le cadre d’un événement VMware, vous avez droit à deux prolongations, pour un délai supplémentaire total de 30 minutes.  Chaque clic vous donne droit à 15 minutes supplémentaires.  En dehors des événements VMware, vous pouvez étendre la durée du laboratoire jusqu’à 9 heures et 30 minutes. Chaque clic vous donne droit à une heure supplémentaire.

 

 

Méthodes alternatives à la saisie de données au clavier

Au cours de ce module, vous serez invité à saisir du texte dans la console principale. Outre la saisie directe au clavier, vous disposez de deux méthodes alternatives facilitant l’entrée de données complexes.

 

 

Glisser-déposer de texte du manuel de laboratoire vers la fenêtre active de la console

Plutôt que de taper une chaîne de texte ou une commande CLI (Command Line Interface), vous pouvez cliquer dessus dans le manuel de laboratoire pour la faire glisser dans la fenêtre active de la console principale.  

 

 

Accès au clavier international en ligne

 

Vous pouvez également utiliser le clavier international en ligne proposé dans la console principale.

  1. Cliquez sur l’icône Clavier dans la barre d’outils Lancement rapide de Windows.

 

 

Invite ou filigrane d’activation

 

Au moment de démarrer le laboratoire, vous remarquerez peut-être sur le Bureau un filigrane indiquant que Windows n’est pas activé.  

L’un des principaux avantages de la virtualisation tient à la possibilité de transférer et d’exécuter une machine virtuelle sur n’importe quelle plate-forme.  Les laboratoires d’essai en ligne tirent parti de cette capacité, qui nous permet de les exécuter depuis différents Data Centers.  Cependant, ces Data Centers ne sont pas tous dotés des mêmes processeurs, ce qui a pour effet de déclencher un contrôle d’activation Microsoft via Internet.

Rassurez-vous, VMware et ses laboratoires d’essai en ligne sont en parfaite conformité avec les conditions de licence de Microsoft.  Le laboratoire que vous suivez est un pod autonome ne disposant pas du plein accès à Internet dont Windows a besoin pour vérifier l’activation.  L’absence d’accès complet à Internet provoque l’échec de ce processus automatisé, d’où l’apparition du filigrane.

Ce problème superficiel est sans incidence sur votre laboratoire.  

 

 

Observez la partie inférieure droite de l’écran

 

Vérifiez que toutes les routines de démarrage ont été exécutées et que le laboratoire est prêt à démarrer. Si l’état affiché est différent de « Ready », patientez pendant quelques minutes.  Si le laboratoire n’est toujours pas à l’état « Ready » au bout de 5 minutes, demandez de l’aide.

 

Module 1 - Installation et configuration de NSX Manager (15 minutes)

Introduction


Plate-forme de virtualisation de réseau leader du marché, VMware NSX offre un modèle opérationnel de machine virtuelle pour le réseau. Tout comme la virtualisation des serveurs permet un contrôle flexible des machines virtuelles s’exécutant dans un pool de serveurs physiques, la virtualisation de réseau NSX fournit une API centralisée pour le provisionnement et la configuration d’un grand nombre de réseaux logiques isolés au sein d’un seul réseau physique.

Les réseaux logiques dissocient la connectivité et les services réseau des machines virtuelles du réseau physique. Les fournisseurs de Cloud et les entreprises peuvent ainsi placer ou migrer des machines virtuelles n’importe où au sein du Data Center, tout en bénéficiant d’une connectivité de couche 2/3 et de services réseau de couches 4 à 7.

Dans ce module, nous utiliserons une simulation interactive afin de voir comment déployer NSX. Nous avons déjà procédé au déploiement au sein de l’environnement de laboratoire.

Au cours de la simulation interactive, vous découvrirez comment :


 

Composants de NSX

 

 

Simulation interactive du laboratoire d’essai en ligne : Installation et configuration de NSX - Partie 1


Cette partie du laboratoire d’essai en ligne se présente sous forme de simulation interactive. Elle vous permet d’expérimenter des procédures dont l’exécution au sein de l’environnement de laboratoire en ligne serait trop chronophage ou gourmande en ressources. Dans cette simulation, vous pouvez utiliser l’interface logicielle comme si vous interagissiez avec un environnement en ligne.

  1. Cliquez ici pour ouvrir la simulation interactive. Une nouvelle fenêtre ou un nouvel onglet de navigateur s’affiche.
  2. Lorsque vous avez terminé, cliquez sur le lien « Return to the lab » pour revenir au laboratoire.

Simulation interactive du laboratoire d’essai en ligne : Installation et configuration de NSX - Partie 2


Cette partie du laboratoire d’essai en ligne se présente sous forme de simulation interactive. Elle vous permet d’expérimenter des procédures dont l’exécution au sein de l’environnement de laboratoire en ligne serait trop chronophage ou gourmande en ressources. Dans cette simulation, vous pouvez utiliser l’interface logicielle comme si vous interagissiez avec un environnement en ligne.

  1. Cliquez ici pour ouvrir la simulation interactive. Une nouvelle fenêtre ou un nouvel onglet de navigateur s’affiche.
  2. Lorsque vous avez terminé, cliquez sur le lien « Return to the lab » pour revenir au laboratoire.

Conclusion du module 1


Dans ce module, nous avons constaté à quel point il était facile d’installer et de configurer NSX afin de déployer des services des couches 2 à 7 sous forme logicielle.

Nous avons couvert l’installation et la configuration de l’appliance NSX Manager, notamment le déploiement, l’intégration avec vCenter, de même que la configuration de la consignation et des sauvegardes. Nous avons ensuite abordé le déploiement d’instances NSX Controller pour le plan de contrôle, et l’installation des packages VMware Infrastructure Bundles (VIB) qui sont des modules de noyau chargés dans l’hyperviseur. Enfin, nous avons vu le déploiement automatisé de points limites de tunnel VXLAN (VTEP), ainsi que la création d’un pool d’identifiants de réseau VXLAN (VNI) et d’une zone de transport.


 

Vous avez terminé le module 1.

Félicitations ! Vous avez terminé le module 1.

Si vous souhaitez en savoir plus sur le déploiement de NSX, rendez-vous dans le Centre de documentation NSX 6.3 via l’URL suivante :

Passez à n’importe lequel des modules suivants :

Liste des modules du laboratoire :

Responsables du laboratoire :

 

 

Comment terminer le laboratoire

 

Pour terminer votre laboratoire, cliquez sur le bouton END.  

 

Module 2 - Commutation logique (30 minutes)

Commutation logique - Présentation du module


Dans ce module, nous allons examiner les aspects suivants de VMware NSX :


Commutation logique


Dans cette section, nous effectuerons les opérations suivantes :

  1. Vérifier la configuration des hôtes.
  2. Vérifier l’état de préparation du réseau logique.
  3. Créer un commutateur logique.
  4. Rattacher le commutateur logique à la passerelle NSX Edge Gateway.
  5. Ajouter des VM au commutateur logique.
  6. Tester la connectivité entre les VM.

 

Lancer Google Chrome

 

Ouvrez le navigateur en double-cliquant sur l’icône Google Chrome située sur le Bureau.

 

 

Accéder à la section « Networking & Security » de vSphere Web Client

 

  1. Cliquez sur l’icône Home.
  2. Cliquez sur Networking & Security.

 

 

Rattacher web-03a et web-04a au nouveau commutateur Prod_Logical_Switch

 

  1. Cliquez sur l’icône Home.
  2. Cliquez sur Networking & Security.

 

 

Tester la connectivité entre Web-03a et Web-04a

 

Évolutivité et disponibilité


Dans cette section, nous allons nous pencher sur l’évolutivité et la disponibilité des nœuds NSX Controller. Dans la plate-forme NSX, le cluster NSX Controller est le composant du plan de contrôle chargé de gérer les modules de commutation et de routage au sein des hyperviseurs. Il se compose de nœuds NSX Controller qui gèrent des commutateurs logiques spécifiques. La gestion des commutateurs logiques VXLAN à l’aide d’un cluster NSX Controller rend inutile la prise en charge de la multidiffusion par l’infrastructure réseau physique.

Pour des raisons de résilience et de performances, les déploiements en production doivent utiliser un cluster NSX Controller comprenant plusieurs nœuds NSX Controller. Le cluster NSX Controller est un système distribué à évolutivité horizontale dans lequel un ensemble de rôles est attribué à chaque nœud NSX Controller. Le rôle assigné détermine les types de tâches exécutables par le nœud NSX Controller. Les nœuds NSX Controller sont déployés par nombre impair. Actuellement, la meilleure pratique (et la seule configuration prise en charge) consiste à mettre en œuvre un cluster NSX composé de trois nœuds NSX Controller pour une redondance et un partage de la charge actif-actif-actif.

Pour renforcer l’évolutivité de l’architecture NSX, un mécanisme de « découpage » permet de s’assurer que tous les nœuds NSX Controller sont actifs en permanence.

La défaillance d’un ou de plusieurs nœuds NSX Controller est sans effet sur le trafic (des VM) du plan de données. Le trafic se poursuit puisque les informations du réseau logique ont déjà été transmises aux commutateurs logiques (le plan de données). En revanche, aucune opération d’édition (ajout/déplacement/modification) n’est possible sans le plan de contrôle (cluster NSX Controller).


 

Évolutivité et disponibilité des nœuds NSX Controller

 

  1. Cliquez sur l’icône Home.
  2. Cliquez sur Networking & Security.

 

Conclusion du module 2


Dans ce module, nous avons examiné les avantages suivants de la plate-forme NSX :

  1. Agilité du réseau : provisionnement et configuration rapides des routeurs logiques en vue de leur interfaçage avec des machines virtuelles et des réseaux externes.
  2. Évolutivité de l’architecture NSX : zone de transport facilement extensible à plusieurs clusters de calcul, et cluster NSX Controller formant un système distribué à évolutivité horizontale.

 

Vous avez terminé le module 2

Félicitations ! Vous avez terminé le module 2.

Si vous souhaitez en savoir plus sur NSX, rendez-vous dans le Centre de documentation NSX 6.3 via l’URL suivante :

Passez à n’importe lequel des modules suivants :

Liste des modules du laboratoire :

Responsables du laboratoire :

 

 

Comment terminer le laboratoire

 

Pour terminer votre laboratoire, cliquez sur le bouton END

 

Module 3 - Routage logique (60 minutes)

Présentation du routage


Présentation du module de laboratoire

Dans le module précédent, nous avons vu à quel point il était facile de créer des commutateurs/réseaux logiques isolés en quelques clics. Pour assurer la communication entre ces réseaux logiques isolés de couche 2, la prise en charge du routage est essentielle. Dans la plate-forme NSX, le routeur logique distribué permet d’aiguiller le trafic entre les commutateurs logiques. La fonction de routage est distribuée au sein de l’hyperviseur. En intégrant ce composant de routage logique, NSX peut reproduire des topologies de routage complexes dans l’espace logique. Par exemple, une application à trois niveaux sera connectée à trois commutateurs logiques, et le routeur logique distribué assurera le routage entre les niveaux.

Ce module vous aidera à comprendre certaines des fonctions de routage prises en charge par la plate-forme NSX et comment les exploiter lors du déploiement d’une application à trois niveaux.

Dans ce module, nous effectuerons les opérations suivantes :


 

Instructions spéciales concernant les commandes CLI

 

Pour une grande partie des modules, vous devez saisir des commandes d’interface de ligne de commande (CLI). Pour envoyer des commandes CLI au laboratoire, vous avez deux possibilités.

Premièrement, pour envoyer une commande CLI à la console du laboratoire :

  1. Mettez la commande CLI en surbrillance dans le manuel et appuyez sur Ctrl + C pour la copier dans le Presse-papiers.
  2. Cliquez sur l’élément de menu de la console SEND TEXT.
  3. Appuyez sur Ctrl + V pour coller le contenu du Presse-papiers dans la fenêtre.
  4. Cliquez sur le bouton SEND.

Deuxièmement, un fichier texte placé sur le Bureau de l’environnement vous permet de copier et coller facilement des commandes ou mots de passe complexes dans les utilitaires associés (CMD, Putty, console, etc.). Certains caractères sont souvent absents des claviers à travers le monde.  Ce fichier texte est aussi fourni pour les dispositions de clavier qui ne présentent pas ces caractères.

Le fichier texte s’appelle README.txt et est accessible sur le Bureau.  

 

Routage dynamique et distribué


Nous examinerons tout d’abord la configuration du routage distribué, puis verrons les avantages du routage au niveau du noyau.


 

Examen de la topologie et du flux de paquets actuels

 

Le diagramme ci-dessus représente l’environnement du laboratoire. La VM d’application et la VM de base de données résident toutes deux sur le même hôte physique. Les flèches rouges désignent le flux de trafic entre les deux VM.

  1. La VM d’application envoie le trafic à l’hôte.
  2. Comme les VM d’application et de base de données ne résident pas dans le même sous-réseau, l’hôte doit transmettre ce trafic à un périphérique de couche 3. La passerelle de périmètre NSX Edge, située dans le cluster de gestion, remplit les fonctions d’un périphérique de couche 3. Le trafic est envoyé à l’hôte où est hébergée la passerelle de périmètre (NSX Edge).
  3. L’hôte transmet le trafic à la passerelle de périmètre (NSX Edge).
  4. La passerelle de périmètre (NSX Edge) renvoie le trafic à l’hôte.
  5. Le trafic est envoyé à l’hôte sur lequel réside la VM de base de données.
  6. L’hôte envoie le trafic à la VM de base de données.

À la fin de ce module, nous examinerons le diagramme de flux de trafic après la configuration du routage distribué. Il vous aidera à mieux comprendre l’impact positif du routage distribué sur le trafic réseau.

 

 

Accéder à vSphere Web Client

 

 

 

Se connecter à vSphere Web Client

 

Normalement, la page d’accueil est celle de vSphere Web Client. Si tel n’est pas le cas, cliquez sur l’icône Google Chrome de vSphere Web Client dans la barre des tâches.

  1. Dans le champ « User name », saisissez administrator@vsphere.local.
  2. Dans le champ « Password », saisissez VMware1!.
  3. Cliquez sur Login.

 

 

Vérifier le fonctionnement de l’application à 3 niveaux

 

  1. Ouvrez un nouvel onglet de navigateur.
  2. Cliquez sur le favori Customer DB App.

 

 

Supprimer les interfaces des niveaux applicatif et base de données de la passerelle de périmètre

 

Comme nous l’avons vu précédemment sur le diagramme de la topologie, les trois commutateurs logiques, ou niveaux, de l’application se terminent sur la passerelle de périmètre (NSX Edge). La passerelle de périmètre (NSX Edge) assure le routage entre les trois niveaux. Nous allons modifier cette topologie en supprimant les interfaces des niveaux applicatif et base de données de la passerelle de périmètre (NSX Edge). Une fois les interfaces supprimées, nous les migrerons vers le routeur distribué (NSX Edge). Pour gagner du temps, un routeur distribué (NSX Edge) a déjà été déployé.

  1. Cliquez sur l’onglet de navigateur vSphere Web Client.
  2. Cliquez sur l’icône Home.
  3. Cliquez sur Networking & Security.

 

 

Ajouter les interfaces des niveaux applicatif et base de données au routeur distribué

 

Nous allons commencer par configurer le routage distribué en ajoutant les interfaces des niveaux applicatif et base de données au routeur distribué (NSX Edge).

  1. Double-cliquez sur Distributed-Router-01.

 

 

Configurer le routage dynamique sur le routeur distribué

 

Retournez dans l’onglet de navigateur vSphere Web Client.

  1. Cliquez sur Routing.
  2. Cliquez sur Global Configuration.
  3. Pour modifier la configuration du routage dynamique, cliquez sur Edit en regard de Dynamic Routing Configuration.

 

 

Modifier la configuration du routage dynamique

 

  1. Dans le champ « Router ID », sélectionnez l’adresse IP de l’interface de liaison montante en tant qu’ID de routeur par défaut. Dans le cas présent, l’interface de liaison montante est Transit_Network_01, et l’adresse IP 192.168.5.2.
  2. Cliquez sur OK.

Remarque : le paramètre « Router ID » est un identifiant de 32 bits se présentant sous forme d’adresse IP. Il s’agit d’un élément important pour le protocole OSPF, car il identifie chaque routeur de manière unique au sein d’un système autonome. Dans notre scénario de laboratoire, l’ID de routeur utilisé est identique à l’adresse IP de l’interface de liaison montante sur le dispositif NSX Edge, ce qui est acceptable, mais pas nécessaire. Vous revenez ensuite à la section Global Configuration de l’écran, qui contient à présent l’option Publish Changes.

 

 

Configurer les paramètres du protocole OSPF

 

Nous utiliserons OSPF en tant que protocole de routage dynamique.

  1. Cliquez sur OSPF.
  2. Pour modifier la configuration du protocole OSPF, cliquez sur Edit. La boîte de dialogue OSPF Configuration s’ouvre.

 

 

Configurer le routage OSPF sur la passerelle de périmètre

 

Nous allons à présent configurer le routage dynamique sur la passerelle de périmètre Perimeter-Gateway-01 (NSX Edge) pour rétablir la connexion à l’application à trois niveaux.

  1. Cliquez sur Back jusqu’à ce que vous soyez de retour dans la section NSX Edges.

 

 

Examen de la nouvelle topologie

 

La nouvelle topologie illustre l’appairage d’itinéraires entre le routeur distribué et la passerelle de périmètre (NSX Edge). Les itinéraires vers n’importe quel réseau connecté au routeur distribué sont distribués à la passerelle de périmètre (NSX Edge). Par ailleurs, nous pouvons contrôler le routage entre la passerelle de périmètre et le réseau physique.

Nous y reviendrons plus en détail dans la section suivante.

 

 

Vérifier la communication avec l’application à trois niveaux

 

Les informations de routage sont échangées entre le routeur distribué et la passerelle de périmètre. Une fois le routage entre les deux dispositifs NSX Edge établi, la connexion à l’application Web à trois niveaux est rétablie. Vérifions que le routage est fonctionnel en accédant à l’application Web à trois niveaux.

  1. Cliquez sur l’onglet de navigateur HOL - Customer Database (cet onglet s’est ouvert lors des étapes précédentes). Cependant, il se peut qu’il indique 504 Gateway Time-out à la place.
  2. Cliquez sur le bouton d’actualisation.

Remarque : comme le laboratoire est un environnement imbriqué, la propagation d’itinéraires peut prendre une minute.

 

 

Configuration du routage dynamique et distribué terminée

Dans cette section, nous avons configuré le routage dynamique et distribué. Dans la section suivante, nous examinerons le routage centralisé avec la passerelle de périmètre (NSX Edge).

 

Routage centralisé


Dans cette section, nous allons nous pencher sur différents éléments pour voir comment le routage s’effectue vers le nord à partir du périmètre, notamment comment le routage dynamique OSPF est contrôlé, mis à jour et propagé dans tout le système. Nous vérifierons le routage sur l’appliance du périmètre via l’appliance de routage virtuelle qui exécute et route l’ensemble du laboratoire.

Remarque : sur le Bureau, vous trouverez un fichier nommé README.txt. Il contient les commandes CLI requises dans le cadre des exercices du laboratoire. Si vous ne pouvez pas taper ces commandes, vous pouvez les copier-coller dans les sessions Putty. Si vous voyez un numéro accompagné de « french brackets - {1} », cela signifie que vous devez rechercher la commande CLI pour ce module dans le fichier texte.


 

Topologie actuelle du laboratoire

 

Le diagramme ci-dessus illustre la topologie actuelle, où le protocole OSPF redistribue les itinéraires entre la passerelle de périmètre et le routeur distribué. Il montre également la liaison vers le nord allant de la passerelle de périmètre au routeur vPod.

 

 

Examen du routage OSPF sur la passerelle de périmètre

Nous commencerons par vérifier que l’application Web est fonctionnelle, puis nous nous connecterons à la passerelle de périmètre NSX pour afficher les voisins OSPF et voir la distribution d’itinéraires existante.  Nous verrons ainsi que la passerelle de périmètre apprend les itinéraires non seulement auprès du routeur distribué, mais également auprès du routeur vPod qui exécute l’ensemble du laboratoire.

 

 

Vérifier le fonctionnement de l’application à 3 niveaux

 

  1. Ouvrez un nouvel onglet de navigateur.
  2. Cliquez sur le favori Customer DB App.

 

 

Instructions spéciales concernant les commandes CLI

 

Pour une grande partie des modules, vous devez saisir des commandes d’interface de ligne de commande (CLI). Pour envoyer des commandes CLI au laboratoire, vous avez deux possibilités.

Premièrement, pour envoyer une commande CLI à la console du laboratoire :

  1. Mettez la commande CLI en surbrillance dans le manuel et appuyez sur Ctrl + C pour la copier dans le Presse-papiers.
  2. Cliquez sur l’élément de menu de la console SEND TEXT.
  3. Appuyez sur Ctrl + V pour coller le contenu du Presse-papiers dans la fenêtre.
  4. Cliquez sur le bouton SEND.

Deuxièmement, un fichier texte placé sur le Bureau de l’environnement vous permet de copier et coller facilement des commandes ou mots de passe complexes dans les utilitaires associés (CMD, Putty, console, etc). Certains caractères sont souvent absents des claviers à travers le monde.  Ce fichier texte est aussi fourni pour les dispositions de clavier qui ne présentent pas ces caractères.

Le fichier texte s’appelle README.txt et est accessible sur le Bureau.  

 

 

Contrôle de la distribution d’itinéraires BGP

Vous pouvez avoir besoin que les itinéraires BGP soient distribués au sein de l’environnement virtuel, mais pas dans l’environnement physique. Cette distribution d’itinéraires peut être contrôlée facilement à partir de la configuration NSX Edge.

 

Routage ECMP et haute disponibilité


Dans cette section, nous allons ajouter une autre passerelle de périmètre au réseau, puis utiliser le routage ECMP (Equal Cost Multipath) pour faire évoluer horizontalement la capacité de la passerelle et augmenter sa disponibilité.  Avec NSX, nous pouvons effectuer un ajout sur place d’un dispositif Edge et activer le routage ECMP.

La stratégie de routage ECMP permet de transmettre les paquets de tronçon suivant à une destination unique par le biais de plusieurs chemins optimaux. Ces chemins optimaux peuvent être ajoutés de manière statique ou à partir des calculs de mesures assurés par des protocoles de routage dynamique comme OSPF ou BGP. La passerelle de services Edge exploite l’implémentation de pile réseau Linux, un algorithme de permutation circulaire (round-robin) présentant une composante aléatoire. Une fois qu’un tronçon suivant a été sélectionné pour une paire d’adresses IP source et de destination, le cache d’itinéraires stocke ce tronçon. Tous les paquets de ce flux sont acheminés vers le tronçon suivant sélectionné. Le routeur logique distribué tire parti d’un algorithme XOR pour déterminer le tronçon suivant à partir d’une liste de tronçons suivants possibles pour le routage ECMP. Cet algorithme utilise les adresses IP source et de destination du paquet sortant en tant que sources d’entropie.

Nous allons à présent configurer une nouvelle passerelle de périmètre, puis établir entre les passerelles de périmètre un cluster ECMP que le routeur logique distribué pourra exploiter pour accroître la capacité et la disponibilité. Nous testerons la disponibilité en arrêtant l’une des passerelles de périmètre et en observant le changement de l’acheminement du trafic.


 

Accéder à NSX dans vSphere Web Client

 

  1. Cliquez sur l’onglet de navigateur vSphere Web Client.
  2. Cliquez sur l’icône Home.
  3. Cliquez sur Networking & Security.

 

 

Ajouter une passerelle de périmètre supplémentaire

 

Ajoutons une passerelle de périmètre NSX Edge supplémentaire.

  1. Cliquez sur NSX Edges.
  2. Cliquez sur le signe plus vert.

 

 

Configurer le routage sur le nouveau dispositif Edge

 

Pour pouvoir activer le routage ECMP, nous devons configurer le protocole OSPF sur la passerelle de périmètre Perimeter-Gateway-02 (NSX Edge).

  1. Double-cliquez sur Perimeter-Gateway-02.

 

 

Activer le routage ECMP

 

Nous allons maintenant activer le routage ECMP sur le routeur distribué et les passerelles de périmètre.

  1. Cliquez sur Back jusqu’à ce que vous soyez de retour dans la section NSX Edges.

 

 

Présentation de la topologie

 

Voici la topologie du laboratoire à ce stade.  Celle-ci inclut la nouvelle passerelle de périmètre qui a été ajoutée, le routage configuré et le routage ECMP activé.

 

 

Vérifier le fonctionnement du routage ECMP à partir du routeur distribué

 

Accédons maintenant au routeur distribué pour nous assurer que le protocole OSPF communique et que le routage ECMP fonctionne.

  1. Cliquez sur l’icône Home.
  2. Cliquez sur VMs and Templates.

 

 

Vérifier le fonctionnement du routage ECMP à partir du routeur vPod

 

Remarque : pour libérer le curseur de la fenêtre, appuyez sur les touches Ctrl + Alt.

Nous allons à présent examiner le routage ECMP à partir du routeur vPod, qui simule un routeur physique sur votre réseau.

  1. Cliquez sur l’icône PuTTY dans la barre des tâches.

 

 

Arrêter la passerelle de périmètre 01

 

Nous allons simuler le passage hors ligne d’un nœud en arrêtant la passerelle de périmètre Perimeter-Gateway-01.

Retournez dans l’onglet de navigateur vSphere Web Client.

  1. Développez RegionA01.
  2. Cliquez avec le bouton droit sur Perimeter-Gateway-01-0.
  3. Cliquez sur Power.
  4. Cliquez sur Shut Down Guest OS.

 

 

Tester la haute disponibilité avec le routage ECMP

 

Avec le routage ECMP et les protocoles BGP et OSPF configurés dans l’environnement, nous pouvons changer dynamiquement les itinéraires en cas de défaillance sur un chemin spécifique.  Nous allons à présent simuler l’indisponibilité de l’un des chemins et la redistribution d’itinéraires qu’elle entraîne.

  1. Cliquez sur l’icône représentant l’invite de commande dans la barre des tâches.

 

 

Accéder à la console de la machine virtuelle du routeur logique distribué

 

  1. Cliquez sur l’onglet de navigateur Distributed-01-0.

Lorsque la console de la machine virtuelle est lancée dans l’onglet de navigateur, elle s’affiche sous la forme d’un écran noir. Cliquez à l’intérieur de l’écran noir et appuyez sur Entrée plusieurs fois pour faire apparaître la console de la machine virtuelle à partir de l’écran de veille.

 

 

Démarrer la passerelle de périmètre 01

 

Retournez dans l’onglet de navigateur vSphere Web Client.

  1. Développez RegionA01.
  2. Cliquez avec le bouton droit sur Perimeter-Gateway-01-0.
  3. Cliquez sur Power.
  4. Cliquez sur Power On.

 

 

Revenir au test ping

 

 

 

Accéder à la console de la machine virtuelle du routeur logique distribué

 

  1. Cliquez sur l’onglet de navigateur Distributed-01-0.

Lorsque la console de la machine virtuelle est lancée dans l’onglet de navigateur, elle s’affiche sous la forme d’un écran noir. Cliquez à l’intérieur de l’écran noir et appuyez sur Entrée plusieurs fois pour faire apparaître la console de la machine virtuelle à partir de l’écran de veille.

 

Avant de passer au module 3 - Effectuez les étapes de nettoyage suivantes


Si vous prévoyez d’accomplir un autre module de ce laboratoire après avoir terminé le module 2, vous devez effectuer les étapes ci-dessous, faute de quoi le laboratoire ne fonctionnera pas correctement par la suite.


 

Supprimer le deuxième dispositif Edge de périmètre

 

Retournez dans l’onglet de navigateur vSphere Web Client.

  1. Cliquez sur l’icône Home.
  2. Cliquez sur Networking & Security.

 

 

Désactiver le routage ECMP sur le routeur logique distribué et la passerelle de périmètre 01

 

  1. Double-cliquez sur Distributed-Router-01.

 

Conclusion du module 3


Dans ce module, nous avons couvert les fonctionnalités de routage du routeur logique distribué NSX et des passerelles de services Edge :

  1. Migration des commutateurs logiques de la passerelle de services Edge au routeur logique distribué.
  2. Configuration du protocole de routage dynamique entre la passerelle de services Edge et le routeur logique distribué.
  3. Examen des fonctionnalités de routage centralisé de la passerelle de services Edge et des informations sur l’appairage du routage dynamique.
  4. Démonstration de l’évolutivité et de la disponibilité de la passerelle de services Edge en déployant une deuxième passerelle de services Edge et en établissant un appairage d’itinéraires entre ces deux passerelles via la configuration du routage ECMP (Equal Cost Multipath).
  5. Suppression de la deuxième passerelle de services Edge et de la configuration du routage ECMP.

 

Vous avez terminé le module 3

Félicitations ! Vous avez terminé le module 3.

Si vous souhaitez en savoir plus sur NSX, rendez-vous dans le Centre de documentation NSX 6.3 via l’URL suivante :

Passez à n’importe lequel des modules suivants :

Liste des modules du laboratoire :

Responsables du laboratoire :

 

 

Comment terminer le laboratoire

 

Pour terminer votre laboratoire, cliquez sur le bouton END

 

Module 4 - Passerelle de services Edge (60 minutes)

Introduction à la passerelle de services NSX Edge


NSX Edge offre la sécurité en périphérie et les services de passerelle requis pour isoler un réseau virtualisé. Vous pouvez installer un dispositif NSX Edge soit en tant que routeur logique (distribué), soit en tant que passerelle de services.

Le routeur logique (distribué) NSX Edge assure un routage distribué horizontal (est-ouest) avec un espace d’adressage IP de locataire et une isolation du chemin de données. Les machines ou les charges de travail virtuelles qui se trouvent sur le même hôte sur différents sous-réseaux peuvent communiquer entre elles sans avoir à passer par une interface de routage traditionnelle.

La passerelle de services NSX Edge Gateway connecte des réseaux de stub isolés à des réseaux partagés (de liaison montante) en offrant des services de passerelle courants : DHCP, VPN, NAT, routage dynamique, équilibrage de charge, etc. Les déploiements ordinaires de NSX Edge comprennent la DMZ, les VPN, les extranets et les environnements de Cloud mutualisés, où le dispositif NSX Edge crée des limites virtuelles pour chaque locataire.

Dans ce module, nous effectuerons les opérations suivantes :


Déployer la passerelle de services Edge pour l’équilibrage de charge


La passerelle de services NSX Edge peut fournir une fonctionnalité d’équilibrage de charge. L’emploi d’un équilibreur de charge est bénéfique, car il peut permettre une utilisation plus efficace des ressources, par exemple en optimisant l’utilisation du débit réseau, en réduisant les temps de réponse pour les applications ou en offrant la possibilité de faire évoluer la capacité. Il peut par ailleurs être mis à profit dans le cadre d’une stratégie visant à garantir la redondance et la disponibilité des services.

La charge liée aux requêtes TCP, UDP, HTTP ou HTTPS peut être équilibrée à l’aide de la passerelle de services NSX Edge. La passerelle de services Edge peut assurer un équilibrage de charge jusqu’à la couche 7 du modèle OSI (Open Systems Interconnection).  

Dans cette section, nous allons déployer et configurer une nouvelle appliance NSX Edge en tant qu’équilibreur de charge en mode « manchot ».


 

Vérifier que le laboratoire est prêt

 

Des contrôles de validation permettent de s’assurer que tous les composants du laboratoire sont correctement déployés, et une fois la validation terminée, l’état s’affiche en vert avec la mention « Ready ». Le déploiement d’un laboratoire peut échouer en raison d’un manque de ressources dans l’environnement.

 

 

Gagner de l’espace à l’écran en réduisant le volet des tâches de droite

 

En cliquant sur les épingles, vous pouvez réduire les volets de tâches afin de bénéficier d’un espace d’affichage plus important dans le volet principal. Vous pouvez également réduire le volet de gauche pour optimiser l’espace disponible.

 

 

Accéder à la section « Networking & Security » de vSphere Web Client

 

  1. Cliquez sur l’icône Home.
  2. Cliquez sur Networking & Security.

 

 

Création d’une nouvelle passerelle de services Edge

 

Nous allons configurer le service d’équilibrage de charge en mode « manchot » sur une nouvelle passerelle de services Edge. Pour commencer la création de la nouvelle passerelle de services Edge, assurez-vous que vous vous trouvez dans la section Networking & Security de vSphere Web Client :

  1. Cliquez sur NSX Edges.
  2. Cliquez sur le signe plus vert.

 

 

Définition du nom et du type

 

Pour la nouvelle passerelle de services NSX Edge, définissez les options de configuration suivantes :

  1. Dans le champ « Name », saisissez OneArm-LoadBalancer.
  2. Cliquez sur Next.

 

 

Configuration d’un compte d’administration

 

  1. Dans le champ « Password », saisissez VMware1!VMware1!.
  2. Dans le champ « Confirm password », saisissez VMware1!VMware1!.
  3. Cochez la case Enable SSH access.
  4. Cliquez sur Next.

Remarque : les dispositifs NSX Edge exigent un mot de passe complexe comprenant au moins 12 caractères.

 

 

Définition de la taille de la passerelle et du placement des machines virtuelles

 

Il existe quatre tailles d’appliance différentes pour la passerelle de services Edge. Les spécifications correspondantes (nombre de CPU, mémoire) sont les suivantes :

Pour cette nouvelle passerelle de services Edge, nous sélectionnerons la taille « Compact », mais gardez à l’esprit que ces passerelles de services Edge peuvent être mises à niveau vers une taille plus importante après le déploiement. Pour continuer la création de la nouvelle passerelle de services Edge :

  1. Cliquez sur le signe plus vert. La fenêtre contextuelle Add NSX Edge Appliances s’ouvre.

 

 

Placement du cluster/de la banque de données

 

  1. Pour le paramètre « Cluster/Resource Pool », sélectionnez RegionA01-MGMT01.
  2. Pour le paramètre « Datastore », sélectionnez RegionA01-ISCSI01-MGMT01.
  3. Pour le paramètre « Host », sélectionnez esx-05a.corp.local.
  4. Pour le paramètre « Folder », sélectionnez Discovered virtual machine.
  5. Cliquez sur OK.

 

 

Configurer le déploiement

 

  1. Cliquez sur Next.

 

 

Placement d’une nouvelle interface réseau sur le dispositif NSX Edge

 

Comme il s’agit d’un équilibreur de charge en mode « manchot », il n’a besoin que d’une seule interface réseau.

  1. Cliquez sur le signe plus vert.

 

 

Configuration de la nouvelle interface réseau pour le dispositif NSX Edge

 

Nous allons configurer la première interface réseau pour ce nouveau dispositif NSX Edge.  

  1. Dans le champ « Name », saisissez WebNetwork.
  2. Pour le paramètre « Type », sélectionnez Internal.
  3. Cliquez sur Select.

 

 

Sélection du réseau pour l’interface du nouveau dispositif Edge

 

L’interface de cet équilibreur de charge en mode « manchot » doit se trouver sur le même réseau que les deux serveurs Web auxquels ce dispositif Edge fournira des services d’équilibrage de charge.

  1. Cliquez sur Logical Switch.
  2. Sélectionnez Web_Tier_Logical_Switch (5000).
  3. Cliquez sur OK.

 

 

Configuration de sous-réseaux

 

  1. Cliquez sur le signe plus vert. Vous pourrez ainsi configurer l’adresse IP de cette interface.

 

 

Fenêtre contextuelle de configuration de sous-réseaux

 

Pour ajouter une nouvelle adresse IP à cette interface :

  1. Dans le champ « Primary IP Address », saisissez 172.16.10.10.
  2. Dans le champ « Subnet Prefix Length », saisissez 24.
  3. Cliquez sur OK.

 

 

Vérifier la liste des interfaces

 

Vérifiez que les valeurs des colonnes « IP Address » et « Subnet Prefix Length » sont identiques à celles de l’image ci-dessus.

  1. Cliquez sur Next.

 

 

Configuration de la passerelle par défaut

 

  1. Dans le champ « Gateway IP », saisissez 172.16.10.1.
  2. Cliquez sur Next.

 

 

Configuration des options de pare-feu et de haute disponibilité

 

  1. Cochez la case Configure Firewall default policy.
  2. Pour le paramètre « Default Traffic Policy », sélectionnez Accept.
  3. Cliquez sur Next.

 

 

Vérifier l’ensemble des paramètres et terminer la configuration

 

  1. Cliquez sur Finish. Le déploiement est lancé.

 

 

Surveillance du déploiement

 

Le déploiement du dispositif NSX Edge demande quelques minutes.

  1. Pendant le déploiement du dispositif OneArm-LoadBalancer, la section « NSX Edges » indique 1 Installing (1 en cours d’installation).
  2. Le dispositif OneArm-LoadBalancer présente l’état Busy (Occupé). Cela signifie que le déploiement est en cours.
  3. Cliquez sur l’icône d’actualisation de vSphere Web Client pour afficher l’état du déploiement du dispositif OneArm-LoadBalancer.

Une fois que le dispositif OneArm-LoadBalancer présente l’état Deployed (Déployé), nous pouvons passer à l’étape suivante.

 

Configurer la passerelle de services Edge pour l’équilibrage de charge


Maintenant que la passerelle de services Edge est déployée, nous allons configurer les services d’équilibrage de charge.


 

Configurer le service d’équilibreur de charge

 

L’image ci-dessus illustre la topologie finale que nous aurons pour le service d’équilibreur de charge fourni par la passerelle de services NSX Edge que nous venons de déployer. Pour commencer, dans la section « NSX Edges » du plug-in Networking & Security de vSphere Web Client, double-cliquez sur le dispositif Edge que nous venons de créer afin d’accéder à sa page de gestion.

 

 

Configurer la fonction d’équilibreur de charge sur le dispositif OneArm-LoadBalancer

 

  1. Double-cliquez sur OneArm-LoadBalancer.

 

 

Accéder au nouveau dispositif NSX Edge

 

  1. Cliquez sur Manage.
  2. Cliquez sur Load Balancer.
  3. Cliquez sur Global Configuration.
  4. Pour modifier la configuration globale de l’équilibreur de charge, cliquez sur Edit en regard de « Load balancer global configuration ».

 

 

Modifier la configuration globale de l’équilibreur de charge

 

Pour activer le service d’équilibreur de charge :

  1. Cochez la case Enable Load Balancer.
  2. Cliquez sur OK.

 

 

Création d’un nouveau profil d’application

 

Un profil d’application permet de définir le comportement d’un type caractéristique de trafic réseau. Ces profils sont appliqués à un serveur virtuel, qui gère le trafic en fonction des valeurs spécifiées dans le profil d’application.  

L’utilisation de profils peut réduire le risque d’erreur pour les tâches de gestion du trafic et augmenter l’efficacité de ces dernières.  

  1. Cliquez sur Application Profiles.
  2. Cliquez sur le signe plus vert. La fenêtre contextuelle « New Profile » s’ouvre.

 

 

Configuration du protocole HTTPS pour le nouveau profil d’application

 

Pour le nouveau profil d’application, configurez les paramètres suivants :

  1. Dans le champ « Name », saisissez OneArmWeb-01.
  2. Pour le paramètre « Type », sélectionnez HTTPS.
  3. Cochez la case Enable SSL Passthrough. Cela permettra au protocole HTTPS de se terminer sur le serveur du pool.
  4. Cliquez sur OK.

 

 

Modifier le moniteur HTTPS par défaut

 

Les moniteurs permettent de s’assurer que les membres du pool fournissant des services aux serveurs virtuels fonctionnent correctement. Le moniteur HTTPS par défaut effectue simplement une requête « GET » à « / ». Nous allons modifier le moniteur par défaut pour qu’il effectue un bilan d’intégrité à l’URL spécifique d’une application. Cela permettra de déterminer que non seulement les serveurs des membres du pool sont opérationnels, mais l’application également.

  1. Cliquez sur Service Monitoring.
  2. Cliquez sur monitor-3 (default_https_monitor).
  3. Cliquez sur l’icône en forme de crayon.
  4. Dans le champ « URL », saisissez /cgi-bin/app.py.
  5. Cliquez sur OK.

 

 

Créer un nouveau pool

 

Un groupe de serveurs de pool est l’entité qui représente les nœuds vers lesquels la charge du trafic est équilibrée. Nous allons ajouter les deux serveurs Web web-01a et web-02a à un nouveau pool. Pour créer le nouveau pool :

  1. Cliquez sur Pools.
  2. Cliquez sur le signe plus vert. La fenêtre contextuelle « New Pool » s’ouvre.

 

 

Configuration du nouveau pool

 

Pour les paramètres de ce nouveau pool, configurez les valeurs suivantes :

  1. Dans le champ « Name », saisissez Web-Tier-Pool-01.
  2. Pour le paramètre « Monitors », sélectionnez default_https_monitor.
  3. Cliquez sur le signe plus vert.

 

 

Ajouter des membres au pool

 

  1. Dans le champ « Name », saisissez web-01a.
  2. Dans le champ « IP Address / VC Container », saisissez 172.16.10.11.
  3. Dans le champ « Port », saisissez 443.
  4. Dans le champ « Monitor Port », saisissez 443.
  5. Cliquez sur OK.

Répétez la procédure ci-dessus pour ajouter un autre membre de pool avec les informations suivantes :

 

 

Enregistrer les paramètres du pool

 

  1. Cliquez sur OK.

 

 

Créer un nouveau serveur virtuel

 

Un serveur virtuel est l’entité qui accepte le trafic provenant du « front-end » de la configuration d’un service d’équilibreur de charge. Le trafic utilisateur est dirigé vers l’adresse IP correspondant au serveur virtuel, puis est redistribué vers les nœuds côté « back-end » de l’équilibreur de charge. Pour configurer un nouveau serveur virtuel sur cette passerelle de services Edge, tout d’abord :

  1. Cliquez sur Virtual Servers.
  2. Cliquez sur le signe plus vert. La fenêtre contextuelle « New Virtual Server » s’ouvre.

 

 

Configurer le nouveau serveur virtuel

 

Pour les paramètres de ce nouveau serveur virtuel, configurez les valeurs suivantes :

  1. Dans le champ « Name », saisissez Web-Tier-VIP-01.
  2. Dans le champ « IP Address », saisissez 172.16.10.10.
  3. Pour le paramètre « Protocol », sélectionnez HTTPS.
  4. Sélectionnez Web-Tier-Pool-01.
  5. Cliquez sur OK.

 

Équilibreur de charge de la passerelle de services Edge - Vérifier la configuration


Maintenant que nous avons configuré les services d’équilibrage de charge, nous allons en vérifier la configuration.


 

Tester l’accès au serveur virtuel

 

  1. Ouvrez un nouvel onglet de navigateur.
  2. Cliquez sur le favori 1-Arm LB Customer DB.
  3. Cliquez sur Advanced.

 

 

Ignorer l’erreur SSL

 

  1. Cliquez sur Proceed to 172.16.10.10 (unsafe).

 

 

Tester l’accès au serveur virtuel

 

Si l’équilibreur de charge en mode « manchot » a été configuré correctement, nous devrions pouvoir y accéder sans problème.

  1. Cliquez sur l’icône d’actualisation. Vous pouvez ainsi voir la permutation circulaire des deux membres du pool.

Remarque : vous devrez peut-être cliquer plusieurs fois sur l’icône pour que le navigateur soit actualisé en dehors de son cache.  

 

 

Afficher les statistiques du pool

 

Retournez dans l’onglet de navigateur vSphere Web Client.

Pour afficher l’état des membres individuels du pool :

  1. Cliquez sur Pools.
  2. Cliquez sur Show Pool Statistics.
  3. Cliquez sur pool-1. L’état actuel de chaque membre s’affiche.
  4. Fermez la fenêtre en cliquant sur le bouton X.

 

 

Amélioration des réponses du moniteur (bilan d’intégrité)

 

Pour faciliter la résolution des problèmes, la commande « show ...pool » de l’équilibreur de charge NSX permet d’obtenir une description informative pour les défaillances des membres du pool. Nous allons provoquer deux défaillances différentes et examiner la réponse en utilisant des commandes « show » sur la passerelle de services Edge Gateway de l’équilibreur de charge.

  1. Dans la zone de recherche, saisissez LoadBalancer. La zone de recherche est située dans le coin supérieur droit de vSphere Web Client.
  2. Cliquez sur OneArm-LoadBalancer-0.

 

 

Ouvrir la console de l’équilibreur de charge

 

  1. Cliquez sur Summary.
  2. Cliquez sur la console de la machine virtuelle.

 

 

Connexion à OneArm-LoadBalancer-0

 

  1. Connectez-vous en tant qu’admin.
  2. Pour le mot de passe, saisissez VMware1!VMware1!.

 

 

Instructions spéciales concernant les commandes CLI

 

Pour une grande partie des modules, vous devez saisir des commandes d’interface de ligne de commande (CLI). Pour envoyer des commandes CLI au laboratoire, vous avez deux possibilités.

Premièrement, pour envoyer une commande CLI à la console du laboratoire :

  1. Mettez la commande CLI en surbrillance dans le manuel et appuyez sur Ctrl + C pour la copier dans le Presse-papiers.
  2. Cliquez sur l’élément de menu de la console SEND TEXT.
  3. Appuyez sur Ctrl + V pour coller le contenu du Presse-papiers dans la fenêtre.
  4. Cliquez sur le bouton SEND.

Deuxièmement, un fichier texte placé sur le Bureau de l’environnement contient tous les comptes utilisateur et mots de passe pour l’environnement.

 

 

Examiner l’état du pool avant la défaillance

 

  1. Saisissez show service loadbalancer pool.
show service loadbalancer pool

Remarque : les membres du pool, web-01a et web-02a, présentent l’état « UP » (Actif).

 

 

Démarrer PuTTY

 

  1. Cliquez sur PuTTY dans la barre des tâches.

 

 

Accéder à web-01a.corp.local via le protocole SSH

 

  1. Faites défiler la liste vers le bas jusqu’à web-01a.corp.local.
  2. Sélectionnez web-01a.corp.local.
  3. Cliquez sur Load.
  4. Cliquez sur Open.

 

 

Arrêter le service Nginx

 

Nous allons arrêter le protocole HTTPS pour simuler la première condition de défaillance.

  1. Saisissez systemctl stop nginx.
systemctl stop nginx

 

 

Console de l’équilibreur de charge

 

  1. Saisissez show service loadbalancer pool.
show service loadbalancer pool

Comme le service est indisponible, les détails de la défaillance indiquent que le client n’a pas pu établir de session SSL.

 

 

Démarrer le service Nginx

 

Revenez à la session SSH Putty du serveur web-01a.

1. Saisissez systemctl start nginx.

systemctl start nginx

 

 

Arrêter le serveur web-01a

 

Retournez dans l’onglet de navigateur vSphere Web Client.

  1. Dans la zone de recherche, saisissez web-01a. La zone de recherche est située dans le coin supérieur droit de vSphere Web Client.
  2. Cliquez sur web-01a.

 

 

Mettre le serveur web-01a hors tension

 

  1. Cliquez sur Actions.
  2. Cliquez sur Power.
  3. Cliquez sur Power Off.
  4. Cliquez sur Yes.

 

 

Vérifier l’état du pool

 

  1. Saisissez show service loadbalancer pool.
show service loadbalancer pool

Comme la machine virtuelle est actuellement indisponible, les détails de la défaillance indiquent que le client n’a pas pu établir de connexion de couche 4, à la différence de l’étape précédente, où il n’avait pas pu établir de connexion de couche 7 (SSL).

 

 

Mettre le serveur web-01a sous tension

 

Retournez dans l’onglet de navigateur vSphere Web Client.

  1. Cliquez sur Actions.
  2. Cliquez sur Power.
  3. Cliquez sur Power On.

 

 

Conclusion

Dans le cadre de ce laboratoire, nous avons déployé et configuré une nouvelle passerelle de services Edge et activé les services d’équilibrage de charge pour l’application 1-Arm LB Customer DB.

La leçon sur l’équilibreur de charge de la passerelle de services Edge est maintenant terminée. Dans la section suivante, nous nous pencherons sur le pare-feu de la passerelle de services Edge.

 

Pare-feu de la passerelle de services Edge


Le pare-feu NSX Edge surveille le trafic nord-sud afin de fournir des fonctionnalités de sécurité périmétrique (pare-feu, traduction d’adresse réseau (NAT), etc.), ainsi que des fonctionnalités de VPN IPSec et SSL de site à site. Les paramètres du pare-feu s’appliquent au trafic qui ne correspond à aucune des règles de pare-feu définies par l’utilisateur. La règle par défaut du pare-feu Edge bloque tout le trafic entrant.


 

Utilisation des règles du pare-feu NSX Edge

Nous pouvons accéder à un dispositif NSX Edge pour afficher les règles de pare-feu qui s’y appliquent. Les règles de pare-feu appliquées à un routeur logique protègent uniquement le trafic du plan de contrôle à destination et en provenance de la machine virtuelle de contrôle du routeur logique. Elles n’assurent aucune protection au niveau du plan de données. Pour protéger le trafic du plan de données, vous devez créer des règles de pare-feu logique pour la protection du trafic est-ouest ou des règles au niveau de la passerelle de services NSX Edge pour la protection du trafic nord-sud.

Les règles créées dans l’interface utilisateur de pare-feu applicables à ce dispositif NSX Edge sont affichées en mode lecture seule. Les règles sont affichées et appliquées dans l’ordre suivant :

  1. Règles définies par l’utilisateur de l’interface utilisateur de pare-feu (lecture seule).
  2. Règles ajoutées automatiquement (règles qui permettent la circulation du trafic de contrôle pour les services Edge).
  3. Règles définies par l’utilisateur dans l’interface utilisateur du pare-feu NSX Edge.
  4. Règle par défaut.

 

 

Ouvrir la section « Network & Security »

 

  1. Cliquez sur l’icône Home.
  2. Cliquez sur Networking & Security.

 

 

Ouvrir un dispositif NSX Edge

 

  1. Cliquez sur NSX Edges.
  2. Double-cliquez sur Perimeter-Gateway-01.

 

 

Ouvrir l’onglet « Manage »

 

  1. Cliquez sur Manage.
  2. Cliquez sur Firewall.
  3. Cliquez sur Default Rule.
  4. Dans la colonne « Action », cliquez sur le signe plus.
  5. Dans le menu déroulant « Action », sélectionnez Deny.

 

 

Publier les modifications

 

Nous n’allons pas apporter de modifications définitives à la configuration du pare-feu de la passerelle de services Edge.

  1. Pour annuler les modifications, cliquez sur Revert.

 

 

Ajout d’une règle au pare-feu de la passerelle de services Edge

 

Maintenant que vous savez comment modifier une règle existante du pare-feu de la passerelle de services Edge, nous allons ajouter une nouvelle règle de pare-feu Edge qui bloquera l’accès de Control Center à l’application Customer DB App.

  1. Pour ajouter une nouvelle règle de pare-feu, cliquez sur le signe plus vert.
  2. Placez le curseur de la souris dans l’angle supérieur droit de la colonne « Name », puis cliquez sur le signe plus.
  3. Dans le champ « Rule Name », saisissez Main Console FW Rule.
  4. Cliquez sur OK.

 

 

Spécifier la source

 

Placez le curseur de la souris dans l’angle supérieur droit de la colonne Source, puis cliquez sur l’icône en forme de crayon.

  1. Dans le menu déroulant Object Type, sélectionnez IP Sets.
  2. Cliquez sur le lien hypertexte New IP Set....
  3. Dans le champ « Name », saisissez Main Console.
  4. Dans le champ « IP Address », saisissez 192.168.110.10.
  5. Cliquez sur OK.

 

 

Confirmer la source

 

  1. Vérifiez que Main Console figure dans la liste « Selected Objects ».
  2. Cliquez sur OK.

 

 

Spécifier la destination

 

Placez le curseur de la souris dans l’angle supérieur droit de la colonne Destination, puis cliquez sur l’icône en forme de crayon.

  1. Dans le menu déroulant Object Type, sélectionnez Logical Switch.
  2. Cliquez sur Web_Tier_Logical_Switch.
  3. Cliquez sur la flèche droite. L’élément Web_Tier_Logical_Switch est déplacé dans la liste Selected Objects.
  4. Cliquez sur OK.

 

 

Configurer l’action

 

  1. Dans la colonne « Action », cliquez sur le signe plus.
  2. Dans le menu déroulant « Action », sélectionnez Deny.
  3. Cliquez sur OK.

 

 

Publier les modifications

 

  1. Pour mettre à jour la configuration sur la passerelle de périmètre Perimeter-Gateway-01 (NSX Edge), cliquez sur Publish Changes.

 

 

Tester la nouvelle règle de pare-feu

 

Maintenant que nous avons configuré une nouvelle règle de pare-feu qui bloquera l’accès de Control Center au commutateur logique de niveau Web, effectuons un test rapide :

  1. Ouvrez un nouvel onglet de navigateur.
  2. Cliquez sur le favori Customer DB App.

Vérifiez que la console principale ne peut pas accéder à l’application Customer DB App. Une page de navigateur indiquant que le site Web est inaccessible devrait s’afficher. Maintenant, modifions la règle de pare-feu de manière à autoriser la console principale à accéder à l’application Customer DB App.

 

 

Définir la règle de pare-feu « Main Console FW Rule » sur « Accept »

 

Retournez dans l’onglet de navigateur vSphere Web Client.

  1. Cliquez sur le signe plus dans l’angle supérieur droit de la colonne « Action » de la règle de pare-feu « Main Console FW Rule ».
  2. Dans le menu déroulant « Action », sélectionnez Accept.
  3. Cliquez sur OK.

 

 

 

Publier les modifications

 

  1. Pour mettre à jour la configuration sur la passerelle de périmètre Perimeter-Gateway-01 (NSX Edge), cliquez sur Publish Changes.

 

 

Vérifier que l’accès à l’application Customer DB App est autorisé

 

Retournez dans l’onglet de navigateur Customer DB App.

  1. Cliquez sur l’icône d’actualisation.

Comme la règle de pare-feu Main Console FW Rule a été définie sur « Accept », la console principale peut maintenant accéder à l’application Customer DB App.

 

 

Supprimer la règle de pare-feu « Main Console FW Rule »

 

  1. Cliquez sur Main Console FW Rule.
  2. Cliquez sur la croix rouge pour supprimer la règle de pare-feu.
  3. Cliquez sur OK.

 

 

Publier les modifications

 

  1. Pour mettre à jour la configuration sur la passerelle de périmètre Perimeter-Gateway-01 (NSX Edge), cliquez sur Publish Changes.

 

 

Conclusion

Dans ce laboratoire, nous avons appris à modifier une règle existante du pare-feu de la passerelle de services Edge et à configurer une nouvelle règle bloquant l’accès externe à l’application Customer DB App.

La leçon sur le pare-feu de la passerelle de services Edge est maintenant terminée. Dans la section suivante, nous nous pencherons sur la gestion des services DHCP sur la passerelle de services Edge.

 

Relais DHCP


Dans un réseau qui présente seulement des segments de réseau uniques, les clients DHCP peuvent communiquer directement avec leur serveur DHCP. Les serveurs DHCP peuvent également fournir des adresses IP pour plusieurs réseaux, même s’ils se trouvent sur des segments différents du leur. Par contre, lorsqu’ils fournissent des adresses IP pour des plages d’adresses IP extérieures à la leur, ils ne sont pas en mesure de communiquer avec ces clients directement. En effet, les clients ne présentent pas une adresse IP ou une passerelle routable dont ils ont connaissance.

Dans ces situations, un agent de relais DHCP est requis afin de relayer la diffusion reçue des clients DHCP en l’envoyant au serveur DHCP en mode unicast. Le serveur DHCP sélectionne alors une étendue DHCP en fonction de la plage de provenance de la diffusion unicast. Il la renvoie à l’adresse de l’agent, qui est rediffusée au client sur le réseau d’origine.

Les points abordés dans ce laboratoire sont les suivants :

Pour ce laboratoire, les éléments suivants ont été préconfigurés :


 

Topologie du laboratoire

 

Ce diagramme présente la topologie finale qui sera créée et utilisée dans ce module de laboratoire.

 

 

Accéder à NSX via vSphere Web Client

 

  1. Cliquez sur l’icône Home.
  2. Cliquez sur Networking & Security.

 

 

Créer un nouveau commutateur logique

 

Nous devons tout d’abord créer un nouveau commutateur logique qui exécutera notre nouveau réseau 172.16.50.0/24.

  1. Cliquez sur Logical Switches.
  2. Cliquez sur le signe plus vert pour créer un nouveau commutateur logique.

 

 

Connecter le commutateur logique à la passerelle de périmètre

 

Nous allons maintenant connecter le commutateur logique à une interface sur la passerelle de périmètre. Cette interface sera la passerelle par défaut pour le réseau 172.16.50.0/24, avec l’adresse 172.16.50.1.

  1. Cliquez sur NSX Edges.
  2. Double-cliquez sur Perimeter-Gateway-01.

 

 

Configurer le relais DHCP

 

En restant dans la passerelle de périmètre, nous devons procéder à la configuration globale du relais DHCP.

  1. Cliquez sur Manage.
  2. Cliquez sur DHCP.
  3. Cliquez sur Relay.
  4. Cliquez sur Edit.

 

 

Créer une machine virtuelle vierge pour le démarrage via l’environnement d’exécution de préamorçage

 

Nous allons maintenant créer une machine virtuelle vierge qui démarrera via l’environnement d’exécution de préamorçage à partir du serveur DHCP de destination du relais.

  1. Cliquez sur l’icône Home.
  2. Cliquez sur Hosts and Clusters.

 

 

Accéder à la machine virtuelle nouvellement créée

 

Nous allons maintenant ouvrir une console pour cette machine virtuelle et observer le démarrage de cette dernière à partir de l’image de l’environnement d’exécution de préamorçage. Ces informations sont reçues via le serveur DHCP distant que nous avons configuré précédemment.

  1. Cliquez sur PXE VM.
  2. Cliquez sur Summary.
  3. Cliquez sur la console de la machine virtuelle.

 

 

Vérifier le bail DHCP

 

Pendant que la machine virtuelle démarre, nous pouvons vérifier l’adresse utilisée dans les baux DHCP.

  1. Accédez au bureau de la console principale et double-cliquez sur l’icône DHCP.

 

 

Accéder à la machine virtuelle démarrée

 

  1. Cliquez sur l’onglet de navigateur PXE VM.

 

 

Vérifier l’adresse et la connectivité

 

Le widget situé dans le coin supérieur droit de la machine virtuelle affiche les statistiques, ainsi que l’adresse IP de la machine virtuelle. Celle-ci doit correspondre à l’adresse IP affichée précédemment dans la section DHCP.

 

 

Conclusion

Dans cette section, nous avons créé un nouveau segment de réseau, puis relayé les requêtes DHCP de ce réseau vers un serveur DHCP externe. Ce faisant, nous avons pu accéder aux options de démarrage supplémentaires de ce serveur DHCP externe et effectuer un démarrage dans un système d’exploitation Linux via l’environnement d’exécution de préamorçage.

Dans la section suivante, nous nous pencherons sur les services de VPN de couche 2 de la passerelle de services Edge.

 

Configuration d’un VPN de couche 2


Dans cette section, nous allons exploiter les fonctionnalités de VPN de couche 2 de la passerelle NSX Edge Gateway pour étendre une limite de couche 2 entre deux clusters vSphere distincts. Pour démontrer cette capacité, nous déploierons un serveur VPN de couche 2 NSX Edge sur le cluster RegionA01-MGMT01 et un client VPN de couche 2 NSX Edge sur le cluster RegionA01-COMP01. Ensuite, nous testerons l’état du tunnel afin de vérifier que la configuration a réussi.


 

Ouvrir Google Chrome et accéder à vSphere Web Client

 

  1. Ouvrez le navigateur Web Google Chrome à partir du bureau (s’il n’est pas déjà ouvert).

 

 

Accéder à la section « Networking & Security » de vSphere Web Client

 

  1. Cliquez sur l’icône Home.
  2. Cliquez sur Networking & Security.

 

 

Création d’une passerelle NSX Edge Gateway pour le serveur VPN de couche 2

 

Pour créer le service de serveur VPN de couche 2, nous devons tout d’abord déployer une passerelle NSX Edge Gateway pour l’exécution de ce service.  

  1. Cliquez sur NSX Edges.
  2. Cliquez sur le signe plus vert.

 

 

Configuration d’une nouvelle passerelle NSX Edge Gateway : L2VPN-Server

 

L’assistant « New NSX Edge » apparaît, avec la première section, « Name and Description », affichée. Saisissez les valeurs suivantes dans les champs numérotés correspondants. Laissez les autres champs vides ou définis sur leur valeur par défaut.

  1. Dans le champ Name, saisissez L2VPN-Server.
  2. Cliquez sur Next.

 

 

Configurer les paramètres de la nouvelle passerelle NSX Edge Gateway : L2VPN-Server

 

  1. Dans le champ « Password », saisissez VMware1!VMware1!.
  2. Dans le champ « Confirm password », saisissez VMware1!VMware1!.
  3. Cochez la case Enable SSH access.
  4. Cliquez sur Next.

 

 

Préparation de la passerelle NSX Edge L2VPN-Server pour les connexions VPN de couche 2

Vous venez de déployer NSX Edge pour les connexions de VPN de couche 2 ? Avant de le configurer, vous devez suivre les étapes préparatoires suivantes :

  1. ajouter une interface trunk à l’Edge Gateway de serveur L2VPN ;
  2. ajouter une sous-interface à l’Edge Gateway de serveur L2VPN ;
  3. configurer le routage dynamique (OSPF) sur l’Edge Gateway du serveur L2VPN.

 

 

Configurer l’ID Routeur pour cette instance de NSX Edge

 

Nous allons maintenant configurer le routage dynamique sur cette passerelle Edge Gateway.

  1. Cliquez sur Routing.
  2. Cliquez sur Global Configuration.
  3. Pour modifier la configuration du routage dynamique, cliquez sur Edit en regard de « Dynamic Routing Configuration ».

 

 

Configurer le protocole OSPF sur le serveur de VPN de couche 2 de NSX Edge

 

  1. Cliquez sur OSPF.
  2. Sous « Area to Interface Mapping », cliquez sur l’icône plus vert.

 

 

Activer la distribution d’itinéraires OSPF

 

  1. Cliquez sur Route Redistribution.
  2. Pour modifier l’état de la redistribution d’itinéraires, cliquez sur Edit en regard de « Route Redistribution Status ».
  3. Cochez la case OSPF.
  4. Cliquez sur OK.

 

 

Configurer le service de VPN de couche 2 sur le serveur de VPN de couche 2 de NSX Edge

L’adresse 172.16.10.1 appartient à l’Edge Gateway du serveur de VPN de couche 2 et les routes sont distribuées de manière dynamique via OSPF. Configurez ensuite le service de VPN de couche 2 sur cet Edge Gateway afin qu’Edge fasse office de « Serveur » sur le L2VPN.

 

 

Déployer le client VPN de couche 2 NSX Edge Gateway

Maintenant que le côté serveur du VPN de couche 2 est configuré, déployons un nouvel NSX Edge Gateway qui fera office de client VPN de couche 2. Avant de déployer le client VPN de couche 2 du NSX Edge Gateway, vous devez configurer les groupes de ports distribués de liaison montante et de trunk au niveau du commutateur virtuel distribué.

 

 

Configurer le client VPN de couche 2 sur NSX Edge Gateway

 

  1. Double-cliquez sur L2VPN-Client.

 

Création de ponts native


Grâce à la création de ponts logiciels de couche 2 intégrés dans le noyau de NSX, les organisations peuvent connecter de manière transparente les charges traditionnelles et les VLAN legacy à des réseaux virtualisés en utilisant VXLAN. Les ponts de couche 2 sont régulièrement utilisés dans les environnements existants pour simplifier l’introduction de réseaux logiques et d’autres scénarios, qui impliquent des systèmes physiques nécessitant une connectivité de couche 2 aux machines virtuelles.

Les routeurs logiques fournissent un pontage de couche 2 entre l’espace réseau logique au sein de NSX et le réseau physique reposant sur VLAN. Ainsi, vous pouvez créer un pont de couche 2 entre un commutateur logique et un VLAN de façon à pouvoir migrer des charges de travail virtuelles vers des périphériques physiques sans incidence sur les adresses IP. Un réseau logique peut exploiter une passerelle physique de couche 3 et accéder au réseau physique et aux ressources de sécurité existants en créant un pont entre le domaine de diffusion du commutateur logique et le domaine de diffusion du VLAN. À partir de la version 6.2 de NSX, cette fonction a été améliorée de sorte à pouvoir connecter des connecteurs logiques pontés aux routeurs logiques distribués. Cette opération n’était pas autorisée dans les versions précédentes de NSX.

Ce module vous guide le long des étapes de configuration d’une instance de pontage de couche 2 entre un VLAN traditionnel et un commutateur logique Access NSX.


 

Introduction

 

L’image ci-dessus montre les améliorations apportées au pontage de couche 2 dans les versions 6.2 et ultérieures de NSX :

Voyons comment configurer la nouvelle option de pontage de couche 2 de NSX.

 

 

Instructions spéciales concernant les commandes CLI

 

Pour une grande partie des modules, vous devez saisir des commandes d’interface de ligne de commande (CLI). Pour envoyer des commandes CLI au laboratoire, vous avez deux possibilités.

Premièrement, pour envoyer une commande CLI à la console du laboratoire :

  1. Mettez la commande CLI en surbrillance dans le manuel et appuyez sur Ctrl + C pour la copier dans le Presse-papiers.
  2. Cliquez sur l’élément de menu de la console SEND TEXT.
  3. Appuyez sur Ctrl + V pour coller le contenu du Presse-papiers dans la fenêtre.
  4. Cliquez sur le bouton SEND.

Deuxièmement, un fichier texte placé sur le Bureau de l’environnement vous permet de copier et coller facilement des commandes ou mots de passe complexes dans les utilitaires associés (CMD, Putty, console, etc.). Certains caractères sont souvent absents des claviers à travers le monde.  Ce fichier texte est aussi fourni pour les dispositions de clavier qui ne présentent pas ces caractères.

Le fichier texte s’appelle README.txt et est accessible sur le Bureau.  

 

 

Accéder à vSphere Web Client

 

 

 

Vérifier la configuration initiale

 

Vérifions maintenant la configuration initiale comme décrit dans l’image ci-dessus. L’environnement comporte un groupe de ports « Bridged-Net-RegionA0-vDS-MGMT » au niveau du cluster de Gestion et Edge. Les VM des serveurs Web « web-01a » et « web-02a » sont rattachées au commutateur logique Web-Tier-01. Ce dernier est isolé du réseau ponté.

 

 

Migrer Web-01a vers le cluster RegionA01-MGMT01

 

  1. Cliquez sur l’icône Home.
  2. Cliquez sur VMs and Templates.

 

 

Afficher les VM connectées

 

  1. Cliquez sur l’icône Home.
  2. Cliquez sur Networking.

 

 

Migrer le commutateur logique Web_Tier_Logical_Switch sur le routeur logique distribué

 

  1. Cliquez sur l’icône Home.
  2. Cliquez sur Networking & Security.

 

 

Configurer le pontage de couche 2 NSX

 

Activons le pontage de couche 2 NSX entre le réseau VLAN 101 et le commutateur logique Web-Tier-01 afin que web-01a.corp.local puisse communiquer avec le reste du réseau. Depuis la version 6.2 de NSX, il est possible de connecter un pont de couche 2 et un routeur logique distribué à un même commutateur logique. Cette amélioration significative simplifie l’intégration de NSX dans les environnements existants et la migration du réseau legacy vers le réseau virtuel.

 

 

Vérifier le pontage de couche 2 NSX

Le pontage de couche 2 NSX est désormais configuré. Vous devez maintenant vérifier la connectivité de couche 2 entre la VM « web-01a » associée au réseau VLAN 101, et les machines connectées au commutateur logique « Web-Tier-01 ».

 

 

Nettoyage du pontage de couche 2 au niveau du module

Si vous souhaitez procéder à d’autres modules de ce Laboratoire d’essai en ligne, assurez-vous de suivre la procédure suivante afin de désactiver le pontage de couche 2. En effet, la configuration effectuée dans cet environnement peut entrer en conflit avec d’autres sections (p. ex. L2VPN).

 

 

Migrer Web-01a vers le cluster RegionA01-COMP01

 

  1. Cliquez sur l’icône Home.
  2. Cliquez sur VMs and Templates.

 

Conclusion du module 4


Dans ce module, nous avons abordé les fonctionnalités avancées de la passerelle de services NSX Edge :

  1. nous avons déployé une nouvelle passerelle de services Edge (ESG), que nous avons configurée comme répartiteur de charge à une branche ;
  2. nous avons modifié et créé des règles de pare-feu au niveau de l’ESG existant ;
  3. nous avons configuré le relais DHCP via ESG ;
  4. nous avons configuré le VPN de couche 2 via ESG.

 

Vous avez terminé le module 4

Félicitations ! Vous avez terminé le module 4.

Si vous souhaitez en savoir plus sur NSX, rendez-vous dans le Centre de documentation NSX 6.3 via l’URL suivante :

Passez à n’importe lequel des modules suivants :

Liste des modules du laboratoire :

Responsables du laboratoire :

 

 

Comment terminer le laboratoire

 

Pour terminer votre laboratoire, cliquez sur le bouton END

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: ManualExport-HOL-1803-01-NET.zip

Version: 20171201-202420