VMware Hands-on Labs - HOL-1845-01-SLN


Présentation du laboratoire - HOL-1845-01-SLN - Modernisation de l’infrastructure - Concevoir votre propre SDDC

Instructions relatives au laboratoire


Remarque : il vous faudra plus de 90 minutes pour suivre ce laboratoire. Vous pourrez probablement terminer 2 ou 3 modules uniquement au cours de cette session.  Les modules sont indépendants. Vous pouvez donc commencer à partir du module de votre choix. Utilisez le sommaire pour accéder au module choisi.

Le sommaire est disponible dans l’angle supérieur droit du manuel du laboratoire.

Ce laboratoire présente les avantages offerts par la modernisation de votre infrastructure avec les technologies VMware et en quoi cette modernisation peut vous aider à tirer parti d’un Software-Defined Data Center (SDDC). Il explique le processus à appliquer et les conditions requises pour étendre la virtualisation de ressources de calcul (Serveurs), du stockage et du réseau à travers le Data Center et pour introduire la gestion intelligente des opérations en vue d’une surveillance et d’une administration proactives de l’environnement.

Liste des modules du laboratoire :

Découvrez en quoi consiste la « modernisation de l’infrastructure » et les avantages que peuvent vous apporter l’extension de la virtualisation de ressources de calcul, du stockage et du réseau à travers le Data Center, ainsi que l’introduction de la gestion intelligente des opérations.  Ce laboratoire offre une présentation d’ensemble du processus requis pour moderniser votre infrastructure avec les technologies VMware et tirer le meilleur parti d’un SDDC.

Ce module présente les fonctionnalités de vSphere 6.5, conçues pour vous aider à mettre en œuvre et gérer votre infrastructure virtuelle afin d’établir les bases qui vous permettront d’étendre votre environnement informatique à travers le Cloud privé et le Cloud public. Il explique également en quoi ces fonctionnalités vous aideront à poser les fondements de votre SDDC.

Découvrez la facilité avec laquelle vous pouvez étendre la virtualisation à votre environnement de stockage en tirant parti de VMware vSAN, la seule et unique solution de stockage intégrée à vSphere qui offre un stockage hyperconvergé hautes performances et optimisé Flash pour les machines virtuelles.

Appréhendez les capacités clés de VMware NSX en environnement vSphere, ainsi que le rôle joué par la virtualisation du réseau et de la sécurité vis-à-vis de votre SDDC.

 Responsables du laboratoire :

  • Module 1 : Michael R. Federman, responsable de compte technique, États-Unis et Rafael Silva, ingénieur système en chef, États-Unis
  • Module 2 : Michael R. Federman, responsable de compte technique, États-Unis
  • Module 3 : Rafael Silva, ingénieur système en chef, États-Unis
  • Module 4 : Rafael Silva, ingénieur système en chef, États-Unis

 

Vous pouvez télécharger ce manuel de laboratoire depuis le site des documents du laboratoire d’essai en ligne.

http://docs.hol.vmware.com 

Ce laboratoire peut être disponible dans d’autres langues.  Le document suivant vous aidera à définir vos préférences linguistiques et à déployer un manuel localisé pour votre laboratoire :

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Emplacement de la console principale

 

  1. La zone délimitée par un cadre ROUGE correspond à la console principale.  Le manuel de laboratoire apparaît dans le volet affiché sur la droite de la console principale.
  2. Des consoles supplémentaires peuvent être utilisées pour certains laboratoires. Elles s’affichent alors dans des onglets distincts en haut à gauche. Le cas échéant, vous serez invité à ouvrir une console supplémentaire.
  3. Au début de votre laboratoire, le minuteur est réglé sur 90 minutes.  Vous ne pouvez pas sauvegarder le laboratoire.  Toutes les tâches doivent être effectuées durant la session de laboratoire.  Vous avez toutefois la possibilité de cliquer sur EXTEND pour obtenir un délai supplémentaire.  Si vous effectuez ce laboratoire dans le cadre d’un événement VMware, vous avez droit à deux prolongations, pour un délai supplémentaire total de 30 minutes.  Chaque clic vous donne droit à 15 minutes supplémentaires.  En dehors des événements VMware, vous pouvez étendre la durée du laboratoire jusqu’à 9 heures et 30 minutes. Chaque clic vous donne droit à une heure supplémentaire.

 

 

Méthodes alternatives à la saisie de données au clavier

Au cours de ce module, vous serez invité à saisir du texte dans la console principale. Outre la saisie directe au clavier, vous disposez de deux autres méthodes de saisie particulièrement utiles, simplifiant l’entrée de données complexes.

 

 

Glisser-déposer de texte du manuel de laboratoire vers la fenêtre active de la console

Plutôt que de taper une chaîne de texte ou une commande CLI (Command Line Interface), vous pouvez cliquer dessus dans le manuel de laboratoire pour la faire glisser dans la fenêtre active de la console principale.  

 

 

Accès au clavier international en ligne

 

Vous pouvez également utiliser le clavier international en ligne disponible dans la console principale.

  1. Cliquez sur l’icône représentant un clavier dans la barre d’outils Lancement rapide de Windows.

 

 

Invite ou filigrane d’activation

 

Au moment de démarrer le laboratoire, vous remarquerez peut-être sur le bureau un filigrane indiquant que Windows n’est pas activé.  

L’un des principaux avantages de la virtualisation réside dans la possibilité de transférer et d’exécuter une machine virtuelle sur n’importe quelle plate-forme.  Les laboratoires d’essai en ligne tirent parti de cette capacité, qui nous permet de les exécuter depuis différents Data Centers.  Cependant, ces Data Centers ne sont pas tous dotés des mêmes processeurs, ce qui a pour effet de déclencher un contrôle d’activation Microsoft via Internet.

Soyez tranquille, VMware et ses laboratoires d’essai en ligne sont en pleine conformité avec les conditions de licence de Microsoft.  Le laboratoire que vous suivez est un pod autonome ne disposant pas d’un accès complet à Internet, dont Windows a besoin pour vérifier l’activation.  L’absence d’un accès complet à Internet provoque l’échec de ce processus automatisé, d’où l’apparition du filigrane.

Ce problème superficiel est sans incidence sur votre laboratoire.  

 

 

Observez la partie inférieure droite de l’écran

 

Vérifiez que toutes les routines de démarrage ont été exécutées et que le laboratoire est prêt à démarrer. Si l’état affiché est différent de « Ready », patientez pendant quelques minutes.  Si le laboratoire n’est toujours pas à l’état « Ready »au bout de 5 minutes, demandez de l’aide.

 

Module 1 : Présentation de la modernisation de l’informatique (15 minutes)

Introduction


Le présent module comprend les leçons suivantes :


Avantages d’une infrastructure moderne


Découvrez en quoi consiste la modernisation de votre infrastructure

La modernisation de l’infrastructure vise notamment à tirer parti du Software-Defined Data Center (SDDC), ce qui implique la virtualisation de l’environnement informatique, du stockage et des ressources réseau.  Dans le cadre de ce laboratoire, nous aborderons les produits VMware vSphere 6.5 (serveurs), vSAN (stockage) et NSX (réseau) pour expliquer comment moderniser votre infrastructure. Nous utiliserons également vRealize Operations (vROps) pour assurer la surveillance et les alertes.


 

Évolution numérique à l’ère du multicloud

Comme vous le savez, nous connaissons actuellement une évolution majeure en termes d’infrastructure de Data Center. Dans le domaine de la virtualisation des serveurs, la technologie de virtualisation a changé les règles du jeu. Cette situation a entraîné une inadéquation entre la couche de calcul hautement efficace et le reste du Data Center, notamment vis-à-vis des services de réseau et de stockage partagé. De nombreuses organisations sont ainsi confrontées à une série de problèmes : coûts de stockage élevés, gestion complexe et flexibilité limitée en termes de réseau.

Venant s’ajouter à ces défis, trois tendances informatiques font peser une lourde pression sur l’infrastructure et les opérations informatiques :

À l’évidence, le Data Center d’hier ne peut pas suivre la cadence.  Il doit évoluer.

 

 

Qu’est-ce qu’une infrastructure moderne et en quoi consiste l’approche de VMware ?

Cliquez sur la vidéo ci-dessous (environ 13 minutes) pour découvrir comment VMware peut vous aider à moderniser votre Data Center en tirant parti de certains principes qui ont contribué au succès de la virtualisation de ressources de calcul.

 

Conclusion


Merci d’avoir suivi le module 1. Vous trouverez des informations plus détaillées sur la façon d’exploiter le Software-Defined Data Center pour moderniser votre infrastructure dans notre e-Book (http://bit.ly/2tzpHh1). Les modules 2-4 présentent toutes les technologies abordées dans ce module.


 

Vous avez terminé le module 1.

Poursuivez avec l’un des modules ci-dessous selon le thème qui vous intéresse.

 

 

 

Comment terminer le laboratoire

 

Pour terminer votre laboratoire, cliquez sur le bouton END.  

 

Module 2 : Virtualisation de ressources de calcul - vSphere 6.5 (30 minutes)

Introduction


Le présent module comprend les leçons suivantes :


Virtualisation de ressources de calcul


La virtualisation de ressources de calcul consiste à virtualiser les ressources de la mémoire et du processeur au sein d’une machine virtuelle.


 

vSphere 6.5 : un environnement considérablement simplifié

Avec vSphere 6.5, l’expérience client atteint de nouveaux sommets.  La plate-forme offre une simplicité de gestion exceptionnelle, une efficacité opérationnelle et un délai de réalisation raccourci.

vSphere 6.5 fait de vCenter Server Appliance (VCSA) l’élément fondamental de l’environnement vSphere.  L’architecture vSphere de base repose sur cette « approche facile à déployer et à gérer », qui réduit la complexité opérationnelle en centralisant les fonctionnalités clés.  Certaines fonctionnalités comme la gestion de l’hôte vSphere (avec une instance vSphere Update Manager (VUM)) la sauvegarde et la récupération des fichiers, la haute disponibilité native de VCSA et bien d’autres sont désormais intégrées dans ce nouveau modèle d’appliance unique.  Et comme ils n’ont plus besoin d’interagir avec plusieurs composants, les utilisateurs gagnent en efficacité.  De plus, dans la mesure où tout est centralisé, VCSA offre des possibilités d’optimisation et d’innovation considérables, avec notamment deux fois plus d’évolutivité et trois fois plus de performances.  La mise à niveau vers ce bloc sera plus facile que jamais, dans la mesure où les utilisateurs peuvent désormais effectuer une conversion de leur déploiement Windows classique vers le nouveau modèle d’appliance à l’aide de l’outil de migration de vCenter Server Appliance.

 

 

Sécurité intégrée complète

Face au développement des menaces, une sécurité intégrée complète est plus cruciale que jamais.  vSphere 6.5 sécurise en natif les données, l’infrastructure et les accès à grande échelle grâce à un modèle opérationnel simple suivant des règles prédéfinies.  La protection de ces trois composants est essentielle à la transformation digitale et à l’évolution de n’importe quelle entreprise.

vSphere 6.5 offre une nouvelle fonction de chiffrement de disque au niveau des machines virtuelles qui protège les données contre tout accès non autorisé. L’approche de VMware est à la fois universelle et évolutive, permettant de chiffrer n’importe quel disque de machine virtuelle, quel que soit le système d’exploitation client, et de gérer le chiffrement à grande échelle en utilisant la structure de règles de stockage vSphere habituelle.  Utilisée conjointement avec la nouvelle fonctionnalité vMotion chiffré, vSphere protège à la fois les données au repos et en transit.

Pour assurer la sécurité de l’infrastructure sous-jacente, vSphere 6.5 offre également un modèle de démarrage sécurisé qui protège à la fois l’hyperviseur et le système d’exploitation client.  Celui-ci évite l’altération des images et le chargement de composants non autorisés.

vSphere 6.5 offre également des fonctionnalités de journalisation d’audit améliorées qui fournissent des informations utiles sur les actions des utilisateurs.  Désormais, les équipes informatiques peuvent mieux comprendre qui a fait quoi, quand et où, en cas d’enquête concernant des menaces de sécurité ou anomalies.

vSphere 6.5 est l’élément central d’un Software-Defined Data Center (SDDC) sécurisé. Son fonctionnement transparent avec d’autres produits SDDC procure un modèle de sécurité complet à une infrastructure.

 

 

Découverte de vSphere 6.5


Dans cette section, vous découvrirez vSphere 6.5 en utilisant deux clients Web : Flash/Flex et HTML5.


 

Choix du client

Avec vSphere 6.5, 2 clients sont disponibles via votre navigateur : le client Web Flash/Flex et le client HTML5.  Le client Web est un client totalement fonctionnel remplaçant l’ancien client C# (ou client lourd).  Le client HTML5 est une ancienne fonction Fling VMware que nous avons associée à vSphere 6.5. Cependant, il n’offre qu’une couverture fonctionnelle partielle.  

 

 

Connexion à vSphere Web Client

 

Dans la barre de favoris de Chrome, sélectionnez « vCenter (Web Client) ».

 

 

Navigation dans vSphere 6.5 Web Client

Maintenant que vous êtes connecté, vous allez commencer à vous familiariser avec l’interface.  La première page qui s’affiche est la vue « Hosts and Clusters », qui présente nos 6 hôtes ESXi et la configuration à deux clusters que nous avons définie.

Nos 2 clusters sont les suivants : un cluster informatique (RegionA01-COMP01), qui héberge 3 de nos hôtes ESXi, ainsi que notre application à 3 tiers (que vous utiliserez de façon plus poussée dans le cadre du ) et notre cluster de gestion (RegionA01-MGMT01), qui héberge nos 3 hôtes restants.  Nous avons configuré un NSX Controller pour chacun de ces hôtes.

 

 

vMotion chiffré

vMotion chiffré fait partie des nouvelles fonctionnalités de vSphere 6.5.  vMotion chiffré présente 3 options.

  1. « Disabled »
    • La fonctionnalité vMotion chiffré n’est pas utilisée, même lorsqu’elle est disponible.
  2. « Opportunistic »
    • La fonctionnalité vMotion chiffré est utilisée si les hôtes source et de destination la prennent en charge. Sinon, le système bascule de nouveau vers la fonctionnalité vMotion non chiffré.  Il s’agit de l’option par défaut.
  3. « Required »
    • Seule la fonctionnalité vMotion chiffré est autorisée.  Si l’hôte source ou de destination ne prend pas en charge le chiffrement vMotion chiffré, vMotion n’est pas autorisé.

 

 

Présentation du client HTML5 de vSphere 6.5

 

Dans la barre de favoris de Chrome, sélectionnez « vCenter (HTML5 Client) ».

 

Gestion avec vSphere 6.5


Dans cette section, vous découvrirez l’aspect gestion de vSphere 6.5.


 

Démarrage de Google Chrome

 

 

 

Connexion à l’appliance vSphere Management

 

Une fois Chrome ouvert, cliquez sur « vSphere Management » dans la barre de favoris.

 

Présentation des opérations intelligentes


Dans cette section, vous découvrirez les tableaux de bord de vRealize Operations Manager utilisés pour surveiller l’environnement vSphere.


 

vRealize Operations Manager (vROps)

VMware permet une gestion intelligente des opérations, depuis les applications jusqu’à l’infrastructure, pour planifier, gérer et faire évoluer les déploiements SDDC et multicloud.  Cette plate-forme d’opérations hautement évolutive, extensible et intuitive améliore les performances et la disponibilité avec une surveillance orientée applications, des fonctionnalités de résolution des problèmes et une visibilité unifiée sur l’intégrité des applications et de l’infrastructure sur le SDDC et les Clouds multiples.

Elle simplifie les opérations en automatisant la gestion de l’infrastructure et des applications avec un équilibrage automatisé de la charge de travail, une détection proactive et une résolution automatique des problèmes et anomalies.  Elle s’appuie sur des informations relatives aux opérations et à l’activité pour accélérer la planification du Cloud et faciliter les décisions de placement entre plusieurs Clouds. En outre, elle réduit les coûts et les risques ; elle optimise l’utilisation des capacités et prévoit les besoins en termes de capacité en respectant les normes en vigueur.

 

 

 

Connexion à vROps

 

Ouvrez Google Chrome.

 

 

Affichage des tableaux de bord

 

L’écran de connexion initial offre un aperçu général de votre environnement.  Dans le cas présent, nous disposons d’un vCenter et d’un Date Center uniques, et l’intégrité générale est correcte. Le statut est donc vert.  Cliquez sur « Dashboards » pour accéder à l’onglet des tableaux de bord.

 

 

Alertes dans vROps

 

Pour afficher les alertes dans vROps, sélectionnez l’onglet « Alerts » dans la barre de menu, puis développez la section « Today » pour voir les alertes du jour.

 

 

Présentation de l’environnement

 

Enfin, nous allons aborder la section « Environment ».  Sélectionnez « Environment » dans la barre de menus supérieure.

 

 

Déconnexion de vROps

 

Déconnectez-vous de vROps et fermez votre navigateur.

 

Conclusion


Dans ce module, vous avez découvert vSphere 6.5 en utilisant le client Web Flash/Flex et le client HTML5.  Vous avez navigué dans le portail d’administration du VCSA et surveillé l’environnement avec vROps.


 

Vous avez terminé le module 2.

Félicitations ! Vous avez terminé le module 2.

Pour plus d’informations sur vSphere 6.5, reportez-vous aux ressources suivantes :

Poursuivez avec l’un des modules ci-dessous selon le thème qui vous intéresse.

Pour découvrir vSphere 6.5 ou vROps de façon plus approfondie, suivez l’un des autres laboratoires d’essai en ligne disponibles cette année :

 

 

Comment terminer le laboratoire

 

Pour terminer votre laboratoire, cliquez sur le bouton END.  

 

Module 3 : Virtualisation du stockage - vSAN 6.6 (30 minutes)

Introduction


Dans le cadre d’une approche de « création de sa propre infrastructure moderne » pour la création d’un Software-Defined Data Center (SDDC), la virtualisation du stockage VMware (vSAN) vous permet de transformer les serveurs x86 standard avec stockage en attachement direct en composants économiques hautement évolutifs avec environnement informatique et réseau software-defined.  Cette approche software-defined évolutionniste permet aux entreprises de gagner facilement en agilité et flexibilité grâce à des plates-formes intégrées et composées de solutions de gestion puissantes, facilement déployables et unifiées, en mesure de prendre en charge la transformation digitale.

Le présent module comprend les leçons suivantes :


Présentation de VMware vSAN


Cette section offre une brève présentation de la virtualisation du stockage avec VMware vSAN et des conditions requises pour déployer/activer vSAN dans cet environnement.


 

Création de votre propre infrastructure moderne avec vSAN

VMware vSAN est le stockage principal utilisé par défaut pour la création d’un Software-Defined Data Center. Le processus de configuration et d’assemblage de chaque système peut être standardisé à l’aide du matériel compatible, et tous les composants peuvent être installés de la même façon sur chaque hôte. La standardisation de l’ensemble de la configuration physique des hôtes ESXi est critique pour fournir une infrastructure gérable et prise en charge, car elle élimine la variabilité. Il est nécessaire que l’emplacement du connecteur de carte PCI soit constant, particulièrement pour les contrôleurs réseau, afin que l’alignement des E/S physiques et virtuelles soit précis.

 

 

Présentation de VMware vSAN

vSAN est une solution software-defined storage pour les principaux systèmes hyperconvergés VMware. Unique, vSAN fournit un stockage intégré à vSphere et un vaste écosystème de solutions matérielles et logicielles. La solution est le point de départ idéal pour les entreprises qui souhaitent évoluer naturellement et sans risque vers une infrastructure hyperconvergée (HCI, HyperConverged Infrastructure) et réaffecter les ressources sur des projets stratégiques. Des études montrent que vSAN réduit les coûts d’exploitation jusqu’à 60 % grâce aux économies réalisées au niveau de l’encombrement du Data Center, de la main-d’œuvre, de l’alimentation et du refroidissement. 

vSAN est totalement intégré avec vSphere et prend en charge toutes les fonctionnalités populaires de vSphere : DRS, VMware HA, vMotion, etc. vSAN est également intégré avec vRealize Suite, pour les environnements automatisés de plus grande envergure.

Points clés :

Caractéristiques techniques

 

 

vSAN : conditions requises - vCenter Server

vSAN 6.5 implique que les composants vCenter et ESXi soient en version 6.5 et puissent être gérés par vCenter Server Appliance (VCSA) ou un vCenter Server basé sur Windows.   Pour configurer vSAN, vous devez utiliser vSphere Web Client.

 

 

vSAN : conditions requises - ESXi

vSAN requiert au moins 3 hôtes vSphere (chaque hôte disposant d’un stockage local) pour former un cluster vSAN pris en charge. Ceci permet au cluster de respecter les conditions requises en termes de disponibilité pour tolérer au moins une défaillance hôte. vSphere 6.5 doit être en cours d’exécution sur les hôtes vSphere. Un nombre d’hôtes inférieur fait peser un risque sur la disponibilité des machines virtuelles en cas de défaillance d’un hôte. Jusqu’à 64 hôtes peuvent être pris en charge.

Chaque hôte vSphere du cluster contribuant au stockage local sur vSAN doit comporter au moins un disque dur et un disque SSD.

 

 

vSAN conditions requises - Disque et réseau

IMPORTANT : tous les composants (matériel, pilotes, microprogrammes) doivent figurer dans le Guide de compatibilité vSphere pour vSAN. Aucune autre configuration n’est prise en charge.

Le port VMkernel est nommé vSAN. Ce port est utilisé pour la communication entre les nœuds du cluster, ainsi que pour les lectures et écritures lorsque l’un des hôtes vSphere du cluster possède une machine virtuelle spécifique dont les blocs de données réels qui composent ses fichiers sont situés sur un autre hôte vSphere du même cluster. Dans ce cas, les E/S doivent traverser le réseau configuré entre les hôtes du cluster.

 

 

Découverte de VMware vSAN


Cette section décrit comment utiliser vSphere Web Client pour activer, gérer et surveiller vSAN.

Avant tout, il est essentiel de noter que VMware vSAN ne requiert pas le déploiement d’appliances virtuelles de stockage ni l’installation d’une offre groupée d’installation vSphere (VIB, vSphere Installation Bundle) sur chaque hôte du cluster. vSAN est un élément natif de vSphere Hypervisor et consomme généralement moins de 10 % des ressources de calcul de chaque hôte. vSAN ne concurrence pas les autres machines virtuelles en termes de ressources. De plus, le chemin d’E/S est plus court.

 

Le fonctionnement intégré au noyau de vSAN apporte des atouts en termes d’efficacité que ne peuvent offrir les autres systèmes.  De plus, grâce à ce type de fonctionnement, cette technologie peut hériter de toutes les capacités natives de niveau système de vSphere, notamment d’un modèle de gestion bien intégré et simplifié.

Dans le cadre de cette leçon, nous vous montrerons comme il est simple d’activer et gérer vSAN à partir de vCenter à l’aide de vSphere Web Client.


 

Éléments à considérer lors de l’activation de vSAN

Un cluster vSAN peut inclure des hôtes avec et sans disques de stockage.

Suivez les instructions ci-après lorsque vous créez un cluster vSAN.

Une fois que vous avez activé vSAN, le fournisseur de stockage vSAN est automatiquement enregistré auprès de vCenter Server, et la banque de données vSAN est créée.

 

 

Ouverture du navigateur Chrome

 

  1. Cliquez sur l’icône Chrome dans la barre d’outils Lancement rapide de Windows.

 

 

Accès à la page d’accueil de vSphere Web Client

 

Une fois connecté, vous accédez à la page d’accueil de vSphere Web Client.

Pour réduire ou agrandir les volets « Recent Tasks », « Alarms » et « Work In Progress », cliquez sur l’icône Épingle correspondante.

 

 

Activation de vSAN

 

 Sélectionnez RegionA01-COMP01, puis cliquez sur Configure > vSAN > General et sélectionnez Configure.

Dans cet environnement de laboratoire, vSAN est désactivé. Nous allons activer vSAN pour le cluster RegionA01-Com01.

Remarque : dans cet environnement de laboratoire, vSAN est configuré et activé uniquement sur RegionA01-COMP01. Les 3 hôtes ESXi contribuent au stockage sous forme de cache et de capacité pour former la banque de données vSAN.

 

 

Configuration de vSAN

 

La boîte de dialogue Configure vSAN s’affiche. Dans le cadre de ce laboratoire, nous n’allons PAS activer la déduplication et la compression et nous n’allons PAS configurer de domaines de panne ni de clusters étendus.

1. Cliquez sur « Next » pour poursuivre avec l’activation de vSAN.

 

 

Réclamation de disque vSAN

 

Aucun disque ne doit être disponible pour réclamation. La configuration des disques a déjà été effectuée pour ce laboratoire.

  1. Cliquez sur « Next ».
  2. Cliquez sur « Finish ».

 

 

Onglet « General » pour vSAN

 

L’onglet « General » affiche l’état du service vSAN et les fonctionnalités activées sur le cluster vSAN. À ce stade,  vSAN is Turned ON et Deduplication and compression doivent avoir l’état « Disabled ».

Vous pouvez voir que vSAN utilise les 6 disques (deux dans chaque hôte) et que la version du format est la même pour tous les disques.

Remarque : la configuration de vSAN et le chargement de la page d’état peuvent prendre plusieurs minutes.

 

 

Gestion des disques vSAN

 

1. Sélectionnez Cluster RegionA01-COMP01, puis cliquez sur Configure > vSAN > Disk Management.

Le groupe de disques vSAN de chaque hôte ESXi est répertorié. Chaque hôte dispose d’un groupe de disques avec un dispositif Flash pour la mise en cache et un dispositif Flash pour la capacité. Il s’agit d’une configuration vSAN 100 % Flash.

 

 

Migration des machines virtuelles vers la banque de données vSAN

 

Une fois vSAN activé, vous pouvez facilement migrer vos machines virtuelles vers la banque de données vSAN. Dans cette section, nous allons déplacer la machine virtuelle web-01a vers la banque de données vSAN.

  1. Sélectionnez Home.
  2. Sélectionnez Hosts and Clusters.
  3. Développez votre cluster RegionA01-COMP01.
  4. Cliquez avec le bouton droit sur web-01a.
  5. Sélectionnez Migrate.

 

 

Sélectionnez « Change storage only ».

 

  1. Sélectionnez Change Storage Only.
  2. Cliquez sur « Next ».

 

 

Choix de la banque de données vSAN

 

  1. Sélectionnez vsanDatastore.
  2. Cliquez sur « Next ».
  3. Cliquez sur « Finish ».

La migration de la machine virtuelle Web-01a de sa banque de données iSCSI actuelle vers la banque de données vSAN démarre. Ceci peut prendre quelques minutes.

Vous pouvez surveiller l’état de l’opération dans le volet « Recent Tasks ».

 

 

 

Vérification de la capacité de stockage vSAN

 

1. Cliquez sur Storage, sélectionnez vsanDatastore, puis cliquez sur Summary.

La capacité indiquée est la capacité cumulée des dispositifs de capacité de chaque hôte ESXi du cluster (dont est déduite une certaine charge de vSAN).

Les dispositifs Flash utilisés en tant que cache ne sont pas pris en compte dans le calcul de la capacité.

 

 

 

Intégrité et performances

Le service de performances vSAN propose plusieurs informations de performances, notamment le débit et la latence, à l’échelle des hôtes, du cluster, du groupe de disques vSAN et des machines virtuelles. La première étape consiste à vous assurer que le service de performances est activé.

 

 

Service de performances vSAN

 

Pour vérifier que le service de performances vSAN est activé, accédez à Hosts and Clusters et sélectionnez RegionA01-COMP01. Cliquez sur l’onglet Configure > vSAN > Health and Performance.

L’onglet Health and Performance indique que le service est en cours d’exécution et qu’il est intègre. La base de données de l’historique des performances vSAN est stockée en tant qu’objet vSAN. La règle contrôle la disponibilité, la consommation d’espace et les performances de l’objet. Si l’objet devient indisponible, l’historique des performances du cluster sera également indisponible.

 

 

Revue de certaines informations de performances

 

À présent, passons en revue certaines données de performances de notre cluster vSAN. Sélectionnez le cluster RegionA01-COMP01 et cliquez sur Monitor > Performance > vSAN - Virtual Machine Consumption.

Certaines statistiques comme les IOPS, le débit et la latence sont disponibles au niveau du cluster. Les informations relatives à la dernière heure écoulée sont affichées par défaut. Vous avez la possibilité de modifier la plage temporelle afin d’afficher les statistiques relatives aux 3 dernières heures ou à une période et une plage horaire personnalisées, par exemple.

 

 

Accès à vSAN - Backend

 

Le trafic « vSAN - Backend » présente des informations sur les E/S back-end comme les mises à jour de métadonnées vSAN, le provisionnement des machines virtuelles et les reconstructions d’objets. Comme l’écran vSAN - Virtual Machine Consumption, cet écran offre des informations sur la congestion, les IOPS, le débit et les E/S en attente.  

 

 

Données de performances vSAN - Hôtes ESXi

 

1. Accédez à Hosts and Clusters et sélectionnez ESX-01a.corp.local.

2. Cliquez sur Monitor > Performance.

Les données de performances vSAN sont également disponibles au niveau des hôtes ESXi. Vous avez également accès à des informations sur le groupe de disques et les disques physiques individuels. Différentes statistiques sont présentées sous forme de graphiques, par exemple, les IOPS du serveur frontal (lecture et écriture), le tampon d’écriture et la latence d’E/S.

Vous pouvez accéder aux différents onglets et examiner les données de performances disponibles au niveau des hôtes.

 

 

Bilan d’intégrité de vSAN

Le bilan d’intégrité de vSAN natif a été ajouté dans vSAN 6.1. Le bilan d’intégrité de vSAN intégré effectue plusieurs contrôles de configuration et d’état proactifs et informe les utilisateurs des risques potentiels liés à leur environnement. Examinons à présent cette fonctionnalité clé de vSAN.

 

Cliquez sur Hosts and Clusters et sélectionnez le cluster RegionA01-COMP01. Cliquez sur Monitor > vSAN > Health.

Cet écran présente la liste des bilans d’intégrité et l’état général : « Passed », « Warning » ou « Errors ». Vous pouvez développer chacun de ces tests pour afficher l’ensemble des tests inclus.

 

 

Bilan d’intégrité de vSAN - Ask VMware

 

Le bilan d’intégrité présente une autre fonction particulièrement utile : le lien « Ask VMware » disponible pour chaque test. Si vous n’êtes pas familiarisé avec les liens « Ask VMware », sachez qu’ils permettent aux administrateurs d’accéder directement à un article de la Base de connaissances VMware, expliquant en détail l’objet du test, les causes d’un éventuel échec et la façon d’y remédier. En cas d’échec d’un test, il est conseillé aux administrateurs de cliquer sur le bouton « Ask VMware » et de lire l’article correspondant de la Base de connaissances. Très souvent, l’article fournit des procédures permettant de résoudre le problème. Il se peut également que l’administrateur soit invité à contacter le support VMware pour obtenir de l’aide.

1. Développez le test Hardware compatibility et sélectionnez Controller is VMware Certified for ESXi Release.  

Les informations affichées indiquent si un pilote est pris en charge pour un contrôleur spécifique dans la version installée d’ESX.

ATTENTION : Ce laboratoire n’est pas connecté à Internet. Nous ne pouvons donc pas accéder à la Base de connaissances VMware.

 

 

Intégrité HCL de vSAN

 

L’intégrité de liste de compatibilité matérielle (HCL, hardware compatibility list) de vSAN vérifie que le matériel du contrôleur de stockage et la version de pilote figurent dans la liste HCL et sont pris en charge par cette version de vSAN. Si le contrôleur ou le pilote ne figure pas dans la liste HCL ou n’est pas pris en charge par cette version de vSAN (version d’ESXi sur laquelle s’exécute vSAN), le bilan d’intégrité affiche un avertissement.

La mise à jour de la DB HCL de vSAN est également vérifiée. En d’autres termes, les vérifications que vous effectuez portent sur une version valide et à jour de la base de données HCL.

 

 

Mise à jour de la base de données HCL

 

Pour vérifier que la base de données HCL de vSAN est à jour, sélectionnez Hosts and Cluster > RegionA01-COMP01, puis cliquez sur Configure > vSAN > Health and Performance.

Dans la mesure où la liste HCL est mise à jour de façon régulière et fréquente, les administrateurs doivent mettre à jour la version locale de la base de données pour ces vérifications. Cette opération peut être effectuée en ligne (si votre vCenter Server a accès à VMware.com). Si votre vCenter Server n’est pas en ligne, vous pouvez télécharger un fichier de DB HCL et le mettre à jour. Pour mettre à jour la version de la DB HCL en ligne, il vous suffit de cliquer sur le bouton « Update from file » ou « Get latest version online » proposé lors du bilan d’intégrité.

 

Opérations intelligentes vSAN avec vROps


Dans cette section, vous découvrirez les tableaux de bord de vRealize Operations Manager utilisés pour surveiller votre environnement vSAN.

 

Lorsque nous développons une nouvelle version de vRealize Operations Manager (vROps), nous nous efforçons d’intégrer les différents produits de VMware dans la plate-forme pour vous offrir une solution prête à l’emploi et vous assurer une expérience optimale, ainsi qu’un retour sur investissement rapide. Avec vROps 6.6, la solution a été encore étendue de façon à intégrer la surveillance et la gestion d’autres produits VMware comme vSAN.

Principales nouveautés :


 

Ouverture de Chrome

 

Ouvrez Google Chrome à partir de la barre d’outils Lancement rapide de Windows.

 

 

Connectez-vous à vRealize Operations Manager en tant qu’administrateur.

 

  1. Sélectionnez Local Users.
  2. Saisissez le nom d’utilisateur admin.
  3. Saisissez le mot de passe VMware1!.
  4. Cliquez sur « LOG IN ».

 

 

Affichage des tableaux de bord vSAN

 

L’écran « Dashboards » contient tous les tableaux de bord prêts à l’emploi, ainsi que les tableaux de bord personnalisés créés pour votre environnement. Dans cette section, nous allons explorer tous les tableaux de bord prêts à l’emploi pour vSAN.

  1. Pour accéder à la page des tableaux de bord, cliquez sur Dashboards dans le menu supérieur.
  2. Une liste répertoriant l’ensemble des tableaux de bord pour vSAN s’affiche dans le volet de gauche.
  3. Si les tableaux de bord vSAN ne s’affichent pas, vous pouvez les activer en les sélectionnant individuellement dans la liste All Dashboards.
  4. Sélectionnez vSAN Operations Overview.

 

 

Tableau de bord - « vSAN Operations Overview »

 

Le tableau de bord « vSAN Operations Overview » offre un aperçu clair et global de l’intégrité et des performances des clusters vSAN. Il fournit une vue holistique de votre environnement vSAN et des composants correspondants.  Il indique également la tendance de croissance des machines virtuelles traitées par vSAN. Les propriétés clés de chacun de vos clusters vSAN sont aussi présentées dans le cadre d’une vue d’ensemble.

Le tableau de bord vous permet d’examiner en détail n’importe quel cluster : sélectionnez le cluster souhaité pour afficher les statistiques de performances, d’utilisation et de capacité correspondantes. Il présente également une tendance des problèmes connus susceptibles d’avoir affecté vos environnements vSAN.

N’hésitez pas à explorer ce tableau de bord pour consulter toutes les données collectées.  

 

 

Tableaux de bord - « vSAN Capacity Overview »

 

Nous allons à présent découvrir le tableau de bord « vSAN Capacity Overview ».

  1. Dans la page des tableaux de bord, sélectionnez All Dashboards.
  2. Sous l’option Capacity & Utilization, vous pouvez sélectionner vSAN Capacity Overview.

 

 

Découverte du tableau de bord « vSAN Capacity Overview »

 

  1. Sélectionnez vSAN Cluster (RegionA01-COMP01) dans la liste des clusters vSAN.

Le tableau de bord « vSAN Capacity Overview » simplifie la gestion de la capacité vSAN en vous fournissant instantanément une présentation globale des éléments contribuant à la capacité et de l’utilisation de cette capacité pour tous vos clusters vSAN. Il offre une représentation claire du retour sur investissement relatif à votre baie vSAN 100 % Flash en indiquant les économies de stockage réalisées grâce à la déduplication et à la compression.  C’est souvent pour des motifs liés à la capacité que les utilisateurs pensent aux clusters. Par conséquent, ce tableau de bord vous permet d’examiner en détail chaque cluster et de visualiser la capacité et le temps restants avant que vous ne vous trouviez à court de stockage selon les tendances d’utilisation constatées.

Ce tableau de bord indique dans quelle mesure la capacité de chaque disque du cluster vSAN est utilisée de façon équitable et vous permet ainsi de savoir si la charge des disques est équitablement répartie. vSAN exécute des algorithmes de rééquilibrage internes pour préserver l’équilibrage des disques et assurer des performances optimales. Cependant, un administrateur peut également déclencher le rééquilibrage de façon manuelle s’il constate une variabilité excessive dans l’utilisation des disques.

Remarque : comme vous avez activé vSAN lors du module précédent, vROps n’a pas eu le temps de rassembler les données à analyser.  Pour le présent exemple, nous vous présentons des données rassemblées antérieurement.

 

 

Ouverture du tableau de bord « Troubleshoot vSAN »

 

  1. Accédez à All Dashboards.
  2. Sélectionnez « Performance Troubleshooting ».
  3. Ouvrez Troubleshoot vSAN.

 

 

Tableau de bord « Troubleshoot vSAN »

 

Le tableau de bord Troubleshoot vSAN est conçu spécifiquement pour répondre aux besoins des administrateurs vSAN. Lorsque vous constatez qu’un problème potentiel affecte votre environnement vSAN, vous pouvez consulter ce tableau de bord pour mener une analyse en arête de poisson en utilisant une règle d’élimination.

Ce tableau de bord répertorie tous vos clusters vSAN et les détails d’inventaire clés, vous offrant ainsi une présentation des propriétés clés de votre cluster. Lorsque vous sélectionnez un cluster, vous pouvez afficher tous les problèmes connus, ainsi que tous les objets associés au cluster, notamment les clusters, les banques de données, les groupes de disques, les disques physiques et surtout les machines virtuelles traitées par le cluster vSAN sélectionné.

Le tableau de bord fournit ensuite des informations plus détaillées sur les mesures d’utilisation et de performances clés et présente une tendance de l’utilisation et des performances du cluster au cours des dernières 24 heures. Vous pouvez facilement accéder aux données antérieures si vous traitez des problèmes historiques.

 

 

Déconnexion de vROps

 

 

Conclusion


Dans ce module, vous avez découvert VMware vSAN en utilisant vSphere Web Client. Nous avons abordé les conditions requises pour activer vSAN et la façon de gérer et surveiller votre infrastructure vSAN en utilisant vSphere Web Client et vROps.


 

Vous avez terminé le module 3.

Félicitations ! Vous avez terminé le module 3.

Pour plus d’informations sur VMware vSAN, essayez l’un des laboratoires suivants :

Poursuivez avec l’un des modules ci-dessous selon le thème qui vous intéresse.

 

 

Comment terminer le laboratoire

 

Pour terminer votre laboratoire, cliquez sur le bouton END.  

 

Module 4 : Virtualisation de réseau - NSX 6.2 (30 minutes)

Introduction


Vous allez découvrir comme il est simple d’étendre la virtualisation à votre environnement réseau en activant VMware NSX.

Le présent module comprend les leçons suivantes :


Présentation de VMware NSX


Cette section offre une brève présentation de la virtualisation et des réseaux VMware et aborde les principaux cas d’usage.

VMware NSX® est un élément fondamental du Software-Defined Data Center qui vient compléter l’infrastructure de virtualisation pour permettre au département informatique de suivre le rythme des exigences de l’entreprise sans compromettre la sécurité ou la disponibilité des applications stratégiques. NSX intègre directement dans l’hyperviseur les fonctionnalités de réseau et de sécurité habituellement gérées par le matériel et fournit ainsi le modèle opérationnel d’une machine virtuelle pour le réseau et la sécurité afin de permettre au département informatique d’évoluer en même temps que l’entreprise.


 

Abstraction du matériel réseau

La plupart des organisations ont déjà virtualisé les composants de calcul de leurs Data Centers, la grande majorité d’entre elles ayant virtualisé de 50 à 100 % de leurs serveurs. Par ailleurs, comme nous l’avons abordé dans le module 3, les entreprises ont pris la décision de virtualiser le stockage : plus de 70 % d’entre elles ont déjà adopté le software-defined storage ou envisagent de le faire. Cette abstraction des fonctionnalités du matériel et leur transformation sous forme logicielle permettent aux entreprises de provisionner rapidement des applications, de transférer les systèmes virtuels d’un Data Center à l’autre, et d’automatiser un certain nombre de processus. Malheureusement, plusieurs de ces avantages sont toujours assujettis à des composants du Data Center dont l’évolution a été moins rapide et sont toujours tributaires du seul élément de l’infrastructure de Data Center qui n’a pas été virtualisé : le réseau. Ainsi, la plupart des entreprises n’ont toujours pas la possibilité d’exploiter à fond le Software-Defined Data Center à cause de ces processus legacy.

Une approche fondamentalement nouvelle de l’infrastructure réseau s’avère nécessaire ; une approche qui n’exige plus de compromis entre la vitesse et la sécurité ou entre la sécurité et l’agilité. Les règles du Data Center qui empêchent les entreprises de libérer tout leur potentiel doivent être réécrites pour permettre au département informatique de fonctionner sans compromis. Des milliers d’entreprises s’en rendent compte aujourd’hui ; la virtualisation de réseau incarne cette nouvelle approche.

 

 

Création de votre infrastructure informatique moderne avec VMware NSX

La virtualisation du réseau déplace les services réseau et sécurité dans la couche de virtualisation du Data Center et permet ainsi au département informatique de créer, de prendre des snapshots, de stocker, de déplacer, de supprimer et de restaurer des environnements applicatifs entiers avec la simplicité et la vélocité dont il bénéficie déjà pour déployer des machines virtuelles. Cette flexibilité permet d’atteindre des niveaux de sécurité et de réaliser des gains d’efficacité inédits jusqu’à présent. VMware NSX est la plate-forme de virtualisation de réseau conçue pour le Software-Defined Data Center. Elle prend les fonctionnalités auparavant intégrées au matériel réseau (notamment la commutation, le routage et les pare-feu) et procède à leur abstraction dans l’hyperviseur. NSX permet ainsi de créer ce que l’on peut considérer comme un « hyperviseur réseau » distribué à l’échelle du Data Center. Grâce à cette solution, le département informatique est en mesure de devenir un moteur d’activité tourné vers l’innovation pour l’entreprise et peut enfin répondre « oui » aux différentes parties prenantes au lieu de considérer que leurs demandes sont contradictoires et mutuellement exclusives. Il est maintenant en mesure d’offrir des niveaux inédits de sécurité, mais est également en mesure de suivre le rythme des exigences de l’entreprise. La disponibilité permanente des applications, l’automatisation des processus informatiques manuels et la sécurité critique du Data Center peuvent fonctionner de façon harmonieuse avec les contraintes et les plannings imposés par l’entreprise, tout en réduisant considérablement les complexités opérationnelles et les coûts associés.

 

 

Sécurité

Les solutions matérielles traditionnelles reposent sur le placement prioritaire de structures de sécurité rigides au niveau des périmètres du Data Center, mais laissent l’intérieur de ce dernier sans défense. À l’opposé, NSX met en place un Data Center fondamentalement plus sécurisé en intégrant directement des fonctions de sécurité virtualisée et de pare-feu distribué au sein de l’infrastructure. Les règles sont ainsi appliquées au niveau de chaque charge de travail. Pour la première fois, l’optimisation de la sécurité devient une réalité opérationnelle avec des règles qui sont associées aux charges de travail, indépendamment de la localisation de ces dernières dans la topologie du réseau. Les risques pour l’entreprise s’en trouvent ainsi considérablement réduits ; en effet les actions de sécurité peuvent s’adapter rapidement à l’évolution des menaces, tout en simplifiant le modèle opérationnel de sécurité.

 

 

 

Automatisation

L’automatisation est au cœur de l’agilité et de la cohérence informatique, lesquelles permettent d’améliorer significativement les économies opérationnelles globales. Toutefois, les organisations informatiques qui sont toujours limitées par le matériel ne sont pas en mesure de mettre en œuvre une stratégie d’automatisation judicieuse qui puisse répondre à tous les objectifs, souvent contradictoires, de l’entreprise. Le matériel réseau, notamment, repose pour beaucoup sur des opérations manuelles de configuration et de maintenance d’une bibliothèque conséquente de scripts, sources de nombreuses erreurs. Le processus laborieux qui s’ensuit influe sur la capacité du département informatique à prendre en charge une activité en évolution constante pour saisir de nouvelles opportunités. NSX supprime complètement cet obstacle matériel à l’automatisation des opérations de réseau. En déplaçant les services réseau et sécurité dans la couche de virtualisation du Data Center, NSX offre le même modèle opérationnel automatisé qu’une machine virtuelle, mais appliqué à l’ensemble du réseau. Mise en œuvre par le biais de VMware vRealize Automation, d’OpenStack ou d’autres outils, la solution NSX est en mesure d’automatiser de nombreux processus afin d’accélérer sensiblement la fourniture de service et de réduire les délais de provisionnement, qui passent de plusieurs mois à quelques minutes. On ne saurait trop insister sur les impacts positifs de cette solution, notamment une réduction phénoménale de la complexité opérationnelle et du coût, ainsi qu’une amélioration de la gouvernance, de la conformité et de la cohérence.

 

 

 

Disponibilité permanente des applications

 

Qu’il s’agisse de la reprise d’activité ou du regroupement des ressources du Data Center, la disponibilité permanente des applications est une priorité numéro un pour le département informatique. En raison des complexités du réseau et du manque de souplesse de l’infrastructure, la capacité de transférer rapidement les charges de travail d’un Data Center à l’autre ou de regrouper les ressources de Data Center sur différents sites reste un vœu pieu pour de nombreuses organisations. En effet, un déplacement transparent des charges de travail nécessite des configurations réseau et sécurité identiques à l’échelle de plusieurs domaines. La réplication de réseaux orientés matériel dans différents domaines étant difficilement réalisable, les tâches stratégiques telles que la reprise d’activité demeurent lentes et contraignantes. NSX permet aux organisations non seulement de déplacer les machines virtuelles d’un Data Center à l’autre, mais également de transférer l’ensemble des règles réseau et sécurité associées. Dans une infrastructure réseau virtualisée, le département informatique peut désormais déplacer d’un continent à un autre et en quelques minutes des charges de travail actives exécutées sur une machine virtuelle, sans la moindre interruption de l’application exécutée, et ainsi disposer de Data Centers actif-actif et d’options immédiates de reprise d’activité. L’entreprise bénéficie ainsi d’un temps disponible maximal, d’économies significatives, d’une disponibilité de service à l’échelle du Cloud et de l’élimination des pannes non planifiées.

 

Découverte de VMware NSX


Dans cette section, nous allons découvrir comme il est simple de déployer NSX et la façon d’utiliser vSphere Web Client pour gérer et surveiller NSX. 

Commençons par examiner l’architecture système de NSX.

 

La plate-forme de virtualisation de réseau NSX inclut différents composants, notamment le vSwitch NSX, qui fait partie de l’hyperviseur et qui représente un point de terminaison pour la superposition de réseaux, et un contrôleur qui programme les différents composants et constitue principalement le plan de contrôle du système fournissant un accès par API à partir de NSX Manager. Le contrôleur peut même fournir des extensions aux partenaires tiers.


 

Facilité de déploiement

 

 

 

Ouverture de Chrome

 

1. Cliquez sur l’icône Chrome dans la barre d’outils Lancement rapide de Windows.

 

 

Accès à la page d’accueil de vSphere Web Client

 

Une fois connecté, vous accédez à la page d’accueil de vSphere Web Client.

Pour réduire ou agrandir les volets « Recent Tasks », « Alarms » et « Work In Progress », cliquez sur l’icône Épingle correspondante.

 

 

Accès à la section « Networking & Security » du client Web

 

Cliquez sur l’icône « Home » en haut de la page, sélectionnez « Home », puis sélectionnez « Networking & Security ».

 

 

Affichage des composants déployés

 

1. Cliquez sur Installation.

Vous pouvez voir que NSX Manager est installé. NSX Manager contrôle tous les composants NSX et offre un plan de gestion centralisé à l’échelle du Data Center, ainsi que l’UI de gestion et les API pour NSX. NSX Manager est installé en tant qu’appliance virtuelle et s’intègre avec vSphere Web Client, pour une consommation au sein de la plate-forme de gestion Web.

Assurant la fourniture des API de gestion et d’une UI pour les administrateurs, le composant NSX Manager installe également plusieurs VIB sur les hôtes lorsqu’il procède à leur préparation. Ces VIB sont les suivants : VXLAN (Virtual eXtensible LAN), routage distribué, pare-feu distribué et agent UWA (User World Agent).

L’accès au noyau s’obtient beaucoup plus facilement avec une solution VMware, ce qui représente un atout remarquable. De plus, VMware intègre au noyau les fonctionnalités de pare-feu et de routage distribués. Ainsi, le traitement des fonctions dans le noyau est assuré à l’extrême, éliminant les inadéquations de l’espace utilisateur classique ou des architectures réseau de pare-feu physiques.

Enfin, les nœuds de contrôleurs NSX prennent en charge les fonctions VXLAN et de routage distribué.

 

 

Préparation des hôtes

 

1. Dans la page Installation, sélectionnez Host Preparation.

2. Dans la page « Clusters & Hosts », développez les clusters RegionA01-COMP01 et RegionA01-MGMT01.

Dans cette page, on peut voir que les composants du plan de données qui comprenaient le pare-feu distribué, VXLAN et le routage distribué sont tous installés et activés sur l’ensemble des hôtes vSphere.

 

Cas d’usage - Pare-feu distribué NSX


Cette section explique comment déployer le pare-feu distribué NSX pour protéger une application à 3 niveaux.

Comme nous l’avons déjà expliqué, les solutions matérielles traditionnelles reposent sur le placement prioritaire de structures de sécurité rigides au niveau des périmètres du Data Center, mais laissent l’intérieur de ce dernier sans défense. À l’opposé, NSX met en place un Data Center fondamentalement plus sécurisé en intégrant directement des fonctions de sécurité virtualisée et de pare-feu distribué au sein de l’infrastructure.  

Il s’agit du pare-feu distribué NSX. Le pare-feu distribué est un pare-feu intégré dans le noyau de l’hyperviseur de façon à offrir la visibilité et le contrôle requis sur les charges de travail et les réseaux virtualisés. Vous pouvez créer des règles de contrôle d’accès sur la base des objets VMware vCenter tels que les Data Centers, les clusters et les noms de machines virtuelles ; des constructions réseau telles que les adresses IP ou ensembles d’adresses IP, VLAN (groupes de ports DVS), VXLAN (commutateurs logiques), groupes de sécurité, ainsi que l’identité du groupe d’utilisateurs de l’Active Directory. Les règles de pare-feu sont contrôlées au niveau vNIC de chaque machine virtuelle pour assurer un contrôle d’accès cohérent, même lors du déplacement de la machine virtuelle via vMotion. De par son intégration dans l’hyperviseur, ce pare-feu offre des débits proches de ceux d’une connexion directe, de façon à permettre une consolidation plus poussée des charges de travail sur les serveurs physiques. Sa conception distribuée se traduit par une architecture évolutive permettant d’étendre automatiquement la capacité de pare-feu au fur et à mesure que des hôtes sont ajoutés au Data Center.

La micro-segmentation est assurée par le composant de pare-feu distribué de NSX. Le pare-feu distribué fonctionne au niveau de la couche du noyau de l’hyperviseur ESXi et traite les paquets à une vitesse proche de celle d’une connexion directe. Chaque machine virtuelle dispose de son propre contexte et de ses propres règles de pare-feu. La mobilité des charges de travail (vMotion) est totalement prise en charge avec le pare-feu distribué, et les connexions actives restent intactes pendant le déplacement. Cette fonctionnalité de sécurité avancée sécurise le réseau du Data Center en isolant chaque groupe de machines virtuelles associé sur un segment réseau logique distinct, permettant à l’administrateur de protéger le trafic entre les segments du Data Center (trafic est-ouest) à l’aide d’un pare-feu. Ceci limite les mouvements latéraux des pirates informatiques au sein du Data Center.


 

Protection de notre application Web à 3 niveaux avec NSX

 

Nous allons à présent utiliser notre application Web simple à 3 niveaux pour montrer comment exploiter le pare-feu distribué NSX afin de contrôler la communication entre les différentes machines virtuelles. Les trois machines virtuelles s’exécutent dans le même « VLAN de production », et la communication suivante doit être autorisée :

 

 

 

Test de notre application à 3 niveaux

 

 

Ouverture de vSphere Web Client dans la même session Google Chrome

 

Dans le même navigateur Chrome, ouvrez un nouvel onglet et connectez-vous à vCenter.

Connectez-vous en utilisant le nom d’utilisateur administrator@vsphere.local et le mot de passe VMware1!.

 

 

Test de la connectivité entre machines virtuelles à 3 niveaux avec Putty

 

Cliquez sur le raccourci PuTTY dans la barre des tâches du poste de travail.

 

 

Ping depuis web-01a vers d’autres membres à 3 niveaux

 

Vous allez d’abord vérifier que web-01a peut envoyer un ping à app-01a en saisissant :

ping -c 2 app-01a

À présent, testez la connectivité entre web-01a et db-01a.

ping -c 2 db-01a

(Remarque : il se peut que DUP! apparaisse à la fin d’une ligne ping.  Ceci est dû à la nature de l’environnement de laboratoire virtuel, qui utilise une virtualisation imbriquée et un mode de proximité sur les routeurs virtuels. Ceci ne se produira pas en environnement de production.)

Ne fermez pas la fenêtre pour le moment.  Réduisez-la en vue d’une utilisation ultérieure.

 

 

Remplacement de la règle de pare-feu par défaut Allow par la règle Block

Dans cette section, vous allez remplacer la règle par défaut Allow par la règle Block et constater que la communication vers l’application à 3 niveaux est rompue. Ensuite, vous créerez des règles d’accès pour rétablir la communication dans le cadre d’une méthode sécurisée.

 

 

 

Examen des règles par défaut

 

  1. Développez la section à l’aide de la flèche déroulante

Notez que des coches vertes apparaissent en regard des règles.  Elles indiquent que les règles sont activées.  Les règles sont conçues de façon classique : avec des champs de source, de destination et de service.  Les services sont des combinaisons de protocoles et de ports.  

La dernière règle par défaut (Default Rule) est une règle d’autorisation de base entre n’importe quelle source et n’importe quelle destination.

 

 

Examen de la dernière règle par défaut

 

Faites défiler l’écran vers la droite. Pour faire apparaître les choix de la colonne Action pour la règle par défaut, placez le curseur dans le champ Action:Allow.  Une icône en forme de crayon apparaît. Elle vous permet d’afficher les choix pour ce champ.

 

 

Remplacement de l’action de la dernière règle par défaut Allow par l’action Block

 

  1. Sélectionnez l’action Block.
  2. Cliquez sur Save

 

 

Publication des modifications de la règle par défaut

 

Une barre verte indique que vous devez maintenant choisir entre trois options : « Publish Changes », « Revert Changes » ou « Save Changes ».  L’option « Publish Changes » permet d’appliquer les modifications au pare-feu distribué.  L’option « Revert Changes » permet d’annuler les modifications.  L’option « Save Changes » permet d’enregistrer les modifications en vue d’une publication ultérieure.

 

 

Vérification du blocage de la communication par la modification de règle

 

Pour tester la règle de blocage à l’aide de vos sessions Putty et de navigateur précédentes

 

 

Vérification du blocage du protocole https par la règle dans votre navigateur Web

 

  1. Accédez à l’onglet « 3-Tier App » dans votre navigateur. Si vous avez fermé l’onglet par erreur, ouvrez le navigateur Web Chrome et cliquez sur le favori 3-Tier App pour tenter d’accéder au site correspondant.
  2. Une erreur indique que le site est inaccessible. Il s’agit du comportement attendu, dû aux règles de pare-feu créées sur NSX.

 

 

Création de règles d’accès à 3 niveaux avec le pare-feu distribué NSX

Assurez-vous que vous êtes toujours connecté à vSphere Web Client en accédant à l’onglet « vSphere Web Client ». Si ce n’est pas le cas, ouvrez de nouveau Google Chrome et connectez-vous à vSphere Web Client.

 

À partir de vSphere Web Client, ouvrez la page Networking & Security et cliquez sur Firewall > Configuration.

 

 

Création d’une section de pare-feu

 

  1. À l’extrême droite de la ligne « Default Section Layer3 (Rule 1 - 3) », cliquez sur Add Section (icône en forme de dossier).

 

 

Ajout d’une nouvelle section de règle pour l’application à 3 niveaux

 

  1. Nommez la section « 3-tier App ».
  2. Sélectionnez Add section above.
  3. Cliquez sur Save.

 

 

Ajout d’une règle à la nouvelle section

 

  1. Sur la ligne de la nouvelle section « 3-tier App », cliquez sur l’icône Add rule (signe plus vert).

 

 

Modification du nom de la nouvelle règle

 

  1. Cliquez sur la flèche déroulante pour ouvrir la règle.
  2. Placez le pointeur de la souris sur l’angle supérieur droit du champ « Name ». Lorsqu’une icône en forme de crayon apparaît, cliquez sur le crayon.

 

 

Modification du nom de la nouvelle règle (suite)

 

  1. Saisissez le nom « Ext to Web ».
  2. Cliquez sur Save.

 

 

Définition de la source et de la destination de la règle

 

Source : conservez « any » pour la source de la règle.

  1. Placez le pointeur de la souris dans le champ « Destination » et cliquez sur l’icône en forme de crayon.

 

 

Définition des valeurs de groupe de sécurité

 

Destination :

  1. Déroulez la liste « Object Type » et faites-la défiler jusqu’à faire apparaître Virtual Machine.
  2. Cliquez sur web-01a.
  3. Cliquez sur la flèche du haut pour déplacer l’objet vers la droite.
  4. Cliquez sur OK.

 

 

Modification du service

 

  1. Placez de nouveau le pointeur de la souris dans le champ « Service », puis cliquez sur l’icône en forme de crayon.  

 

 

Définition du service de la règle

 

Le champ de recherche vous permet de rechercher des correspondances de modèle de service.  

  1. Saisissez « https » et appuyez sur Entrée pour afficher tous les services associés au nom https.
  2. Sélectionnez le service HTTPS simple.
  3. Cliquez sur la flèche du haut.
  4. Remarque : répétez les étapes 1-3 ci-dessus pour rechercher et ajouter SSH.  (Vous verrez que nous avons besoin du protocole SSH plus loin dans ce module.)
  5. Cliquez sur « OK ».

Remarque : la barre verte s’affiche, offrant la possibilité de publier ou d’annuler les modifications.

NE PUBLIEZ PAS les modifications pour le moment. En effet, vous allez créer d’autres règles.

 

 

Création d’une règle pour autoriser Web-01a à communiquer avec App-01a

 

À présent, vous allez ajouter une deuxième règle pour autoriser la machine virtuelle Web-01a à communiquer avec App-01a. De par sa conception, l’application Web doit communiquer uniquement avec le serveur d’applications et ne doit pas pouvoir communiquer avec le serveur de base de données.

  1. Commencez par cliquer sur l’icône en forme de crayon.
  2. Vous souhaitez que cette règle soit traitée après la règle précédente. Vous allez donc cliquer sur Add Below dans la liste déroulante.

 

 

Champs de création du nom et de la source de la deuxième règle

 

  1. De nouveau, placez le pointeur de la souris dans le champ « Name », puis cliquez sur le signe plus.  Saisissez le nom « Web to App ».
  2. Choisissez « Web-tier » dans le champ Source.

 

 

Création de la destination de la deuxième règle

 

  1. Placez le pointeur de la souris dans le champ « Destination ».
  2. Cliquez sur l’icône en forme de crayon pour effectuer la modification.

 

 

Champ de création de la destination de la deuxième règle : choix de votre machine virtuelle App-01a

 

  1. Faites défiler la liste déroulante « Object Type » et cliquez sur Virtual Machine.
  2. Sélectionnez app-01a.
  3. Cliquez sur la flèche du haut pour déplacer l’objet vers la droite.
  4. Cliquez sur « OK ».

 

 

Création du service de la deuxième règle

 

  1. Placez le pointeur de la souris dans le champ « Service », puis cliquez sur l’icône en forme de crayon pour effectuer la modification.

 

 

Champ de création du service de la deuxième règle : nouveau service

 

L’application à 3 niveaux utilise le port tcp 8443 entre le Web et les niveaux d’application.  Vous allez créer un service autorisé nommé MyApp.

  1. Cliquez sur « New Service ».
  2. Saisissez le nom « MyApp » pour le nouveau service.
  3. Sélectionnez « TCP » pour le protocole.
  4. Saisissez 8443 pour le numéro de port.
  5. Cliquez sur « OK », puis de nouveau sur « OK » dans la page « Specify Service » principale.

 

 

Création d’une troisième règle pour autoriser App-01a à communiquer avec Db-01a

Répétez les étapes : créez vous-même la troisième et dernière règle sous la règle précédente pour autoriser l’accès entre App-01a et Db-01a.

  1. Créez la dernière règle autorisant la machine virtuelle App à communiquer avec la machine virtuelle DB via le service prédéfini pour HTTP.  Comme le service est prédéfini, vous n’avez pas à le créer. Il vous suffit de le rechercher.

Votre nouvelle règle doit ressembler à celle présentée dans cet exemple.

  1. Publiez les modifications.

 

 

Vérification de l’autorisation de la communication de l’application à 3 niveaux par la nouvelle règle

 

  1. Revenez à l’onglet que vous aviez utilisé pour l’application à 3 niveaux.
  2. Actualisez le navigateur pour vous assurer que vous obtenez les données via l’application à 3 niveaux.

Votre nouvelle section « 3-tier App » autorise l’accès à l’application.

 

 

Ouverture d’une session Putty vers web-01a pour tester la communication entre les machines virtuelles

 

Si vous avez fermé votre session Putty précédente, ouvrez-la de nouveau à partir de la barre d’outils Lancement rapide de Windows.

  1. Sélectionnez la machine virtuelle web-01a.corp.local.
  2. Cliquez sur Load.
  3. Cliquez sur Open.

 

 

Test ping entre les machines virtuelles

Tentez d’envoyer un ping aux machines virtuelles clientes de l’application à 3 niveaux.

ping -c 2 app-01a

ping -c 2 db-01a

Les pings ne sont pas autorisés et échoueront car vos règles n’autorisent pas le trafic ICMP entre les niveaux ou les membres de niveau.  Si vous n’autorisez pas le trafic ICMP entre les niveaux, la règle par défaut bloque désormais tout autre trafic. Le seul trafic autorisé est requis pour un fonctionnement correct de l’application.

 

 

Déconnexion

Fermez Putty. Sélectionnez « Administrator@CORP.LOCAL » en haut à droite de l’écran, puis cliquez sur « Logout ».

 

Fermez votre navigateur.

 

Opérations intelligentes NSX avec vROps


Dans cette section, vous découvrirez les tableaux de bord de vRealize Operations Manager utilisés pour surveiller l’environnement NSX.

Grâce à vROps, vous pouvez ajouter à votre déploiement NSX des opérations intelligentes fournissant aux réseaux virtuels des fonctionnalités d’analyse, de corrélation, de capacité prédictive et de visualisation.  Cette solution inclut l’assurance relative à la configuration, l’intégrité, les performances, la capacité et la résolution des problèmes liés aux commutateurs logiques NSX, aux routeurs logiques, aux services de périphérie, au pare-feu distribué et aux équilibreurs de charge. D’un seul coup d’œil, l’équipe responsable des opérations NSX peut ainsi détecter un problème de configuration, résoudre un problème de connectivité, déterminer l’impact de tout problème d’intégrité vSphere ou analyser de nombreux objets NSX pour un dépannage plus approfondi.

Principales nouveautés :


 

Connexion à vRealize Operations Manager

 

 

Affichage des tableaux de bord

 

L’écran « Dashboards » contient tous les tableaux de bord prêts à l’emploi, ainsi que les tableaux de bord personnalisés créés pour votre environnement. Dans le cadre de ce laboratoire, nous allons explorer tous les tableaux de bord prêts à l’emploi pour NSX.

  1. Pour accéder à votre page des tableaux de bord, cliquez sur Dashboards dans le menu supérieur.
  2. Une liste répertoriant l’ensemble des tableaux de bord pour NSX s’affiche dans le volet de gauche.
  3. Si les tableaux de bord NSX ne s’affichent pas, vous pouvez les activer en les sélectionnant individuellement dans la liste All Dashboards.
  4. Sélectionnez NSX-vSphere Main en vue de la prochaine étape.

 

 

Tableaux de bord - « NSX-vSphere Main »

 

1. Sélectionnez nsxmgr-01a sous « NSX-vSphere Environments ».

Une présentation de l’intégrité des objets de réseau (informations de trafic réseau et alertes ouvertes relatives à NSX) s’affiche. Vous pouvez surveiller les composants clés comme l’intégrité globale de votre gestionnaire et de vos contrôleurs NSX et bénéficiez d’une carte thermique de chaque nœud de transport enregistré auprès de NSX. Ce tableau de bord présente également les principaux réseaux logiques par trafic et les machines virtuelles.

Prenez le soin d’explorer les différents tableaux de bord avant de poursuivre.

 

 

 

Ouverture du tableau de bord « NSX-vSphere Topology »

 

1. Sélectionnez le menu déroulant All Dashboards.

2. Accédez à NSX-vSphere.

3. Ouvrez « NSX-vSphere Topology ».

 

 

Découverte du tableau de bord « NSX-vSphere Topology »

 

Le tableau de bord « NSX-vSphere Topology » vous offre des informations détaillées sur la topologie d’un objet sélectionné. Il indique comment l’objet est connecté aux éléments logiques dans le réseau et présente les alertes et mesures associées.  Si vous accédez au tableau de bord « NSX-vSphere Topology » directement depuis la barre de menus, les widgets « Logical Topology » et « Physical Topology » n’affichent aucune donnée. Pour afficher des données dans ces widgets, cliquez sur l’objet dont vous souhaitez afficher les informations détaillées dans le widget « Objects ». Vous pouvez également rechercher l’objet pour le localiser. Pour cela, utilisez la zone de recherche à droite du widget.

Prenez le soin d’explorer ce tableau de bord, ainsi que les deux autres tableaux de bord NSX-vSphere Object Path et NSX-vSphere Troubleshooting, si vous en avez le temps.

 

 

Déconnexion de vROps

 

Déconnectez-vous de vROps.

 

Conclusion


Dans ce module, vous avez découvert VMware NSX. Nous avons abordé les conditions requises pour activer NSX, expliqué comment assurer la gestion à l’aide de vSphere Web Client et vu comment déployer un pare-feu de sécurité en utilisant la fonction de pare-feu distribué NSX. Ce module vous a également montré comment utiliser vROps pour surveiller votre déploiement NSX.


 

Vous avez terminé le module 4.

Félicitations ! Vous avez terminé le module 4.

Pour plus d’informations sur VMware NSX, essayez l’un des laboratoires suivants :

Poursuivez avec l’un des modules ci-dessous selon le thème qui vous intéresse.

 

 

Comment terminer le laboratoire

 

Pour terminer votre laboratoire, cliquez sur le bouton END.  

 

Conclusion

Thank you for participating in the VMware Hands-on Labs. Be sure to visit http://hol.vmware.com/ to continue your lab experience online.

Lab SKU: ManualExport-HOL-1845-01-SLN.zip

Version: 20171201-203114