Laboratoires d’essai en ligne VMware - HOL-1922-01-NET


Présentation du laboratoire en ligne - HOL-1922-01-NET - VMware NSX Cloud - Démarrage

Instructions concernant le déroulement du laboratoire


Remarque : il vous faudra plus de 120 minutes pour suivre ce laboratoire. Durant cette session, vous pourrez terminer un maximum de 2 ou 3 modules.  Les modules sont indépendants. Vous pouvez donc commencer au début du module de votre choix, puis enchaîner les modules dans l’ordre qui vous convient. Utilisez le sommaire pour accéder au module choisi.

Le sommaire est disponible dans l’angle supérieur droit du manuel du laboratoire.

VMware NSX Cloud offre aux clients la possibilité d’abstraire et de gérer les règles de mise en réseau et de sécurité au sein d’environnements de Cloud public tels qu’Amazon Web Services (AWS) et Microsoft Azure.

Dans le cadre du scénario d’une application déployée avec une sécurité minimale dans AWS et Azure, nous allons découvrir comment VMware NSX Cloud fournit une cohérence opérationnelle en confiant la gestion d’un environnement de Cloud existant à NSX et en appliquant la micro-segmentation aux charges de travail natives exécutées dans AWS et Azure.

Liste des modules du laboratoire :

 Responsables du laboratoire :

  • Brian Heili, ingénieur système, États-Unis
  • Puneet Chawla, architecte en solutions, États-Unis

 

Vous pouvez télécharger ce manuel de laboratoire depuis le site des documents de laboratoire d’essai en ligne accessible à l’adresse suivante :

http://docs.hol.vmware.com 

Ce laboratoire peut être disponible dans d’autres langues.  Le document suivant vous aidera à définir vos préférences linguistiques et à déployer un manuel localisé pour votre laboratoire :

http://docs.hol.vmware.com/announcements/nee-default-language.pdf


 

Clause de non-responsabilité

Cette session est susceptible de présenter des fonctionnalités de produit actuellement en cours de développement.

En aucun cas, cette session/présentation générale de nouvelle technologie n’engage VMware à incorporer ces fonctionnalités dans des produits disponibles sur le marché.

Ces fonctionnalités étant sujettes à modification, celles-ci ne doivent en aucun cas figurer dans un contrat, bon de commande ou accord commercial de quelque nature que ce soit.

La faisabilité technique et la demande du marché détermineront la version finale.

Les tarifs et les offres des nouvelles technologies ou fonctionnalités présentées ou mentionnées n’ont pas encore été établis.

 

 

Emplacement de la console principale

 

  1. La zone délimitée par un cadre ROUGE correspond à la console principale.  Le manuel de laboratoire apparaît dans le volet affiché sur la droite de la console principale.
  2. Des consoles supplémentaires peuvent être utilisées pour certains laboratoires. Elles s’affichent alors dans des onglets distincts en haut à gauche. Vous pourrez, au besoin, être invité à ouvrir une console supplémentaire spécifique.
  3. Au début de votre laboratoire, le minuteur est réglé sur 90 minutes.  Vous ne pouvez pas sauvegarder le laboratoire.  Vous devez effectuer toutes les tâches durant la session de laboratoire.  Vous avez toutefois la possibilité de cliquer sur EXTEND pour obtenir un délai supplémentaire.  Si vous effectuez ce laboratoire dans le cadre d’un événement VMware, vous avez droit à deux prolongations, pour un délai supplémentaire total de 30 minutes.  Chaque clic vous donne droit à 15 minutes supplémentaires.  En dehors des événements VMware, vous pouvez prolonger la durée du laboratoire jusqu’à 9 heures et 30 minutes. Chaque clic vous donne droit à une heure supplémentaire.

 

 

Méthodes alternatives à la saisie de données au clavier

Au cours de ce module, vous allez être invité à saisir du texte dans la console principale. Outre la saisie directe au clavier, vous disposez de deux méthodes très utiles facilitant l’entrée des données complexes.

 

 

Vous pouvez cliquer sur un élément de texte dans le manuel de laboratoire pour le faire glisser dans la fenêtre de console active.

 
 

Vous pouvez également cliquer sur du texte et des commandes CLI (Command Line Interface) directement à partir du manuel du laboratoire, pour les faire glisser dans la fenêtre active de la console principale.  

 

 

Accès au clavier international en ligne

 

Vous pouvez également utiliser le clavier international en ligne proposé dans la console principale.

  1. Cliquez sur l’icône en forme de clavier dans la barre d’outils Lancement rapide de Windows.

 

 

Cliquer une fois dans la fenêtre active de la console

 

Cet exemple vous montre comment utiliser le clavier en ligne pour saisir le signe « @ » utilisé dans les adresses e-mail. Sur la disposition de clavier US, le signe « @ » correspond à la combinaison Maj-2.

  1. Cliquez une fois dans la fenêtre de console active.
  2. Cliquez sur la touche Maj.

 

 

Cliquez sur la touche « @ »

 

  1. Cliquez sur la touche « @ ».

Vous remarquez que le signe « @ » a été saisi dans la fenêtre active de la console.

 

 

Invite ou filigrane d’activation

 

Au moment de démarrer le laboratoire, vous remarquerez peut-être sur le bureau un filigrane indiquant que Windows n’est pas activé.  

L’un des principaux avantages de la virtualisation réside dans la possibilité de transférer et d’exécuter une machine virtuelle sur n’importe quelle plate-forme.  Les laboratoires d’essai en ligne tirent parti de cette capacité, qui nous permet de les exécuter depuis différents Data Centers.  Cependant, ces Data Centers ne sont pas tous dotés des mêmes processeurs, ce qui a pour effet de déclencher un contrôle d’activation Microsoft via Internet.

Rassurez-vous, VMware et ses laboratoires d’essai en ligne sont en parfaite conformité avec les conditions de licence de Microsoft.  Le laboratoire que vous suivez est un pod autonome qui ne dispose pas d’un accès complet à Internet, dont Windows a besoin pour vérifier l’activation.  L’absence d’un accès complet à Internet provoque l’échec de ce processus automatisé, d’où l’apparition du filigrane.

Ce problème superficiel est sans incidence sur votre laboratoire.  

 

 

Observez la partie inférieure droite de l’écran

 

Vérifiez que toutes les routines de démarrage ont été exécutées et que le laboratoire est prêt à démarrer. Si l’état affiché est différent de « Ready », patientez quelques minutes.  Si le laboratoire n’est toujours pas à l’état « Ready » au bout de 5 minutes, demandez de l’aide.

 

Module 1 - Introduction aux environnements hybrides de Cloud on premise et public (30 minutes)

Introduction


Les composants NSX de gestion et de plan de contrôle, ainsi que certaines parties de l’application, ont été provisionnés dans notre Data Center on premise. Le frontal Internet de notre application a été déployé à la fois dans AWS et dans Azure. Nous allons examiner l’inventaire des composants.


Validation du laboratoire


Ce laboratoire inclut un grand nombre d’éléments préconfigurés requis pour les prochaines leçons. Nous allons examiner rapidement la solution configurée, ainsi que la fonctionnalité de l’environnement de laboratoire configuré.

Les configurations qui seront examinées sont les suivantes :


 

Le laboratoire doit être à l’état « Ready »

 

Vérifiez que toutes les routines de démarrage ont été exécutées et que le laboratoire est prêt à démarrer. Si l’état affiché est différent de « Ready », patientez quelques minutes.  Si le laboratoire n’est toujours pas à l’état « Ready » au bout de 5 minutes, demandez de l’aide.

Poursuivre alors que le laboratoire n’est pas à l’état « Ready » entraînera un dysfonctionnement.

 

 

Page de l’état du provisionnement du laboratoire

Pour les besoins du laboratoire, les parties d’AWS et d’Azure sont en cours de provisionnement. Dans le cadre du démarrage du laboratoire, une page Web indique l’état des ressources en cours de provisionnement sur AWS et Azure.

REMARQUE : les ressources provisionnées sur Amazon Web Services et Microsoft Azure sont accessibles uniquement depuis la console principale de l’environnement du laboratoire.

Le provisionnement du laboratoire peut prendre entre 10 et 15 minutes.

 

 

Ouvrir Google Chrome

 

  1. Cliquez sur l’icône Chrome dans la barre d’outils Lancement rapide de Windows.

 

 

Page d’accueil des informations de compte

 

La page d’accueil de Chrome a été définie sur la page des informations de compte et de l’état du provisionnement du laboratoire.

  1. Saisissez l’adresse e-mail utilisée pour vous inscrire au laboratoire.
  2. Saisissez VMware1! comme mot de passe.
  3. Cliquez sur Login.

 

 

Fin du provisionnement du laboratoire

 

La page des informations de compte indiquera la fin du provisionnement du laboratoire. Ce processus peut durer entre 10 et 15 minutes. Nous ferons régulièrement référence à cette page dans les modules du laboratoire.

 

Présentation de la solution


Ce laboratoire inclut un grand nombre d’éléments préconfigurés requis pour les prochaines leçons. Nous allons examiner rapidement la solution configurée, ainsi que la fonctionnalité de l’environnement de laboratoire configuré.

Les configurations qui seront examinées sont les suivantes :


 

Présentation de la solution

Au moment de déplacer des charges de travail vers des solutions de Cloud public, les entreprises doivent pouvoir étendre les règles de réseau et sécurité de leur SDDC à ses environnements publics. Cette extension permet d’exécuter les charges de travail dans des Clouds publics avec les mêmes contrôles natifs que ceux intégrés à un Data Center on premise. VMware NSX Cloud permet aux entreprises d’étendre leurs solutions de sécurité, de conformité et de gouvernance d’entreprise.

NSX fournit des solutions aux principales problématiques réseau et sécurité rencontrées par les entreprises dans les environnements de Cloud public :

 

 

Composants de la solution

 

La solution contient les composants suivants qui seront examinés dans les leçons suivantes :

 

 

Topologie du laboratoire

 

Ce schéma illustre l’environnement provisionné et utilisé dans le cadre des leçons de ce laboratoire. Cet environnement représente le cas d’un développeur qui déploie une application avec des composants intégrés dans le Data Center on premise, Microsoft Azure et Amazon Web Services (AWS). Le déploiement de l’application s’effectue sans règles de sécurité conformes aux normes de l’entreprise. Il est donc nécessaire d’utiliser NSX pour appliquer des règles cohérentes à l’environnement d’application.

Le déploiement de VMware NSX Cloud exige un ou plusieurs environnements de Cloud public. Les composants du plan de gestion (NSX Manager et Cloud Services Manager) et du plan de contrôle (NSX Controller) de NSX ont été préconfigurés dans le Data Center on premise.

 

Établir une connectivité VPN avec les Clouds publics


La connectivité VPN avec AWS et Azure est établie pour ce laboratoire. Nous allons vérifier l’accès à notre frontal Internet via une simple commande ping.

Remarque : en cas d’échec de l’un des tests ping, demandez de l’aide avant de poursuivre le laboratoire.


 

Ouvrir une invite de commande

 

  1. Cliquez sur l’icône d’invite de commande dans la barre d’outils Lancement rapide de Windows.

 

 

Commande ping sur l’instance Internet Azure

 

  1. Saisissez la commande ping suivante pour établir une connectivité avec l’instance frontale Internet Azure :
ping 172.18.10.4

 

 

Connectivité établie avec Azure

 

La connectivité est établie avec Azure si nous recevons des réponses.

 

 

Commande ping sur l’instance Internet AWS

 

  1. Saisissez la commande ping suivante pour établir une connectivité avec l’instance frontale Internet AWS :
ping 172.15.10.4

 

 

Connectivité établie avec AWS

 

La connectivité est établie avec AWS si nous recevons des réponses.

 

Présentation de l’environnement on premise


L’environnement de Data Center on premise contient les composants NSX de gestion et de plan de contrôle, ainsi que différentes VM pour l’application que nous allons protéger dans ce laboratoire.


 

Topologie on premise

 

L’environnement vPod du laboratoire sert d’environnement de Data Center on premise. Nous avons déployé les composants NSX de gestion et de plan de contrôle. De plus, nous avons déployé les 4 VM d’application et de base de données correspondant aux VM du frontal Internet exécutées dans nos environnements AWS et Azure.

Remarque : pour les besoins du laboratoire uniquement, le déploiement de NSX a été minimisé afin de réduire les délais de démarrage. Il ne s’agit pas d’un modèle de déploiement recommandé ni pris en charge.

 

 

Ouvrir un nouvel onglet de navigateur

 

  1. Ouvrez un nouvel onglet dans Google Chrome.

 

 

Ouvrir vCenter

 

  1. Cliquez sur le favori vCenter.

 

 

Se connecter à vCenter

 

  1. Dans le champ User name, saisissez administrator@corp.local.
  2. Saisissez VMware1! comme mot de passe.
  3. Cliquez sur Login.

 

 

Développer l’inventaire

 

  1. Cliquez sur RegionA01 pour développer l’arborescence.
  2. Cliquez sur RegionA01-COMP01 pour développer l’arborescence.

 

 

Inventaire des VM

 

Nous pouvons constater que les VM de gestion et de plan de contrôle NSX et les quatre VM d’application sont exécutées sur notre Data Center on premise.

  1. Les trois VM de gestion et de plan de contrôle NSX ont été déployées.
  2. Les quatre VM d’application on premise ont été déployées.

Remarque : la fonctionnalité des VM NSX sera abordée dans le Module 3.

 

Présentation de l’environnement Microsoft Azure


Nous allons examiner les composants d’application Microsoft Azure configurés dans l’environnement de laboratoire.


 

Réseau virtuel de calcul

 

Les composants suivants ont été configurés dans le réseau virtuel de calcul d’Azure :

Services Azure

VM du niveau Internet d’application

La passerelle NSX Cloud Gateway mentionnée sera déployée dans le cadre des exercices du laboratoire.

 

Accès à la console de gestion de Microsoft Azure


Pour les besoins de ce laboratoire, une machine virtuelle d’application pour le frontal Internet est exécutée sur Azure. Tout au long du laboratoire, vous devrez accéder à la console de gestion d’Azure pour vérifier l’inventaire et les configurations. Dans cette leçon, vous allez activer l’accès à la console de gestion d’Azure.


 

Accéder à la console de gestion d’Azure

 

  1. Cliquez sur l’onglet des informations de compte précédemment ouvert. Si cet onglet a été fermé, ouvrez un autre onglet et cliquez sur le favori Account Info.

 

 

Rechercher l’adresse URL de la console de gestion d’Azure

 

  1. Cliquez sur l’adresse URL de la console pour ouvrir un nouvel onglet du navigateur et vous connecter à la console de gestion d’Azure.

 

 

Saisir l’adresse e-mail Azure

 

  1. Copiez ou saisissez l’adresse e-mail (nom d’utilisateur) du compte Azure figurant sur la page des informations de compte.
  2. Cliquez sur Next.

 

 

 

Saisir le mot de passe Azure

 

  1. Copiez ou saisissez le mot de passe du compte Azure figurant sur la page des informations de compte.
  2. Cliquez sur Sign in.

 

 

 

Ne pas rester connecté

 

  1. Si le message suivant s’affiche, cliquez sur No.

 

 

Console de gestion d’Azure

 

La page de la console de gestion d’Azure s’ouvre.

 

Examen de l’inventaire Microsoft Azure


Dans cette leçon, nous allons examiner les composants Microsoft Azure intégrés à la solution :

Remarque : certains écrans de l’inventaire Azure peuvent afficher des entrées supprimées, interrompues, dissociées, etc. différentes des captures d’écran. Il s’agit d’éléments du déploiement du laboratoire précédent qui ont été retirés, mais pas encore supprimés de l’IU Azure.


 

Examiner les réseaux virtuels configurés

 

  1. Cliquez sur Virtual networks dans la partie gauche de la console de gestion d’Azure.

 

 

Examiner les réseaux virtuels configurés

 

Un seul réseau virtuel est configuré dans la région Azure dans laquelle la machine virtuelle de l’application est déployée.

 

 

Cliquer sur Virtual Machines

 

  1. Cliquez sur Virtual machines dans la partie gauche de la console Azure.

 

 

Examiner les VM d’application Azure

 

Pour les besoins de ce laboratoire, trois VM sont exécutées :

 

 

Sélectionner la VM Internet

 

  1. Cliquez sur la machine virtuelle hol1922-ps-web01.

 

 

Cliquer sur Networking

 

  1. Cliquez sur Networking.

 

 

Groupes de sécurité du réseau configurés

 

Un seul groupe de sécurité du réseau est configuré. Nous aborderons plus en détail les règles configurées dans le Module 2.

 

Présentation de l’environnement Amazon Web Services


Nous allons examiner les composants d’application Amazon Web Services configurés dans l’environnement de laboratoire.


 

VPC de calcul

 

Les composants suivants ont été configurés dans le VPC de calcul AWS :

Services AWS

Instance du niveau Internet de l’application

La passerelle NSX Cloud Gateway mentionnée sera déployée dans le cadre des exercices du laboratoire.

 

Accès à la console de gestion d’Amazon Web Services


Pour les besoins de ce laboratoire, une instance de l’application frontale Internet est exécutée sur Amazon Web Services. Tout au long du laboratoire, vous devrez accéder à la console de gestion d’AWS pour vérifier l’inventaire et les configurations. Dans cette leçon, vous allez établir l’accès à la console de gestion d’AWS.


 

Accéder à la console de gestion d’AWS

 

  1. Cliquez sur l’onglet des informations de compte précédemment ouvert. Si cet onglet a été fermé, ouvrez un autre onglet et cliquez sur le favori Account Info.

 

 

Rechercher l’adresse URL de la console de gestion d’AWS

 

  1. Cliquez sur l’adresse URL de la console pour ouvrir un nouvel onglet du navigateur et vous connecter à la console de gestion d’AWS.

 

 

Se connecter à la console d’AWS

 

  1. Dans le champ IAM user name, saisissez vmware_hol_user. Remarque : le compte varie en fonction de l’environnement de laboratoire.
  2. Saisissez ou copiez le mot de passe de la page des informations de compte.
  3. Cliquez sur le bouton Sign In.

 

 

 

Console de gestion d’AWS

 

La page de la console de gestion d’AWS s’ouvre.

 

 

Effectuer un zoom dans le navigateur

 

Afin d’améliorer la lisibilité des différents écrans de ce laboratoire, il est recommandé de régler le paramètre de zoom dans Google Chrome à au moins 90 %.

  1. Cliquez sur les trois points dans le coin supérieur droit du navigateur pour afficher le menu déroulant.
  2. Cliquez sur - en regard de Zoom pour attribuer la valeur 90%.

 

 

Sélectionner la région

 

Vérifiez que la console a accès aux ressources de la région Californie du Nord. Si une autre région est sélectionnée, les ressources du laboratoire ne seront pas visibles.

  1. Cliquez sur le nom de la région à gauche du menu Support en haut à droite.
  2. Sélectionnez US West (N. California).

 

Examen de l’inventaire Amazon Web Services


Dans cette leçon, nous allons examiner les composants Amazon Web Services et NSX intégrés à la solution :

Remarque : certains écrans de l’inventaire AWS peuvent afficher des entrées supprimées, interrompues, dissociées, etc. différentes des captures d’écran. Il s’agit d’éléments du déploiement du laboratoire précédent qui ont été retirés, mais pas encore supprimés de l’IU AWS.


 

Examiner les Clouds privés virtuels configurés

 

  1. Cliquez sur Services dans le coin supérieur gauche de la console de gestion d’AWS.
  2. Cliquez sur VPC dans le menu Network & Content Delivery.

 

 

Cliquer sur Your VPCs

 

  1. Cliquez sur Your VPCs sous VPC Dashboard à gauche.

 

 

Examiner les VPC configurés

 

Un seul VPC est configuré dans la région AWS dans laquelle l’instance d’application est déployée. Les ID de VPC diffèrent en fonction de chaque pod de laboratoire.

 

 

Cliquer sur Security Groups

 

  1. Cliquez sur Security Groups à gauche sous Security.

 

 

Examiner les groupes de sécurité configurés

 

Des groupes de sécurité sont configurés pour les VPC de calcul afin de permettre aux instances EC2 de communiquer avec le VPC.  Nous aborderons plus en détail les règles configurées dans le Module 2.

 

 

Cliquer sur EC2

 

  1. Cliquez sur Services dans le coin supérieur gauche de la console AWS.
  2. Cliquez sur EC2 sous Compute.

 

 

Cliquer sur Instances

 

  1. Cliquez sur Instances sous EC2 Dashboard à gauche.

 

 

Vérifier les changements apportés à l’IU

 

  1. Si le message ci-dessus s’affiche, cliquez sur X pour fermer la notification.

 

 

Élargir une colonne

 

  1. Cliquez sur le séparateur de colonne et déplacez-le pour élargir la colonne Name.

 

 

Examiner les instances NSX EC2

 

Pour les besoins de ce laboratoire, trois instances EC2 sont exécutées :

 

Conclusion


Voilà qui conclut le Module 1. En nous connectant à la console de gestion de chaque emplacement, nous avons pu examiner les composants de la solution déployés dans notre environnement multicloud pour la prise en charge de notre application :


 

Félicitations, vous avez terminé le Module 1

Passez au Module 2 pour vérifier la fonctionnalité de l’application. Vous pouvez aussi poursuivre avec l’un des autres modules selon le thème qui vous intéresse.

 

Module 2 - Vérification du fonctionnement de l’application (15 minutes)

Introduction


Dans ce scénario de laboratoire, une application multi-services à été déployée par un développeur d’applications sur Amazon Web Services et Microsoft Azure. La majorité des services de l’application ont été déployés sur le Data Center on premise. Une instance supplémentaire a été déployée à la fois dans AWS et dans Azure pour le frontal Internet.


 

Diagramme de l’application

 

Notre application se compose de plusieurs services déployés sur notre installation on premise, ainsi que sur Amazon Web Services et Microsoft Azure.

Une instance du service frontal sera déployée sur AWS et Azure. Les autres services API, DB, Redis et ADSB seront exécutés sur notre Data Center on premise. Les mises à jour sur la localisation des avions sont exécutées entre Internet et notre Data Center on premise.

 

Examen des règles de sécurité


Nous allons examiner les règles de sécurité qui ont été appliquées au service frontal Internet de l’application au moment de son déploiement par le développeur. Dans la mesure où NSX n’a pas été déployé, les règles de sécurité appliquées sont celles configurées dans Amazon Web Services et Microsoft Azure.

Les machines virtuelles de l’application on premise ne sont associées à aucune règle de sécurité. Elles seront également protégées lors du déploiement et de la configuration de NSX.


 

Ouvrir Google Chrome

 

  1. Cliquez sur l’icône Chrome dans la barre d’outils Lancement rapide de Windows (ou ouvrez Chrome si le navigateur a est en cours d’exécution).

 

 

Page d’accueil des informations de compte

 

La page d’accueil de Chrome a été définie sur la page des informations de compte et de l’état du provisionnement du laboratoire. Si vous avez suivi la leçon précédente, vous pouvez cliquer sur l’onglet des informations de compte ouvert et poursuivre avec l’étape suivante.

  1. Saisissez l’adresse e-mail utilisée pour vous inscrire au laboratoire.
  2. Saisissez VMware1! comme mot de passe.
  3. Cliquez sur Login.

 

 

Fin du provisionnement du laboratoire

 

La page des informations de compte indiquera la fin du provisionnement du laboratoire. Ce processus peut durer entre 10 et 15 minutes. Nous ferons régulièrement référence à cette page dans les modules du laboratoire.

 

 

Rechercher l’adresse URL de la console de gestion d’AWS

 

  1. Cliquez sur l’adresse URL de la console pour ouvrir un nouvel onglet de navigateur et vous connecter à la console de gestion d’AWS (ou cliquez sur l’onglet AWS ouvert dans Chrome si vous êtes déjà connecté).

 

 

Se connecter à la console d’AWS

 

  1. Dans le champ IAM user name, saisissez vmware_hol_user.
  2. Saisissez ou copiez le mot de passe de la page des informations de compte.
  3. Cliquez sur le bouton Sign In.

 

 

 

Effectuer un zoom dans le navigateur

 

Afin d’améliorer la lisibilité des différents écrans de ce laboratoire, il est recommandé de régler le paramètre de zoom dans Google Chrome à au moins 90 %.

  1. Cliquez sur les trois points dans le coin supérieur droit du navigateur pour afficher le menu déroulant.
  2. Cliquez sur - en regard de Zoom pour attribuer la valeur 90%.

 

 

Sélectionner la région

 

Vérifiez que la console a accès aux ressources de la région Californie du Nord.

  1. Cliquez sur le nom de la région à gauche du menu Support en haut à droite.
  2. Sélectionnez US West (N. California).

 

 

Accéder au tableau de bord EC2

 

  1. Cliquez sur Services dans le coin supérieur gauche de la console AWS.
  2. Cliquez sur EC2 sous Compute.

 

 

Accéder aux instances déployées

 

  1. Cliquez sur Instances sous EC2 Dashboard à gauche.

 

 

Vérifier les changements apportés à l’IU

 

  1. Si le message ci-dessus s’affiche, cliquez sur X pour fermer la notification.

 

 

Élargir une colonne

 

  1. Cliquez sur le séparateur de colonne et déplacez-le pour élargir la colonne Name.

 

 

Sélectionner l’instance hol1922-ps-web01

 

  1. Sélectionnez l’instance hol1922-ps-web-01.

 

 

Accéder aux règles entrantes

 

  1. Cliquez sur le lien view inbound rules en bas de l’onglet Description pour cette instance. Cette instance a été configurée avec le groupe de sécurité AWS pour le VPC de calcul.

 

 

Examiner les règles de sécurité AWS configurées

 

La liste des règles applicables à cette instance s’affiche. Les trafics Web et SSH sont autorisés à partir de la console principale du laboratoire (les plages d’adresses IP source peuvent varier). Tous les trafics sont autorisés à l’intérieur de l’environnement de VPC AWS.

 

 

Ouvrir l’onglet des informations de compte

 

  1. Cliquez sur l’onglet des informations de compte dans Google Chrome.

 

 

Rechercher l’adresse URL de la console de gestion d’Azure

 

  1. Cliquez sur l’adresse URL de la console pour ouvrir un nouvel onglet de navigateur et vous connecter à la console de gestion d’Azure (ou cliquez sur l’onglet Azure ouvert dans Chrome si vous êtes déjà connecté).

 

 

Saisir l’adresse e-mail Azure

 

  1. Copiez ou saisissez l’adresse e-mail du compte Azure figurant sur la page des informations de compte.
  2. Cliquez sur Next.

 

 

 

Saisir le mot de passe Azure

 

  1. Copiez ou saisissez le mot de passe du compte Azure figurant sur la page des informations de compte.
  2. Cliquez sur Sign in.

 

 

 

Ne pas rester connecté

 

  1. Si le message suivant s’affiche, cliquez sur No.

 

 

Console de gestion d’Azure

 

La page de la console de gestion d’Azure s’ouvre.

 

 

Cliquer sur Virtual Machines

 

  1. Cliquez sur Virtual machines dans la partie gauche de la console Azure.

 

 

Sélectionner la VM Internet

 

  1. Cliquez sur la machine virtuelle hol1922-ps-web01.

 

 

Cliquer sur Networking

 

  1. Cliquez sur Networking.

 

 

Groupes de sécurité du réseau configurés

 

La liste des règles applicables à cette machine virtuelle s’affiche. Les trafics Web et SSH sont autorisés à partir de la console principale du laboratoire (les plages d’adresses IP source peuvent varier). Le trafic entre les machines virtuelles de l’application est autorisé à l’intérieur de l’environnement de réseau virtuel.

 

Validation de l’application Azure


Un service frontal Internet pour l’application a été déployé par un développeur sur Microsoft Azure. NSX sera utilisé pour protéger cette application dans les leçons suivantes. Nous allons vérifier le fonctionnement de l’application avant le déploiement de NSX.


 

Accéder aux informations de compte

 

  1. Cliquez sur l’onglet des informations de compte précédemment ouvert. Si cet onglet a été fermé, ouvrez un autre onglet et cliquez sur le favori Account Info.

 

 

Rechercher des informations sur l’instance Internet

 

  1. Cliquez sur le lien de l’adresse URL publique de l’instance frontale Internet d’Azure pour ouvrir un nouvel onglet de navigateur et vous connecter à l’application.

 

 

Vérifier le fonctionnement de l’application

 

Vérifiez que l’application fonctionne. L’adresse IP du serveur associé à la page est indiquée. Le service frontal Internet fonctionne et nous pouvons donc tester le reste des composants de l’application :

  1. Cliquez sur App Health.

 

 

Azure App Health

 

Tous les composants de l’application communiquent correctement entre Azure et notre Data Center on premise.

 

Validation de l’application AWS


Un service frontal Internet pour l’application a été déployé par un développeur sur Amazon Web Services. NSX sera utilisé pour protéger cette application dans les leçons suivantes. Nous allons vérifier le fonctionnement de l’application avant le déploiement de NSX.


 

Accéder aux informations de compte

 

  1. Cliquez sur l’onglet des informations de compte précédemment ouvert. Si cet onglet a été fermé, ouvrez un autre onglet et cliquez sur le favori Account Info.

 

 

Rechercher des informations sur l’instance Internet

 

  1. Cliquez sur le lien de l’adresse URL publique de l’instance frontale Internet d’AWS pour ouvrir un nouvel onglet de navigateur et vous connecter à l’application.

 

 

Vérifier le fonctionnement de l’application

 

Vérifiez que l’application fonctionne. L’adresse IP du serveur associé à la page est indiquée. Le service frontal Internet fonctionne et nous pouvons donc tester le reste des composants de l’application :

  1. Cliquez sur App Health.

 

 

AWS App Health

 

Tous les composants de l’application communiquent correctement entre AWS et notre Data Center on premise.

 

Analyser les ports des environnements d’application


Pour simuler une attaque potentielle, nmap a été installé sur la console principale afin d’analyser les ports de l’environnement d’application sur notre Data Center on premise, Amazon Web Services et Microsoft Azure. Nous allons analyser les adresses IP des serveurs Internet frontaux de l’application et des machines virtuelles on premise, puis examiner les ports ouverts.


 

Ouvrir nmap

 

  1. Dans la barre des tâches, cliquez sur l’icône Zenmap nmap.

 

 

Exécuter une analyse nmap sur la plage de sous-réseaux d’adresses IP de l’application on premise

 

  1. Copiez ou saisissez la commande suivante dans le champ Command (supprimez d’abord toute commande affichée dans ce champ).
nmap -p 10-10000 -T5 -Pn --open 192.168.120.11-14
  1. Cliquez sur Scan pour lancer l’analyse.

Pour accélérer l’analyse et réduire les nuisances, l’outil d’analyse nmap utilise les options suivantes :

  • -p 10-10000 pour analyser les 10 000 premiers ports
  • -Pn pour désactiver les vérifications ping
  • -T5 pour activer le modèle temporel le plus rapide
  • --open pour afficher uniquement les ports ouverts ou potentiellement ouverts
  • 192.168.120.11-14 pour analyser uniquement une plage limitée d’adresses IP

 

 

Résultats de l’analyse sur les VM on premise

 

Nous pouvons observer les résultats suivants pour l’ouverture à tout accès, en plus de l’activation du protocole SSH (port 22) pour toutes les VM :

  • La VM ps-api01a VM (.11) a le port 80 ouvert.
  • La VM ps-db01a VM (.12) a le port 3306 ouvert.
  • La VM ps-redis01a VM (.13) a le port 6379 ouvert.

Cela signifie aussi que l’accès direct à notre service de base de données et Redis est possible depuis n’importe quelle machine virtuelle ou instance. Ce mouvement latéral dans notre environnement est dangereux, offrant une porte d’entrée aux attaques ou abus.

 

 

Exécuter une analyse nmap sur les serveurs Web

 

  1. Saisissez la commande suivante dans le champ Command (notez l’espace entre les adresses IP).
nmap -F -Pn -T5 --open 172.18.10.4 172.15.10.4
  1. Cliquez sur Scan pour lancer l’analyse.

Pour accélérer l’analyse et réduire les nuisances, l’outil d’analyse nmap utilise les options suivantes :

  • -F pour effectuer une analyse rapide sur un nombre réduit de ports
  • -Pn pour désactiver les vérifications ping
  • -T5 pour activer le modèle temporel le plus rapide
  • --open pour afficher uniquement les ports ouverts ou potentiellement ouverts
  • 172.18.10.4 172.15.10.4 pour analyser uniquement deux adresses IP

 

 

Résultats de l’analyse pour les serveurs Web

 

Les deux serveurs Web d’AWS et Azure ont le port 80 ouvert pour tout accès, en plus du protocole SSH (port 22).

 

Conclusion


Voilà qui conclut le Module 2. Nous avons vérifié le bon fonctionnement de l’application dans le Data Center on premise et sur AWS et Azure. En examinant les règles de sécurité appliquées, nous avons découvert que l’application contenait des composants accessibles de manière inutile et sujets à des attaques malveillantes potentielles. Enfin, nous avons utilisé un outil d’analyse sécuritaire courant pour identifier ces ports ouverts et ces accès disponibles.


 

Félicitations, vous avez terminé le module 2

Poursuivez avec le Module 3 : Introduction aux composants de gestion de NSX. Vous pouvez aussi poursuivre avec l’un des autres modules selon le thème qui vous intéresse.

 

Module 3 - Introduction aux composants de gestion NSX (15 minutes)

Introduction


Intégrées à la solution VMware NSX Cloud, des machines virtuelles séparées sont déployées sur notre environnement de Data Center on premise pour prendre en charge l’interface utilisateur de gestion et d’exploitation de la solution. Ces instances sont les suivantes :

  • NSX Cloud Services Manager
  • NSX Manager

NSX Cloud Services Manager gère le cycle de vie complet des composants NSX déployés dans AWS et Azure et fournit une vue unifiée entre NSX Manager et l’inventaire de Cloud public. Les autres fonctions de NSX Cloud Services Manager incluent :

  • Déploiement et mises à niveau de la passerelle NSX Cloud Gateway
  • Mises à niveau de l’agent NSX via la passerelle NSX Cloud Gateway
  • Sauvegarde/restauration

NSX Manager fournit l’interface utilisateur et les API REST pour créer, configurer et surveiller les composants NSX tels que les contrôleurs et les commutateurs logiques NSX. NSX Manager représente le plan de gestion de l’écosystème NSX. Offrant une vision consolidée, il constitue le composant de gestion du réseau centralisée de NSX. Il fournit une méthode pour la surveillance et le dépannage des charges de travail rattachées aux réseaux virtuels créés par NSX. Il permet la configuration et l’orchestration des éléments suivants :

  • Composants de réseau logiques : commutation et routage logiques
  • Services réseau et Edge
  • Services de sécurité et pare-feu distribué

Validation du laboratoire


Les leçons de ce module nécessitent la connectivité avec Microsoft Azure et Amazon Web Services. Nous allons prendre le temps de vérifier cette connectivité, particulièrement si aucun des trois modules précédents n’a été suivi.


 

Le laboratoire doit être à l’état « Ready »

 

Vérifiez que toutes les routines de démarrage ont été exécutées et que le laboratoire est prêt à démarrer. Si l’état affiché est différent de « Ready », patientez quelques minutes.  Si le laboratoire n’est toujours pas à l’état « Ready » au bout de 5 minutes, demandez de l’aide.

Poursuivre alors que le laboratoire n’est pas à l’état « Ready » entraînera un dysfonctionnement.

 

 

Page de l’état du provisionnement du laboratoire

Pour les besoins du laboratoire, les parties d’AWS et d’Azure sont en cours de provisionnement. Dans le cadre du démarrage du laboratoire, une page Web indique l’état des ressources en cours de provisionnement sur AWS et Azure.

REMARQUE : les ressources provisionnées sur Amazon Web Services et Microsoft Azure sont accessibles uniquement depuis la console principale de l’environnement du laboratoire.

Le provisionnement du laboratoire peut prendre entre 10 et 15 minutes.

 

 

Ouvrir Google Chrome

 

  1. Cliquez sur l’icône Chrome dans la barre d’outils Lancement rapide de Windows.

 

 

Page d’accueil des informations de compte

 

La page d’accueil de Chrome a été définie sur la page des informations de compte et de l’état du provisionnement du laboratoire.

  1. Saisissez l’adresse e-mail utilisée pour vous inscrire au laboratoire.
  2. Saisissez VMware1! comme mot de passe.
  3. Cliquez sur Login.

 

 

Fin du provisionnement du laboratoire

 

La page des informations de compte indiquera la fin du provisionnement du laboratoire. Ce processus peut durer entre 10 et 15 minutes. Nous ferons régulièrement référence à cette page dans les modules du laboratoire.

 

Se connecter à NSX Cloud Services Manager


Une des fonctions de NSX Cloud Services Manager est de fournir une vue unifiée de l’inventaire entre NSX et les environnements de Cloud public. Dans cette leçon, nous allons nous connecter à NSX Cloud Services Manager.


 

Ouvrir un nouvel onglet de navigateur

 

  1. Ouvrez un nouvel onglet dans Google Chrome.

 

 

Favori NSX Cloud Services Manager

 

  1. Cliquez sur le favori CSM pour vous connecter à la console NSX Cloud Services Manager.

 

 

Validation du certificat

 

Des sections de cet environnement de laboratoire d’essai en ligne sont créées à la demande. Les certificats ne sont donc pas encore validés. Dans un déploiement de production, un certificat validé serait généré et utilisé pour sécuriser la connectivité. Pour continuer la procédure de connexion :

  1. Cliquez sur Advanced.
  2. Cliquez sur le lien Proceed.

 

 

Se connecter à NSX Cloud Services Manager

 

  1. Dans le champ Username, saisissez admin.
  2. Saisissez VMware1! comme mot de passe.
  3. Cliquez sur Log In.

 

Examiner le compte et l’inventaire AWS configurés


NSX Cloud Service Manager fournit une vue unifiée de l’inventaire de NSX et AWS. Nous allons examiner l’inventaire affiché par NSX Cloud Service Manager et le comparer à l’inventaire d’AWS.


 

Configuration et inventaire de CSM

 

  1. Cliquez sur Clouds.
  2. Cliquez sur AWS.

 

 

Examiner les informations sur le compte AWS

 

Les informations sur le compte AWS ont été configurées dans le gestionnaire de services Cloud. Elles diffèrent en fonction de chaque pod du laboratoire.

 

 

Examiner le nombre de VPC configurés

 

Plusieurs VPC sont configurés dans ce compte AWS, sur les différentes régions.

 

 

Examiner le nombre d’instances configurées

 

Trois instances sont exécutées dans ce compte AWS.

 

 

Cliquer sur VPCs

 

  1. Cliquez sur VPCs.

 

 

Restreindre la vue des VPC

 

  1. Dans le menu déroulant Region, sélectionnez us-west-1 pour restreindre la vue des VPC.

 

 

 

Examiner le VPC

 

Il s’agit du VPC figurant dans l’inventaire AWS abordé au cours des leçons précédentes.

 

 

Confirmer que le VPC n’est pas géré par NSX

 

La section Compute VPC indique l’état « NSX Managed - No ». Plus loin dans ce laboratoire, nous allons déployer les composants NSX de ce VPC pour gérer les instances AWS EC2 exécutées.

 

 

Cliquer sur Instances

 

  1. Cliquez sur Instances.

 

 

Confirmer que les instances ne sont pas gérées par NSX

 

Les instances AWS EC2 de l’application figurant dans l’inventaire AWS s’affichent. Le cercle illustrant l’état NSX n’est pas vert, car les composants NSX n’ont pas été déployés.

 

Examiner le compte et l’inventaire Azure configurés


NSX Cloud Service Manager fournit une vue unifiée de l’inventaire de NSX et Azure. Nous allons vérifier l’inventaire affiché par NSX Cloud Service Manager et le comparer à l’inventaire d’Azure.


 

Configuration et inventaire de CSM

 

  1. Cliquez sur Azure à gauche.

 

 

Examiner les informations sur le compte Azure

 

Les informations sur le compte Azure ont été configurées dans le gestionnaire de services Cloud. Elles diffèrent en fonction de chaque pod du laboratoire.

 

 

Examiner le nombre de réseaux virtuels configurés

 

Un seul réseau virtuel est configuré dans ce compte Azure.

 

 

Examiner le nombre d’instances configurées

 

Trois instances sont exécutées dans ce compte Azure.

 

 

Cliquer sur VNets

 

  1. Cliquez sur VNets.

 

 

Examiner le réseau virtuel

 

Il s’agit du réseau virtuel figurant dans l’inventaire Azure abordé au cours des leçons précédentes.

 

 

Confirmer que le réseau virtuel n’est pas géré par NSX

 

L’état du réseau virtuel indique « NSX Managed - No ». Plus loin dans ce laboratoire, nous allons déployer les composants NSX de ce réseau virtuel pour gérer les machines virtuelles Azure exécutées.

 

 

Cliquer sur Instances

 

  1. Cliquez sur Instances.

 

 

Confirmer que les instances ne sont pas gérées par NSX

 

Les machines virtuelles Azure de l’application figurant dans l’inventaire Azure s’affichent. Le cercle illustrant l’état NSX n’est pas vert, car les composants NSX n’ont pas été déployés.

 

Se connecter à NSX Manager


Plan de gestion centralisé pour la solution, NSX Manager va nous permettre de configurer des règles de sécurité pour notre application, ainsi que de vérifier le déploiement réussi de NSX sur Amazon Web Services et Microsoft Azure. Dans cette leçon, nous allons nous connecter à NSX Manager.


 

Ouvrir un nouvel onglet de navigateur

 

  1. Ouvrez un nouvel onglet dans Google Chrome.

 

 

Favori NSX Manager

 

  1. Cliquez sur le favori NSX Manager pour vous connecter à la console NSX Manager.

 

 

Se connecter à NSX Manager

 

  1. Dans le champ Username, saisissez admin.
  2. Saisissez VMware1! comme mot de passe.
  3. Cliquez sur Log In.

 

Examiner l’interface utilisateur de NSX Manager


Pour préparer la configuration de NSX en vue de la gestion de notre application, nous allons parcourir plusieurs écrans de l’interface utilisateur de NSX Manager pour consulter la configuration actuelle de l’environnement de laboratoire, vérifier le bon fonctionnement de l’infrastructure de gestion de NSX et nous familiariser avec la nouvelle interface HTML5.


 

Cliquer sur Dashboard

 

  1. Cliquez sur Dashboard.

 

 

Nœuds Manager et Controller

 

L’écran Dashboard centralise les informations sur l’état des différents composants du déploiement NSX. Vous pouvez voir globalement les éventuels problèmes liés aux composants, ainsi que des informations telles que le nombre d’équilibreurs de charge, de règles de pare-feu et de sessions VPN.

Pour notre déploiement NSX, nous pouvons voir sous System que les nœuds Manager et Controller sont verts. Cela signifie que nos nœuds NSX Manager et NSX Controller fonctionnent.

Composant du plan de gestion, NSX Manager fournit l’interface utilisateur et les API REST pour créer, configurer et surveiller les composants NSX tels que les contrôleurs, les commutateurs logiques, les règles de pare-feu et les passerelles de services Edge.

Composant du plan de contrôle, NSX Controller sert de solution de gestion avancée de l’état distribué dans notre environnement.

 

 

Examiner l’état du fabric

 

Trois hôtes sont configurés dans le fabric NSX.

 

 

Cliquer sur Switching

 

  1. Cliquez sur Switching à gauche.

 

 

Confirmer la présence d’un commutateur logique dans l’inventaire

 

Un commutateur logique a été créé pour nos VM on premise.

 

 

Cliquer sur le nombre de ports logiques

 

  1. Cliquez sur 4 sous Logical Ports.

 

 

Élargir une colonne

 

1. Cliquez sur l’ajusteur de colonne et déplacez-le pour élargir les colonnes comme souhaité.

 

 

Ports logiques

 

Les quatre ports logiques du commutateur logique LS-VLAN correspondent aux quatre VM d’application déployées on premise.

 

Conclusion


Voilà qui conclut le Module 3. Nous nous sommes connectés à NSX Cloud Services Manager (CSM) qui sert d’interface utilisateur pour les opérations de la solution VMware NSX Cloud. Nous avons aussi examiné les inventaires d’AWS et Azure depuis NSX CSM. Nous nous sommes également connectés à NSX Manager pour examiner l’inventaire des objets NSX et confirmer que seuls les objets par défaut sont présents. Nous avons enfin découvert la nouvelle interface HTML5.


 

Félicitations, vous avez terminé le Module 3

Poursuivez avec le Module 4 sur la protection de l’environnement applicatif avec NSX. Vous pouvez aussi poursuivre avec l’un des autres modules selon le thème qui vous intéresse.

 

Module 4 - Protection des applications de Cloud hybride avec NSX (60 minutes)

Introduction


Protéger l’application sur Amazon Web Services (AWS), Microsoft Azure et le Data Center on premise nécessite des règles de sécurité pour les charges de travail qui seront gérées par NSX. NSX fournit un pare-feu distribué avec des fonctionnalités de regroupement logique pour simplifier la configuration et offrir une cohérence.

Une fois le plan de gestion central (NSX Manager et NSX Cloud Services Manager) et le plan de contrôle central (instances NSX Controller) déployés dans le Data Center on premise, vous devez suivre la procédure suivante pour protéger l’application :

  1. Une passerelle NSX Cloud Gateway est déployée dans chaque environnement de Cloud avec les charges de travail à gérer par NSX.
  2. Un administrateur de Cloud doit créer les réseaux logiques et les règles de sécurité à l’aide de l’interface utilisateur ou des API NSX Manager.
  3. Un administrateur de Cloud doit générer une série de balises dans NSX Cloud Services Manager.
  4. Un développeur doit appliquer les balises à ses charges de travail sur AWS et Azure pour la consommation des règles NSX au moment de la création des instances.
  5. L’agent NSX est installé sur chaque instance AWS et machine virtuelle Azure que devra gérer NSX.

 

Règles de sécurité exigées

 

L’application exige ces règles de sécurité de niveau élevé.

 

Validation du laboratoire


Les leçons de ce module nécessitent la connectivité avec Microsoft Azure et Amazon Web Services. Nous allons prendre le temps de vérifier cette connectivité, particulièrement si aucun des trois modules précédents n’a été suivi.


 

Le laboratoire doit être à l’état « Ready »

 

Vérifiez que toutes les routines de démarrage ont été exécutées et que le laboratoire est prêt à démarrer. Si l’état affiché est différent de « Ready », patientez quelques minutes.  Si le laboratoire n’est toujours pas à l’état « Ready » au bout de 5 minutes, demandez de l’aide.

Poursuivre alors que le laboratoire n’est pas à l’état « Ready » entraînera un dysfonctionnement.

 

 

Page de l’état du provisionnement du laboratoire

Pour les besoins du laboratoire, les parties d’AWS et d’Azure sont en cours de provisionnement. Dans le cadre du démarrage du laboratoire, une page Web indique l’état des ressources en cours de provisionnement sur AWS et Azure.

REMARQUE : les ressources provisionnées sur Amazon Web Services et Microsoft Azure sont accessibles uniquement depuis la console principale de l’environnement du laboratoire.

Le provisionnement du laboratoire peut prendre entre 10 et 15 minutes.

 

 

Ouvrir Google Chrome

 

  1. Cliquez sur l’icône Chrome dans la barre d’outils Lancement rapide de Windows.

 

 

Page d’accueil des informations de compte

 

La page d’accueil de Chrome a été définie sur la page des informations de compte et de l’état du provisionnement du laboratoire.

  1. Saisissez l’adresse e-mail utilisée pour vous inscrire au laboratoire.
  2. Saisissez VMware1! comme mot de passe.
  3. Cliquez sur Login.

 

 

Fin du provisionnement du laboratoire

 

La page des informations de compte indiquera la fin du provisionnement du laboratoire. Ce processus peut durer entre 10 et 15 minutes. Nous ferons régulièrement référence à cette page dans les modules du laboratoire.

 

Vérifier la connectivité du VPN avec les Clouds publics


La connectivité VPN avec AWS et Azure est établie pour ce laboratoire. Nous allons vérifier l’accès à notre frontal Internet via une simple commande ping.

Remarque : en cas d’échec de l’un des tests ping, demandez de l’aide avant de poursuivre le laboratoire.


 

Ouvrir une invite de commande

 

  1. Cliquez sur l’icône d’invite de commande dans la barre d’outils Lancement rapide de Windows.

 

 

Commande ping sur l’instance Internet AWS

 

  1. Saisissez la commande ping suivante pour établir une connectivité avec l’instance frontale Internet AWS :
ping 172.15.10.4

 

 

Connectivité établie avec AWS

 

La connectivité est établie avec AWS si nous recevons des réponses.

 

 

Commande ping sur l’instance Internet Azure

 

  1. Saisissez la commande ping suivante pour établir une connectivité avec l’instance frontale Internet Azure :
ping 172.18.10.4

 

 

Connectivité établie avec Azure

 

La connectivité est établie avec Azure si nous recevons des réponses.

 

Déployer la passerelle NSX Cloud Gateway sur Amazon Web Services


Les composants NSX doivent être déployés pour fournir les règles de sécurité aux instances d’application sur Amazon Web Services. La première étape consiste à déployer la passerelle NSX Cloud Gateway dans le VPC de calcul sur lequel les instances d’application sont déployées.

En tant que nœud de transport Edge sur NSX, la passerelle NSX Cloud Gateway fournit les services suivants dans chaque VPC sur lequel elle est déployée :

  • Plan de contrôle (local) proxy pour les agents NSX
  • Services sans état, par exemple NAT et pare-feu Edge
  • Hébergement et distribution du logiciel de l’agent NSX
  • Interrogation des balises Amazon Web Services

 

Ouvrir Google Chrome

 

  1. Cliquez sur l’icône Chrome dans la barre d’outils Lancement rapide de Windows (ou ouvrez Chrome si le navigateur est en cours d’exécution).

 

 

Ouvrir un nouvel onglet de navigateur

 

  1. Ouvrez un nouvel onglet dans Google Chrome (ou accédez à l’onglet CSM si déjà ouvert).

 

 

Favori NSX Cloud Services Manager

 

  1. Cliquez sur le favori CSM pour vous connecter à la console NSX Cloud Services Manager.

 

 

Validation du certificat

 

Cette étape est ignorée si vous avez suivi le Module 3.

Des sections de ces environnements de laboratoire d’essai en ligne sont créées à la demande ; leurs certificats ne sont donc pas encore validés. Dans un déploiement de production, un certificat validé serait généré et utilisé pour sécuriser la connectivité. Pour continuer la procédure de connexion :

  1. Cliquez sur Advanced.
  2. Cliquez sur le lien Proceed.

 

 

Se connecter à NSX Cloud Services Manager

 

  1. Dans le champ Username, saisissez admin.
  2. Saisissez VMware1! comme mot de passe.
  3. Cliquez sur Log In.

 

 

Sélectionner le compte AWS

 

  1. Cliquez sur Clouds.
  2. Cliquez sur AWS.

 

 

Cliquer sur VPCs

 

  1. Cliquez sur VPCs dans la partie supérieure.

 

 

Restreindre la vue des VPC

 

  1. Dans le menu déroulant Region, sélectionnez us-west-1 pour restreindre la vue des VPC.

 

 

 

Cliquer sur le menu déroulant Actions

 

  1. Cliquez sur Actions dans la section Compute-VPC.
  2. Cliquez sur Deploy NSX Cloud Gateway.

 

 

Définir les paramètres de configuration de la passerelle NSX Cloud Gateway

 

  1. Sélectionnez Private IP.
  2. Cliquez sur PEM File et sélectionnez nsx-management.
  3. Sélectionnez l’option Disabled en regard du champ Quarantine Policy.
  4. Cliquez sur Next.

 

 

Configurer les paramètres de haute disponibilité

 

La passerelle NSX Cloud Gateway est compatible avec un modèle de déploiement de haute disponibilité (HA). Pour des raisons de temps, nous n’allons pas configurer la fonction de haute disponibilité.

  1. Désactivez l’option Enable HA for NSX Cloud Gateway.
  2. Dans le champ Availability Zone, sélectionnez la zone de disponibilité. Remarque : si vous ne sélectionnez pas la zone appropriée, les menus des sous-réseaux des étapes 3 à 5 seront vides.
  3. Dans le champ Uplink Subnet, sélectionnez nsx-uplink-subnet.
  4. Dans le champ Downlink Subnet, sélectionnez nsx-downlink-subnet.
  5. Dans le champ Management Subnet, sélectionnez nsx-mgmt-subnet.
  6. Cliquez sur Deploy.

 

 

Le déploiement de la passerelle NSX Cloud Gateway démarre

 

Le processus de déploiement démarre pour ce VPC. Il peut durer entre 7 à 10 minutes. L’écran de progression du déploiement affiche les actions exécutées au cours du processus.

Le déploiement de la passerelle NSX Cloud Gateway fournit le plan de contrôle local pour les règles NSX de notre VPC, ainsi qu’un emplacement d’installation pour les agents NSX qui seront déployés au cours d’une prochaine leçon.

Passez à la leçon suivante pour configurer les regroupements logiques en attendant la fin du déploiement de la passerelle NSX Cloud Gateway. Nous retournerons ensuite sur NSX Cloud Services Manager pour vérifier que le déploiement s’est bien déroulé.

 

Créer des regroupements logiques


NSX peut exploiter des informations contextuelles sur les charges de travail pour créer des groupes de règles dynamiques. Vous disposez ainsi d’un modèle opérationnel grandement simplifié pour la gestion des règles de sécurité. Dans cette leçon, nous allons examiner les groupes préconfigurés, puis terminer la configuration de certains d’entre eux pour simplifier la gestion des règles.

CSM peut synchroniser les informations sur l’inventaire de Cloud pour extraire les balises appliquées aux charges de travail du Cloud. En règle générale, ces balises sont ajoutées lors du déploiement des instances et machines virtuelles sur AWS et Azure. Le nom de l’application, son niveau, etc. sont des exemples de balise. NSX va également importer des balises d’informations sur l’environnement de Cloud, telles que le nom du VPC ou du réseau virtuel qui peut aussi être utilisé.

Ces balises, ainsi que celles appliquées aux machines virtuelles on premise, seront utilisées pour créer des regroupements logiques dynamiques dans NSX.


 

Ouvrir un nouvel onglet de navigateur

 

  1. Ouvrez un nouvel onglet dans Google Chrome (ou accédez à l’onglet NSX Manager dans Chrome si déjà ouvert).

 

 

Favori NSX Manager

 

  1. Cliquez sur le favori NSX Manager pour vous connecter à la console NSX Manager.

 

 

Se connecter à NSX Manager

 

  1. Dans le champ Username, saisissez admin.
  2. Saisissez VMware1! comme mot de passe.
  3. Cliquez sur Log In.

 

 

Cliquer sur Groups dans le menu Inventory

 

  1. Cliquez sur Inventory.
  2. Cliquez sur Groups.

 

 

Sélectionner des IP Sets

 

1. Cliquez sur IP Sets.

 

 

Modifier les Airport Data

 

1. Sélectionnez Airport Data.

2. Cliquez sur EDIT.

 

 

Ajouter des membres

 

1. Entrez 104.25.0.0/16.

2. Cliquez sur SAVE.

 

 

Sélectionner des groupes

 

1. Cliquez sur Groupes.

 

 

Examiner les groupes créés

 

Pour gagner du temps, plusieurs groupes ont déjà été créés. Nous allons examiner et terminer la configuration de deux de ces groupes.

Ces groupes seront utilisés dans les règles de pare-feu que nous allons créer.

 

 

Examiner le groupe Web

 

  1. Sélectionnez ps-web.
  2. Cliquez sur Edit.

 

 

Adhésion au groupe

 

  1. Cliquez sur Membership Criteria.

Notez que nous utilisons la balise dynamique que NSX recherchera dans l’inventaire de Clouds publics (dis:<cloud>: préfixe sur ces balises) pour AppTier afin d’inclure les machines virtuelles frontales dans ce groupe. Cette même approche est appliquée pour les autres groupes. Ensuite, nous allons terminer la configuration des groupes API et App Isolation.

 

 

Cliquer sur Cancel

 

  1. Cliquez sur Cancel.

 

 

Modifier le groupe API

 

  1. Sélectionnez ps-api (vérifiez que le groupe ps-web n’est pas sélectionné).
  2. Cliquez sur Edit.

 

 

Critères d’adhésion basés sur la balise identifiée

 

Les machines virtuelles qui s’exécutent sur le Data Center on premise sont déjà associées à des balises. Nous allons les utiliser pour terminer la configuration de ce groupe.

  1. Cliquez sur Membership Criteria.
  2. Cliquez sur Criteria.
  3. Sélectionnez Virtual Machine.
  4. Sélectionnez Tag.
  5. Sélectionnez Equals.
  6. Saisissez api.
  7. Sélectionnez Equals.
  8. Saisissez AppTier.
  9. Cliquez sur Save.

 

 

Modifier le groupe App Isolation

 

  1. Sélectionnez planespotter-app (vérifiez que le groupe ps-api n’est pas sélectionné).
  2. Cliquez sur Edit.

 

 

Cliquer sur Criteria

 

  1. Cliquez sur Membership Criteria.
  2. Cliquez sur Criteria.

 

 

Toutes les VM associées à une balise Azure

 

La première étape consiste à inclure la machine virtuelle Azure associée à la balise AppName = planespotter.

  1. Sélectionnez Virtual Machine.
  2. Sélectionnez Tag.
  3. Sélectionnez Equals.
  4. Saisissez planespotter.
  5. Sélectionnez Equals.
  6. Saisissez dis:Azure:AppName. (dis = balise identifiée)
  7. Cliquez sur Criteria.

 

 

Toutes les VM associées à une balise AWS

 

Cette étape consiste à inclure l’instance AWS associée à la balise AppName = planespotter.

  1. Sélectionnez Virtual Machine.
  2. Sélectionnez Tag.
  3. Sélectionnez Equals.
  4. Saisissez planespotter.
  5. Sélectionnez Equals.
  6. Saisissez dis:AWS:AppName. (dis = balise identifiée)
  7. Cliquez sur Criteria.

 

 

Toutes les VM associées à une balise NSX

 

Enfin, nous allons inclure toutes les machines virtuelles on premise associées à la balise AppName = planespotter.

  1. Sélectionnez Virtual Machine.
  2. Sélectionnez Tag.
  3. Sélectionnez Equals.
  4. Saisissez planespotter.
  5. Sélectionnez Equals.
  6. Saisissez AppName.
  7. Cliquez sur Save.

 

 

Retourner à NSX Cloud Services Manager

 

  1. Cliquez sur l’onglet NSX Cloud Services Manager dans Google Chrome ouvert précédemment. Remarque : l’ordre des onglets de navigateur peut différer si vous avez suivi les modules précédents.

 

 

Le déploiement de la passerelle NSX Cloud Gateway est terminé

 

  1. Cliquez sur Finish une fois le déploiement terminé.

 

 

Le VPC de calcul est géré par NSX

 

La section Compute-VPC indique désormais que le VPC est géré par NSX et qu’une passerelle NSX Cloud Gateway est déployée. Nous allons à présent déployer la passerelle NSX Cloud Gateway sur Azure.

 

Déployer la passerelle NSX Cloud Gateway sur Azure


Les composants NSX doivent être déployés pour fournir les règles de sécurité aux machines virtuelles d’application sur Microsoft Azure. La première étape consiste à déployer la passerelle NSX Cloud Gateway dans le réseau virtuel de calcul sur lequel les machines virtuelles d’application sont déployées.

En tant que nœud de transport Edge sur NSX, la passerelle NSX Cloud Gateway fournit les services suivants dans chaque réseau virtuel sur lequel elle est déployée :

  • Plan de contrôle (local) proxy pour les agents NSX
  • Services sans état, par exemple NAT et pare-feu Edge
  • Hébergement et distribution du logiciel de l’agent NSX
  • Interrogation des balises Azure

 

Sélectionner Azure

 

  1. Cliquez sur Clouds à gauche.
  2. Cliquez sur Azure à gauche.

 

 

Cliquer sur VNets

 

  1. Cliquez sur VNets.

 

 

Cliquer sur le menu déroulant Actions

 

  1. Cliquez sur Actions.
  2. Cliquez sur Deploy NSX Cloud Gateway.

 

 

Définir les paramètres de configuration de la passerelle NSX Cloud Gateway

 

  1. Copiez la clé publique SSH située en bas de la page des informations de compte (copiez les trois lignes).
  2. Laissez le champ Quarantine Policy avec l’option Disabled.
  3. Dans le champ Local Storage Account, sélectionnez un compte disponible (une seule option possible).
  4. Cliquez sur Advanced.

 

 

Paramètres avancés

 

  1. Sélectionnez l’option Override Public Cloud Provider’s DNS Server.
  2. Saisissez 192.168.110.10.
  3. Cliquez sur Next.

 

 

Configurer les paramètres de haute disponibilité

 

La passerelle NSX Cloud Gateway est compatible avec un modèle de déploiement de haute disponibilité (HA). Pour des raisons de temps, nous n’allons pas configurer la fonction de haute disponibilité.

  1. Désactivez l’option Enable HA for NSX Cloud Gateway.
  2. Dans le champ Uplink Subnet, sélectionnez nsx-uplink-subnet.
  3. Dans le champ Downlink Subnet, sélectionnez nsx-downlink-subnet.
  4. Dans le champ Management Subnet, sélectionnez nsx-mgmt-subnet.
  5. Dans le champ Public IP on Mgmt NIC, sélectionnez Allocate new IP.
  6. Cliquez sur Deploy.

 

 

Le déploiement de la passerelle NSX Cloud Gateway démarre

 

Le processus de déploiement démarre pour ce réseau virtuel. Il peut durer entre 7 à 10 minutes. L’écran de progression du déploiement affiche les actions exécutées au cours du processus.

Le déploiement de la passerelle NSX Cloud Gateway fournit le plan de contrôle local pour les règles NSX de notre réseau virtuel, ainsi qu’un emplacement d’installation pour les agents NSX qui seront déployés au cours d’une prochaine leçon.

Passez à la leçon suivante pour configurer les règles de pare-feu en attendant la fin du déploiement de la passerelle NSX Cloud Gateway. Nous retournerons ensuite sur NSX Cloud Services Manager pour vérifier que le déploiement s’est bien déroulé.

 

Activer les règles de pare-feu


NSX peut créer des règles de sécurité qui s’appuient sur la nature dynamique des environnements de Cloud. Vous disposez ainsi d’un modèle de déploiement rationalisé et plus cohérent d’un point de vue opérationnel pour les règles de sécurité.


 

Passer à l’onglet NSX Manager

 

  1. Cliquez sur l’onglet NSX Manager dans Google Chrome ouvert précédemment. Remarque : l’ordre des onglets de navigateur peut différer si vous avez suivi les modules précédents.

 

 

Cliquer sur Firewall

 

  1. Cliquez sur Firewall dans la partie gauche.

 

 

Modifier le paramètre de zoom du navigateur

 

  1. Cliquez sur les trois points dans l’angle supérieur droit.
  2. Appliquez le paramètre de zoom 80% pour améliorer la lisibilité des règles.

 

 

Examiner les règles configurées

 

Pour gagner du temps, les règles de sécurité qui permettent le fonctionnement de l’application ont été précréées. Nous allons examiner rapidement quelques points avant d’activer ces règles.

 

 

Isolation des applications

 

  1. Cliquez sur Applied To:.

Notez que le groupe planespotter-app configuré précédemment est utilisé. Cette section de pare-feu sera alors appliquée uniquement à ces machines virtuelles, ce qui nous permet d’isoler cette application du reste de l’environnement.

 

 

Fermer la fenêtre

 

  1. Cliquez sur X pour fermer la fenêtre.

 

 

Groupes source et de destination

 

Les groupes dont nous avons examiné et terminé la configuration précédemment sont utilisés comme source et destination pour notre application, rendant les règles plus dynamiques et plus simples à gérer.

 

 

Services liés au trafic

 

Des services sont préconfigurés dans NSX pour simplifier la sélection des types de trafic requis. Nous utilisons aussi un service personnalisé pour le port HTTP 8080.

 

 

Journalisation activée

 

La journalisation a été activée pour toutes les règles et les journaux sont envoyés à l’instance Log Insight.

 

 

Règle de refus global

 

La règle de refus global finale a la valeur Drop pour ignorer tous les trafics que nous n’avons pas explicitement autorisés (vous devrez faire défiler la page).

 

 

Activer toutes les règles

 

  1. Cliquez sur les trois points en regard de planespotter-app-isolation dans la partie supérieure.
  2. Cliquez sur Enable All Rules.

 

 

Cliquer sur Publish pour enregistrer les règles

 

  1. Revenez en haut et cliquez sur Publish pour enregistrer les règles.

Les règles de sécurité sont désormais activées pour l’application.

Nous avons utilisé les groupes créés précédemment pour simplifier la configuration de la source, de la destination et du pare-feu.

Nous allons à présent retourner sur NSX Cloud Services Manager pour vérifier la progression du déploiement de la passerelle NSX Cloud Gateway.

 

 

Retourner à NSX Cloud Services Manager

 

  1. Cliquez sur l’onglet NSX Cloud Services Manager dans Google Chrome ouvert précédemment. Remarque : l’ordre des onglets de navigateur peut différer si vous avez suivi les modules précédents.

 

 

Le déploiement de la passerelle NSX Cloud Gateway est terminé

 

  1. Cliquez sur Finish une fois le déploiement terminé. Cette opération peut prendre quelques minutes supplémentaires.

 

 

Le réseau virtuel est géré par NSX

 

La section HOL1922-VPN-vNET indique désormais que le réseau virtuel est géré par NSX et qu’une passerelle NSX Cloud Gateway est déployée.

 

Appliquer des balises à l’application AWS


Des balises spécifiques à NSX sont utilisées pour indiquer si l’interface réseau de l’instance EC2 doit être « rattachée » de manière logique dans NSX. Lors du rattachement, des règles de sécurité sont intégrées. Avant d’activer l’agent NSX sur l’instance frontale Web, nous allons configurer une balise.


 

Accéder à la console de gestion d’AWS

 

  1. Cliquez sur l’onglet des informations de compte précédemment ouvert. Si cet onglet a été fermé, ouvrez un autre onglet et cliquez sur le favori Account Info.

 

 

Rechercher l’adresse URL de la console de gestion d’AWS

 

  1. Cliquez sur l’adresse URL de la console pour ouvrir un nouvel onglet du navigateur et vous connecter à la console de gestion d’AWS.

 

 

Se connecter à la console d’AWS

 

  1. Dans le champ IAM user name, saisissez vmware_hol_user.
  2. Saisissez ou copiez le mot de passe de la page des informations de compte.
  3. Cliquez sur le bouton Sign In.

 

 

 

Sélectionner la région

 

Vérifiez que la console a accès aux ressources de la région Californie du Nord.

  1. Cliquez sur le nom de la région à gauche du menu Support en haut à droite.
  2. Sélectionnez US West (N. California).

 

 

Accéder aux instances EC2

 

  1. Cliquez sur Services dans le coin supérieur gauche de la console AWS.
  2. Cliquez sur EC2 sous Compute.

 

 

Cliquer sur Instances

 

  1. Cliquez sur Instances dans le menu de gauche.

 

 

Vérifier les changements apportés à l’IU

 

  1. Si le message ci-dessus s’affiche, cliquez sur X pour fermer la notification.

 

 

Élargir une colonne

 

  1. Cliquez sur le séparateur de colonne et déplacez-le pour élargir la colonne Name.

 

 

Sélectionner l’instance Web

 

  1. Sélectionnez hol1922-ps-web01.

 

 

Cliquer sur l’onglet Tags pour cette instance

 

  1. Cliquez sur l’onglet Tags sous la liste des instances EC2.
  2. Cliquez sur Add/Edit Tags.

 

 

Cliquer sur Create Tag

 

  1. Cliquez sur Create Tag.
  2. Dans la colonne Key, saisissez nsx:network.
  3. Dans la colonne Value, saisissez default. (Remarque : n’utilisez pas le groupe DEFAULT-nsx-compute-security-group qui peut s’afficher automatiquement)
  4. Cliquez sur Save.

 

 

Résumé

Nous avons appliqué la balise spécifique à NSX à l’instance frontale Web. Une fois l’agent NSX déployé, cette balise va « rattacher » l’instance au commutateur logique NSX par défaut créé lors du déploiement de la passerelle NSX Cloud Gateway. Des règles de sécurité seront aussi appliquées à cette instance.

 

Appliquer des balises à l’application Azure


Des balises spécifiques à NSX sont utilisées pour indiquer si l’interface réseau des machines virtuelle doit être « rattachée » de manière logique dans NSX. Lors du rattachement, des règles de sécurité sont intégrées. Avant d’activer l’agent NSX sur l’instance frontale Web, nous allons configurer une balise.


 

Accéder au portail Azure

 

  1. Cliquez sur l’onglet des informations de compte précédemment ouvert. Si cet onglet a été fermé, ouvrez un autre onglet et cliquez sur le favori Account Info.

 

 

Rechercher l’adresse URL du portail Azure

 

  1. Cliquez sur l’adresse URL de la console pour ouvrir un nouvel onglet du navigateur et vous connecter à la console de gestion d’Azure.

 

 

Saisir l’adresse e-mail Azure

 

  1. Copiez ou saisissez l’adresse e-mail du compte Azure figurant sur la page des informations de compte.
  2. Cliquez sur Next.

 

 

 

Saisir le mot de passe Azure

 

  1. Copiez ou saisissez le mot de passe du compte Azure figurant sur la page des informations de compte.
  2. Cliquez sur Sign in.

 

 

 

Ne pas rester connecté

 

  1. Si le message suivant s’affiche, cliquez sur No.

 

 

Console de gestion d’Azure

 

La page de la console de gestion d’Azure s’ouvre.

 

 

Cliquer sur Virtual Machines

 

  1. Cliquez sur Virtual Machines à gauche.

 

 

Cliquer sur la VM Web

 

  1. Cliquez sur hol1922-ps-web01.

 

 

Cliquer sur Change en regard de Tags

 

  1. Cliquez sur le lien change en regard du champ Tags à droite.

 

 

Saisir les informations sur la balise

 

  1. Dans le champ Nom, saisissez nsx.network. (Remarque : dans Azure, la virgule est remplacée par un point)
  2. Dans la colonne Value, saisissez default.
  3. Cliquez sur Save.

 

 

Résumé

Nous avons appliqué la balise spécifique à NSX à la VM frontale Web. Une fois l’agent NSX déployé, cette balise va « rattacher » la machine virtuelle au commutateur logique NSX par défaut créé lors du déploiement de la passerelle NSX Cloud Gateway. Des règles de sécurité seront aussi appliquées à cette machine virtuelle.

 

Installation de l’agent NSX sur des environnements de Cloud public


Pour la suite du processus de sécurisation des services frontaux Web, l’agent NSX doit être déployé. Cet agent intègre des fonctions de plan de données à chaque instance Amazon Web Services ou machine virtuelle Microsoft Azure sur lequel il est installé. Ces fonctions incluent :

  • Moteur d’application du pare-feu distribué
  • Terminal de tunnel pour le réseau de superposition

Il est recommandé d’intégrer l’agent aux images « maître » utilisées dans l’environnement de Cloud public d’une entreprise. Il peut aussi être installé dans des instances déployées existantes selon diverses méthodes d’automatisation.

L’agent NSX va être déployé sur chacun des services frontaux Web via un script. Nous allons présenter la procédure dans Azure où vous pourrez voir l’emplacement du script d’installation et la commande à exécuter. Pour AWS, nous allons présenter une approche automatisée selon laquelle un seul script est exécuté pour réaliser l’installation.


 

Ouvrir PuTTY dans la console principale

 

  1. Cliquez sur l’icône PuTTY dans la barre d’outils Lancement rapide de Windows.

 

 

Rechercher le service frontal Web Azure

 

  1. Sélectionnez ps-web01a-azure.
  2. Cliquez sur Load.
  3. Cliquez sur Open.

 

 

Mot de passe

 

  1. Saisissez VMware1!VMware1! comme mot de passe.

 

 

Retourner à NSX Cloud Services Manager

 

  1. Cliquez sur l’onglet NSX Cloud Services Manager dans Google Chrome ouvert précédemment. Remarque : l’ordre des onglets de navigateur peut différer si vous avez suivi les modules précédents.

 

 

Sélectionner Azure

 

  1. Cliquez sur Clouds.
  2. Cliquez sur Azure.

 

 

Cliquer sur VNets

 

  1. Cliquez sur VNets.

 

 

Modifier le paramètre de zoom du navigateur

 

  1. Cliquez sur les trois points dans l’angle supérieur droit.
  2. Dans le champ Zoom, définissez la valeur 75%.

 

 

Cliquer sur VNets

 

  1. Cliquez à l’intérieur de la zone VNet pour sélectionner le réseau virtuel.

 

 

Copier l’emplacement du script d’installation

 

  1. Cliquez sur Agent Download & Installation pour développer la section.
  2. Copiez l’adresse affichée dans le champ Linux Download Location.

 

 

Coller l’emplacement

 

Revenez à PuTTY.

  1. Saisissez wget suivi d’un espace.
  2. Collez l’emplacement de téléchargement dans la fenêtre PuTTY précédemment ouverte en cliquant avec le bouton droit à l’intérieur de cette fenêtre PuTTY.
  3. Appuyez sur Entrée.

 

 

Téléchargement du script

 

Le script d’installation a été téléchargé.

 

 

Commande Coller à partir de CSM

 

  1. Copiez l’entrée du champ Installation Command Linux à partir de l’onglet CSM.

 

 

Commande d’installation de l’agent

 

  1. Collez la valeur du champ Installation Command dans la fenêtre PuTTY précédemment ouverte en cliquant avec le bouton droit à l’intérieur de cette fenêtre PuTTY.
  2. Appuyez sur Entrée pour lancer l’installation de l’agent.

 

 

Fin de l’installation de l’agent

 

L’installation de l’agent NSX peut prendre entre 3 et 5 minutes.

 

 

Nouvelle session PuTTY

 

  1. Cliquez sur l’icône PuTTY dans le coin supérieur gauche pour ouvrir une session PuTTY.
  2. Sélectionnez New Session.

 

 

Rechercher l’instance frontale Web AWS

 

  1. Sélectionnez ps-web01a-aws.
  2. Cliquez sur Load.
  3. Cliquez sur Open.

 

 

Vérifier la connexion

 

Lorsque vous vous connectez pour la première fois à l’instance, une fenêtre de confirmation s’affiche pour vérifier la connexion.

  1. Cliquez sur Yes.

 

 

Installer l’agent NSX

 

  1. Saisissez la commande suivante pour lancer le script d’installation de l’agent NSX qui regroupe les étapes d’installation :
./install_agent.sh

 

 

L’agent NSX est désormais installé

 

L’installation de l’agent NSX peut prendre entre 3 et 5 minutes.

 

 

Modifier le paramètre de zoom du navigateur

 

  1. Cliquez sur les trois points dans l’angle supérieur droit.
  2. Dans le champ Zoom, définissez la valeur 90% ou 100%.

 

Valider le déploiement de NSX


Après avoir déployé les composants NSX dans le VPC de calcul, nous allons aborder la configuration de NSX dans NSX Manager et NSX Cloud Services Manager pour vérifier le fonctionnement.


 

Passer à l’onglet NSX Manager

 

  1. Cliquez sur l’onglet NSX Manager dans Google Chrome ouvert précédemment. Remarque : l’ordre des onglets de navigateur peut différer si vous avez suivi les modules précédents. Dans le champ Username, saisissez admin et dans le champ Password, saisissez VMware1! si la session a expiré.

 

 

Cliquer sur Fabric

 

  1. Cliquez sur Fabric à gauche.

 

 

Cliquer sur Edges

 

  1. Cliquez sur Edges dans la partie supérieure.

 

 

Élargir une colonne

 

  1. Cliquez sur le séparateur de colonne et déplacez-le pour élargir la colonne.

 

 

Nœuds Edge nouvellement créés

 

Deux nœuds Edge ont été créés, un pour chaque Cloud public.

Remarque : les noms Edge diffèrent dans chaque laboratoire.

 

 

Cliquer sur Transport Nodes

 

  1. Cliquez sur Transport Nodes dans la partie supérieure.

 

 

Élargir une colonne

 

  1. Cliquez sur le séparateur de colonne et déplacez-le pour élargir la colonne.

 

 

Nœuds de transport nouvellement créés

 

Deux nouveaux nœuds de transport ont été créés (les passerelles Cloud nouvellement déployées). Ils viennent s’ajouter aux trois hôtes ESX déjà configurés comme nœuds de transport NSX dans le Data Center on premise.

 

 

Cliquer sur Switching

 

  1. Cliquez sur Switching à gauche.

 

 

Élargir une colonne

 

  1. Cliquez sur le séparateur de colonne et déplacez-le pour élargir la colonne.

 

 

Modifications de l’inventaire de commutateurs

 

Quatre nouveaux commutateurs logiques ont été créés (un commutateur logique VLAN et un commutateur logique de superposition pour chacun des Clouds publics).

 

 

Ports logiques

 

Les instances de Cloud public et les machines virtuelles sont connectées aux commutateurs VLAN par défaut dans chaque Cloud.

 

 

Cliquer sur Groups sous Inventory

 

  1. Cliquez sur Inventory.
  2. Cliquez sur Groups.

 

 

Cliquer sur le groupe planespotter-app

 

  1. Cliquez sur planespotter-app.

 

 

Adhésion au groupe

 

Le groupe planespotter-app contient six machines virtuelles comme membres effectifs.

  1. Cliquez sur 6 en regard du champ Virtual Machine.

 

 

Les instances d’application apparaissent comme membres

 

  1. Dans le champ Member Objects, sélectionnez Virtual Machine.

Toutes les machines virtuelles on premise et de Cloud public apparaissent.

 

 

Cliquer sur Virtual Machines

 

  1. Cliquez sur Virtual Machines à gauche sous Inventory.

 

 

Inventaire des VM

 

Nous pouvons consulter l’inventaire complet de toutes les instances et machines virtuelles on premise et de Cloud public à partir d’un seul endroit.

  1. Cliquez sur 7 en regard de l’une des machines virtuelles de Cloud public.

 

 

Balises de VM

 

Toutes les balises associées à cette machine virtuelle s’affichent, y compris les balises (définies par l’utilisateur) identifiées et utilisées pour créer les groupes précédemment.

 

 

Retourner à NSX Cloud Services Manager

 

  1. Cliquez sur l’onglet NSX Cloud Services Manager dans Google Chrome ouvert précédemment. Remarque : l’ordre des onglets de navigateur peut différer si vous avez suivi les modules précédents.

 

 

Configuration et inventaire de CSM

 

  1. Cliquez sur Clouds.
  2. Cliquez sur AWS.

 

 

Cliquer sur Accounts

 

  1. Cliquez sur Accounts.

 

 

Resynchroniser le compte

 

Pour accélérer l’actualisation de l’API du tableau bord CSM, nous allons exécuter une resynchronisation forcée de l’inventaire AWS.

  1. Cliquez sur Actions.
  2. Cliquez sur Resync Account.

 

 

Cliquer sur VPCs

 

  1. Cliquez sur VPCs.

 

 

Restreindre la vue des VPC

 

  1. Dans le menu déroulant Region, sélectionnez us-west-1 pour restreindre la vue des VPC.

 

 

 

Cliquer sur Instances

 

  1. Cliquez sur Instances dans la section Compute-VPC.

 

 

Les instances d’application sont gérées par NSX

 

  1. L’instance d’application et la passerelle sont signalées comme gérées par NSX.
  2. Les instances VPN et Rogue ne sont associées à aucune balise AWS ni à aucun agent NSX installé.

 

 

Configuration et inventaire de CSM

 

  1. Cliquez sur Azure à gauche.

 

 

Cliquer sur Accounts

 

  1. Cliquez sur Accounts.

 

 

Resynchroniser le compte

 

Pour accélérer l’actualisation de l’API du tableau bord CSM, nous allons exécuter une resynchronisation forcée de l’inventaire Azure.

  1. Cliquez sur Actions.
  2. Cliquez sur Resync Account.

 

 

Cliquer sur VNets

 

  1. Cliquez sur VNets.

 

 

Cliquer sur la flèche vers la gauche

 

  1. Cliquez sur la flèche vers la gauche.

 

 

Cliquer sur Instances

 

  1. Cliquez sur Instances.

 

 

Les instances d’application sont gérées par NSX

 

  1. L’instance d’application et la passerelle sont signalées comme gérées par NSX.
  2. Les instances VPN et Rogue ne sont associées à aucune balise Azure ni à aucun agent NSX installé.

 

Validation de la fonctionnalité de l’application à l’échelle des environnements multicloud


Avant le déploiement de NSX, l’application exécutée sur Amazon Web Services et Microsoft Azure était accessible via Internet et plusieurs ports inutiles étaient exposés à des attaques potentielles. Dans cette leçon, nous allons à nouveau vérifier la fonctionnalité de l’application et tester la connectivité de base.


 

Accéder aux informations de compte

 

  1. Cliquez sur l’onglet des informations de compte précédemment ouvert. Si cet onglet a été fermé, ouvrez un autre onglet et cliquez sur le favori Account Info.

 

 

Rechercher des informations sur l’instance Web AWS

 

  1. Cliquez sur le lien de l’adresse URL publique de l’instance frontale Web pour ouvrir un nouvel onglet de navigateur et vous connecter à l’application.

 

 

Vérifier le fonctionnement de l’application

 

Vérifiez que l’application fonctionne. L’adresse IP du serveur associé à la page est indiquée. L’instance frontale Web fonctionne et nous pouvons donc tester le reste des composants de l’application :

  1. Cliquez sur App Health.

 

 

AWS App Health

 

Tous les composants de l’application communiquent correctement entre AWS et notre Data Center on premise.

 

 

Accéder aux informations de compte

 

  1. Cliquez sur l’onglet des informations de compte précédemment ouvert. Si cet onglet a été fermé, ouvrez un autre onglet et cliquez sur le favori Account Info.

 

 

Rechercher des informations sur la VM Web Azure

 

  1. Cliquez sur le lien de l’adresse URL publique de l’instance frontale Web pour ouvrir un nouvel onglet de navigateur et vous connecter à l’application.

 

 

Vérifier le fonctionnement de l’application

 

Vérifiez que l’application fonctionne. L’adresse IP du serveur associé à la page est indiquée. L’instance frontale Web fonctionne et nous pouvons donc tester le reste des composants de l’application :

  1. Cliquez sur App Health.

 

 

Azure App Health

 

Tous les composants de l’application communiquent correctement entre Azure et notre Data Center on premise.

 

Effectuer une analyse de sécurité sur les environnements d’application hybrides


Nous allons accéder à nouveau à l’application nmap pour analyser les ports de l’environnement d’application on premise. Nous allons analyser les adresses sur lesquelles les instances d’application sont déployées et examiner les ports ouverts après le déploiement de NSX dans l’environnement afin de vérifier que ceux inutilisés sont bien fermés.


 

Ouvrir nmap

 

  1. Dans la barre des tâches, cliquez sur l’icône Zenmap nmap.

 

 

Exécuter une analyse nmap sur la plage de sous-réseaux d’adresses IP de l’application on premise

 

  1. Saisissez la commande suivante dans le champ Command (supprimez d’abord toute commande affichée dans ce champ).
nmap -p 10-10000 -T5 -Pn --open 192.168.120.11-14
  1. Cliquez sur Scan pour lancer l’analyse.

Pour accélérer l’analyse et réduire les nuisances, l’outil d’analyse nmap utilise les options suivantes :

  • -p 10-10000 pour analyser les 10 000 premiers ports
  • -Pn pour désactiver les vérifications ping
  • -T5 pour activer le modèle temporel le plus rapide
  • --open pour afficher uniquement les ports ouverts ou potentiellement ouverts
  • 192.168.120.11-14 pour analyser uniquement une plage limitée d’adresses IP

 

 

Résultats de l’analyse sur les VM on premise

 

Nous pouvons constater que la stratégie sécuritaire a été améliorée sur nos VM on premise. Conformément aux règles de pare-feu que nous avons définies dans NSX, le seul port désormais accessible aux autres VM est SSH (port 22). Auparavant, tous les ports des VM api, db et redis étaient accessibles par tous.

 

Visibilité sur le trafic


NSX fournit des outils d’exploitation supplémentaires offrant une visibilité sur le flux du trafic à l’intérieur d’un environnement d’application exécuté dans les Clouds publics. Nous allons aborder certaines des fonctionnalités NSX d’agrégation statistiques sur le trafic.


 

Passer à l’onglet NSX Manager

 

  1. Cliquez sur l’onglet NSX Manager dans Google Chrome ouvert précédemment. Remarque : l’ordre des onglets de navigateur peut différer si vous avez suivi les modules précédents. Dans le champ Username, saisissez admin et dans le champ Password, saisissez VMware1! si la session a expiré.

 

 

Modifier le paramètre de zoom du navigateur

 

  1. Cliquez sur les trois points dans l’angle supérieur droit.
  2. Appliquez le paramètre de zoom 80% pour améliorer la lisibilité des étapes suivantes.

 

 

Cliquer sur Firewall

 

  1. Cliquez sur Firewall dans la partie gauche.

 

 

Statistiques du pare-feu

 

  1. Cliquez sur l’icône Flow Statistics à droite sur la ligne de la première règle de pare-feu.

 

 

Statistiques sur le flux

 

Les paquets, les octets et le nombre de sessions s’affichent pour cette règle.

 

 

Cliquer sur Switching

 

  1. Cliquez sur Switching à gauche.

 

 

Cliquer sur Ports

 

  1. Cliquez sur Ports.

 

 

Cliquer sur le premier port de VM

 

Ici nous pouvons voir tous les ports du commutateur logique NSX, en plus du port de liaison montante. Le nom des ports correspond au nom de la machine virtuelle ou de la fonction associée.

  1. Cliquez sur la première ligne de la colonne Logical Port contenant le préfixe « Cloud ». Il s’agit de l’une des machines virtuelles frontales Web exécutées dans le Cloud public.

 

 

Cliquer sur Monitor

 

Des informations supplémentaires sont disponibles sur ce port.

  1. Cliquez sur Monitor.

 

 

Statistiques sur le port

 

NSX fournit des statistiques sur le trafic de cette machine virtuelle frontale Web exécutée dans le Cloud public. NSX peut aussi effectuer le suivi de ces statistiques dans le temps.

  1. Cliquez sur Begin Tracking. Un nouvel onglet de navigateur s’ouvre alors.

 

 

Suivi des ports

 

Un nouvel onglet s’ouvre avec le suivi du port. Attendez quelques instants l’actualisation de la page.

 

Syslog


NSX permet de consigner toutes les règles de pare-feu sur le serveur syslog de votre choix. Toutes les règles de pare-feu configurées sont paramétrées pour la consignation dans syslog (vRealize Log Insight). Notre environnement on premise est configuré pour envoyer tous les journaux au serveur syslog.

Nous allons activer la journalisation à partir des déploiements NSX dans le Cloud public et consulter les journaux dans vRealize Log Insight. La première étape consiste à définir la destination syslog sur la passerelle. La seconde, à activer la journalisation pour les agents. Ces étapes seront exécutées pour les deux Clouds publics déployés.


 

Nouvelle session PuTTY

 

  1. Cliquez sur l’icône PuTTY dans le coin supérieur gauche pour ouvrir une session PuTTY.
  2. Sélectionnez New Session.

 

 

Rechercher l’instance NSX Manager

 

  1. Cliquez sur nsxmgr-01a.corp.local.
  2. Cliquez sur Load.
  3. Cliquez sur Open.

 

 

Saisir le mot de passe

 

  1. Saisissez VMware1! comme mot de passe.

 

 

Saisir On ?

 

  1. Saisissez on ? pour afficher une liste et les informations sur la première passerelle.

 

 

Copier-coller l’identifiant UUID de la première passerelle PCG après « on »

 

  1. Copiez le premier identifiant UUID PCG en le sélectionnant.
  2. Cliquez avec le bouton droit sur la fenêtre PuTTY pour coller l’identifiant après « on ».
  3. Appuyez sur la barre d’espace pour ajouter un espace à la fin (n’appuyez pas sur Entrée).

 

 

Exécuter la commande

 

  1. Exécutez la commande en collant la commande suivante à la fin et en appuyant sur Entrée.
exec set logging-server 192.168.110.24 proto udp level info messageid FIREWALL-PKTLOG

 

 

La journalisation est configurée

 

La journalisation est désormais configurée sur la première passerelle.

 

 

Saisir On ?

 

  1. Saisissez on ? pour afficher une liste et les informations sur la première passerelle.

 

 

Copier-coller l’identifiant UUID de la première passerelle PCG après « on »

 

  1. Copiez le premier identifiant UUID PCG en le sélectionnant.
  2. Cliquez avec le bouton droit sur la fenêtre PuTTY pour coller l’identifiant après « on ».
  3. Appuyez sur la barre d’espace pour ajouter un espace à la fin (n’appuyez pas sur Entrée).

 

 

Exécuter la commande

 

  1. Exécutez la commande en collant la commande suivante à la fin et en appuyant sur Entrée.
exec set gw-controller vm-log-forwarding enabled

 

 

La journalisation de l’agent est configurée

 

La journalisation est désormais configurée sur l’agent connecté à la première passerelle.

 

 

Saisir On ?

 

  1. Saisissez on ? pour afficher une liste et les informations sur la deuxième passerelle.

 

 

Copier-coller l’identifiant UUID de la deuxième passerelle PCG après « on »

 

  1. Copiez le deuxième identifiant UUID PCG en le sélectionnant.
  2. Cliquez avec le bouton droit sur la fenêtre PuTTY pour coller l’identifiant après « on ».
  3. Appuyez sur la barre d’espace pour ajouter un espace à la fin (n’appuyez pas sur Entrée).

 

 

Exécuter la commande

 

  1. Exécutez la commande en collant la commande suivante à la fin et en appuyant sur Entrée.
exec set logging-server 192.168.110.24 proto udp level info messageid FIREWALL-PKTLOG

 

 

La journalisation est configurée

 

La journalisation est désormais configurée sur la deuxième passerelle.

 

 

Saisir On ?

 

  1. Saisissez on ? pour afficher une liste et les informations sur la deuxième passerelle.

 

 

Copier-coller l’identifiant UUID de la deuxième passerelle PCG après « on »

 

  1. Copiez le premier identifiant UUID PCG en le sélectionnant.
  2. Cliquez avec le bouton droit sur la fenêtre PuTTY pour coller l’identifiant après « on ».
  3. Appuyez sur la barre d’espace pour ajouter un espace à la fin (n’appuyez pas sur Entrée).

 

 

Exécuter la commande

 

  1. Exécutez la commande en collant la commande suivante à la fin et en appuyant sur Entrée.
exec set gw-controller vm-log-forwarding enabled

 

 

La journalisation de l’agent est configurée

 

La journalisation de l’agent est désormais configurée sur la deuxième passerelle.

 

 

Ouvrir les onglets de l’application

 

  1. Cliquez sur chacun des onglets d’application ouverts et actualisez les deux pages pour générer du trafic (utilisez les liens de la page des informations de compte si ces onglets sont fermés).

 

 

Ouvrir un nouvel onglet de navigateur

 

  1. Ouvrez un nouvel onglet dans Google Chrome.

 

 

Cliquer sur le favori Log Insight

 

  1. Cliquez sur le favori Log Insight.

 

 

Se connecter à Log Insight

 

  1. Dans le champ User name, saisissez admin.
  2. Saisissez VMware1! comme mot de passe.
  3. Cliquez sur Login.

 

 

Log Insight

 

La page de présentation générale s’affiche.

 

 

Sélectionner le trafic du pare-feu distribué NSX

 

  1. Cliquez sur VMware - NSX-T.
  2. Cliquez sur NSX - Distributed Firewall - Traffic.

 

 

Trafic du pare-feu distribué

 

Les principaux ports et sources/destinations du pare-feu s’affichent, ainsi que les VM frontales Web.

Remarque : si aucune donnée ne s’affiche, générez davantage de trafic sur les pages Web d’application ou attribuez la valeur « Latest hour of data » au paramètre « Latest 5 minutes of data ».

 

 

Analyse interactive

 

  1. Passez la souris sur la section Top Firewall Sources et cliquez sur l’icône Interactive Analysis.

 

 

Ajouter un filtre

 

  1. Cliquez sur Add Filter.

 

 

Ajouter un filtre sur l’agent NSX

 

  1. Saisissez vmw_nsxt_subcomp.
  2. Sélectionnez contains.
  3. Saisissez nsx-agent.
  4. Cliquez sur la loupe.

 

 

Entrée d’agent

 

Nous pouvons observer les entrées associées aux agents NSX.

 

Conclusion


Voilà qui conclut le Module 4 et le laboratoire d’essai en ligne. L’application qui a été déployée sur notre environnement de Cloud hybride est désormais protégée grâce à l’installation des composants NSX sur Amazon Web Services et Microsoft Azure et à l’application de règles de sécurité cohérentes aux instances de l’application. Nous avons aussi abordé les options de visibilité et de journalisation.


 

Félicitations, vous avez terminé le Module 4 et le laboratoire d’essai en ligne !

Suivez les instructions à la fin de cette leçon pour terminer le laboratoire. Vous pouvez aussi poursuivre avec l’un des autres modules selon le thème qui vous intéresse.

 

 

Comment terminer le laboratoire

 

Pour terminer votre laboratoire, cliquez sur le bouton END.  

 

Conclusion

Merci d’avoir participé aux laboratoires d’essai en ligne VMware. Visitez le site http://hol.vmware.com/ pour poursuivre ce laboratoire en ligne.

SKU du laboratoire: HOL-1922-01-NET

Version: 20190313-170624