Embed Size (px)
Citation preview
1
VMWare NSX
Sommaire
VMWare NSX ...................................................................................................................................1
Déploiement de VMWare NSX 6.2 ...................................................................................................2
NSX, qu’est-ce que c’est ? .............................................................................................................2
Informations sur le déploiement ...................................................................................................3
Déploiement de NSX Manager .....................................................................................................5
Créer son premier réseau avec VMWare NSX .............................................................................. 17
Schéma réseau :........................................................................................................................... 18
Préparation de NSX : .................................................................................................................. 19
Test de la configuration : ............................................................................................................ 33
Routage OSPF et relais DHCP avec VMWare NSX 6.2 ................................................................ 37
Schéma réseau :........................................................................................................................... 37
Création du routeur logique : ..................................................................................................... 38
2
Déploiement de VMWare NSX 6.2 par Nicolas Simond | 23/05/2016 |
Bonjour à tous,
Ayant un peu de temps libre dernièrement j’ai décidé de me lancer dans une nouvelle technologie qui traine depuis un moment dans mes bibliothèques de logiciels. Aujourd’hui on va parler de VMWare NSX et plus particulièrement de son déploiement.
La documentation qui est existe est complète mais, je me suis aperçu que personne n’avait jamais expliqué ça de façon simple, les « experts » VMWare se contentent de copy/paste une documentation pratiquement imbuvable. J’ai donc fait une version simple du bordel.
NSX, qu’est-ce que c’est ?
Dans une optique de simplification à l’extrême je vais vous lancer la phrase suivante cash :
C’est un environnement logiciel complet pour virtualiser votre réseau de la couche OSI 2 à la couche OSI 7 (réseau basé sur un modèle IP).
Oui, j’ai dit virtualiser, remontez sur votre chaise, c’est pas un gros mot. Si vous voulez une vidéo explicative un peu plus imagée et un peu plus marketing qui reste toujours dans le simple, je vous propose ceci :
Comme vous le savez, j’aime pas m’étendre 250 ans sur des termes techniques.
Même si la technologie est complexe et que les experts vmware se feront une joie de vous pondre un pavé de 250 page pour chaque bout de menu caché dans le manager de NSX que je compte bien vous montrer comment déployer la bête en moins de 3000 mots et surtout de façon simple, claire et en restant techniquement juste ce qui n’est pas toujours facile en simplifiant.
Attention quand même, si mes articles reste accessible on parle quand même d’une technologie de niche et de pointe, encore peu documentée et utilisée, n’espérez pas faire un déploiement de NSX fonctionnel si vous n’avez pas de très bonnes connaissances de base en réseau et avec les différents produits Vmware.
3
Informations sur le déploiement
Bon, chez moi pour les tests j’ai utilisé 2 HP Proliant DL360 (Gen5 et Gen6), c’est très light, NSX à été développé dans l’idée d’infrastructures bien plus conséquentes mais, c’est pour faire du proof of concept et du labo, donc 38Ghz et 48Go de ram près à en découdre suffiront.
Attention, accrochez vous à votre siège voici les configurations requises pour les différents modules de NSX :
Et voici le workflow de déploiement de NSX en version textuelle :
Le processus commence par le déploiement d’un modèle NSX Manager OVF/OVA et la vérification que NSX Manager dispose d’une connectivité complète aux interfaces de gestion des hôtes ESX qu’il va gérer. Ensuite, NSX Manager et une instance vCenter doivent être liés réciproquement par un processus d’enregistrement.
Cela permet ensuite le déploiement d’un cluster de contrôleurs NSX. Les contrôleurs NSX, à l’instar de NSX Manager, s’exécutent sous forme de dispositifs virtuels sur des hôtes ESX.
L’étape suivante consiste à préparer les hôtes ESX pour NSX en y installant plusieurs VIB. Ces VIB activent la fonctionnalité VXLAN de couche 2, un routage distribué et la fonctionnalité Distributed Firewall. Après la configuration de VXLAN, la spécification de plages d’interface réseau virtuelle (VNI) et la création de zones de transport, vous pouvez construire votre topologie de superposition NSX.
4
Si vous avez un peu peur avec les différents termes utilisés je vous ai fait un petit glossaire à ma sauce pour simplifier le bordel :
• NSX Manager : Le vCenter du NSX • vCenter : Centre de contrôle permettant entre autre la gestion d’une flotte
d’hyperviseur vmware depuis une console centrale. • OVF/OVA : Machine virtuelle exporté au format open virtualization (tar.gz des
fichiers de config d’une vm et de ses composants) • Contrôleurs NSX : Petites instances de calculs qui fournissent la puissance nécessaire
pour gérer votre réseau virtualisé. • VIB : Le package .deb de vmware (dans l’idée) • VXlan = Vlan virtualisée made in NSX (dans l’idée)
5
Déploiement de NSX Manager
Déployez le fichier OVA de NSX Manager (VMware-NSX-Manager-6.2.0-2986609.ova chez moi) sur un de vos ESX.
Personnellement j’ai gardé l’habitude de déployé mes OVA avec le client VMWare (j’ai encore un peu de mal avec les lenteurs du web client fini à la pisse à flash) :
6
Rentrez les informations d’administration et les adresses réseaux de la machine :
Et attendez le déploiement tranquillement :
Ensuite, lancez la machine virtuelle, laissez lui le temps pour démarrer car, elle configure ses services et génère ses clés privées.
Si vous souhaitez vous connecter en CLI au manager NSX, faites attention, en 2015, VMWare n’a toujours pas jugé bon de proposer le choix d’un clavier autre que celui US, ce qui n’est pas incroyablement pratique pour rentrer le mot de passe à la première connexion.
Connectez-vous directement au client web en utilisant les mots de passe fournis lors du déploiement :
7
Cliquez sur Manage vCenter Registration :
8
Ensuite, connectez le SSO et le vCenter à NSX (j’ai un SSO intégré à vCenter) :
Maintenant, reconnectez-vous au vCenter et attribuez votre licence au système NSX :
9
Créez vos Distributed Switch et vos groupes de ports depuis l’interface :
10
Une fois vos Dswitch créés, ajoutez vos hôtes ESXi depuis l’interface en faisant un clic-droit
sur DSwitch :
11
12
Dans mon cas, j’ajoute mes deux ESXi :
Bon, maintenant ça se complique.
Prenez bien le temps de lire les options, faites attentions et ne faites rien si vous n’êtes pas sûr de ce que vous faite, on va en reparler tout de suite après mais, vous pourriez coucher votre vCenter et le réseau de toutes vos vms en cas de mauvaise manipulation.
Dans un premier temps, assigné des adaptateurs réseaux LIBRES si possible (pas comme moi quoi) au Dswitch que vous venez de créer, sans cela, aucune communication avec
13
l’extérieur ne sera possible :
Maintenant, choisissez les adaptateurs VMkernel que vous souhaitez réassigner aux Dswitchs.
Faites très attention, ça va couper la connectivité réseau de tout ce qui se trouve dessus !!!
14
Pour la migration des VMs faites attentions aussi, ne migrez pas le vCenter ou un de ses composants sur un réseau séparé si vous ne voulez pas tout faire péter !
Personnellement, j’ai migré toutes mes VMs et tout reste connecter au réseau lan pour l’instant, c’est juste que je passe maintenant par un groupe de port relié sur un DSwitch en place du Vswitch traditionnel.
Une fois que vous avez préparer toutes les opérations, validez vos changements.
Vous pouvez maintenant ajouter vos contrôleurs. Vos contrôleurs doivent pouvoir communiquer avec votre manager qui doit pouvoir communiquer avec votre vCenter !
Pour ce faire, allez dans Networking & Security :
15
Allez dans Installation, Nœuds de contrôleur NSX et cliquez sur le petit plus vert pour ajouter votre premier contrôleur :
Rentrez toutes les informations demandées :
Une fois le premier contrôleur maitre déployé, déployé en un sur chaque hôte esxi de votre cluster (vous devez déployer 3 contrôleurs minimum).
16
En
Laissez les contrôleurs installer les VIB nécessaires sur les hôtes :
Pas de redémarrage nécessaire !
Et voila, le déploiement de base est terminé.
Je referais d’autres articles sur les différents composants qui viennent après le déploiement vu
que la techno me plait bien
En bonus, voici la consommation de base du cluster :
17
Créer son premier réseau avec VMWare NSX par Nicolas Simond | 11/06/2016 |
Bonjour à tous,
Dans la continuité de mon article sur le déploiement de NSX 6.2 j’ai décidé de vous faire un petit article sur le déploiement d’un premier réseau sous VMWare NSX 6.2 toujours.
J’ai pas mal cogité sur la suite que je voulais donner à mes articles sur NSX et je me suis dit que j’allais faire des cas concrets plutôt que des how-to basiques sur la configuration des switchs, pare-feu et autres …
Comme pour le dernier article, j’ai fait une version simple et accessible du bordel. Il faudra quand même avoir de solides compétences en VMWare / Réseaux pour comprendre ce qui va se faire dans la suite de l’article.
18
Schéma réseau :
On va commencer par le commencement.
Un NSX Edge (que vous pouvez apparenter à une distribution type pfsense) qui servira de routeur entre Internet, deux lan et une DMZ.
Dans d’autres articles on s’amusera à ajouter des routeurs, des nsx edges et monter des liaisons vpn mais, on va commencer simple
19
Préparation de NSX :
Dans la continuité du précédent article, il reste deux-trois choses à faire pour avoir un réseau virtuel fonctionnel.
Dans un premier temps, vous allez devoir configurer la mise en réseau VXLAN.
Pour information (source : doc d’installation de nsx 6.2) :
Le réseau VXLAN est utilisé pour la commutation logique de couche 2 entre hôtes, couvrant potentiellement plusieurs domaines de couche 3 sous-jacents. Vous configurez VXLAN par cluster, c’est-à-dire que vous mappez chaque cluster devant participer à NSX à un vSphere Distributed Switch (VDS).
Lorsque vous mappez un cluster à un commutateur distribué, chaque hôte de ce cluster est activé pour les commutateurs logiques. Les paramètres choisis ici seront utilisés lors de la création de l’interface VMkernel.
Si vous avez besoin d’un routage et d’une commutation logiques, des paramètres de transport VXLAN doivent être configurés sur tous les clusters dans lesquels des NSX VIB sont installés sur les hôtes. Si vous prévoyez de déployer uniquement un pare-feu distribué, vous n’avez pas besoin de configurer les paramètres du transport VXLAN.
Et comme on va utiliser du routage et de la commutation logique, on va devoir configurer ces paramètres.
Rendez-vous dans Networking & Security -> Installation -> Préparation de l’hôte -> Actions -> Configurer VXLAN :
20
Créez le VXLAN avec le DSwitch précédemment créer :
Laissez ensuite la configuration se faire :
21
Maintenant, on va ajouter un NSX Edge en mode Edge Services Gateway.
Pour faire simple, c’est un peu le pfsense/ipfire de NSX qui va gérer votre routage, le pare-feu, le DHCP et d’autres services sur votre réseau.
Pour ce faire, allez dans NSX Edges et cliquez sur la petite croix verte :
Sélectionnez le mode Edge Services Gateway :
Renseignez un mot de passe d’administration :
22
Choisissez le centre de données où l’instance sera déployée :
23
Ajoutez une première interface qui sera le lien avec Internet.
Ça sera une interface de type Liaison montante et vous devrez la connectée au DportGroup créer dans l’article précédent :
Maintenant, créez tous vos réseaux internes. Déconnectés les car, nous n’avons pas encore créé les vSwitchs pour ces réseaux :
24
Voici mes interfaces à la fin de la configuration :
25
Renseignez la passerelle par défaut pour accéder à Internet sur le vNIC internet (votre liaison montante) :
Configurez le pare-feu et sa stratégie par défaut. J’ai choisi de refuser tout le trafic :
26
Vérifiez tous les paramètres et cliquez sur Terminer pour lancer le déploiement de votre ESG :
27
Maintenant, retournez dans la préparation du réseau logique pour créer vos ID de segments qui seront nécessaires pour créer des commutateurs logiques.
Les segments VXLAN sont construits entre des points de terminaison de tunnel VXLAN (VTEP). Un hôte d’hyperviseur est un exemple standard de VTEP. Chaque tunnel VXLAN possède un ID de segment. Vous devez spécifier un pool d’ID de segments pour chaque NSX Manager afin d’isoler le trafic de votre réseau. Si aucun contrôleur NSX n’est déployé dans votre environnement, vous devez également ajouter une plage d’adresses de multidiffusion pour étendre le trafic sur votre réseau et éviter de surcharger une adresse multidiffusion.
N’utilisez ni 239.0.0.0/24 ni 239.128.0.0/24 comme plage d’adresses de multidiffusion, car ces réseaux sont utilisés pour le contrôle de sous-réseau local, ce qui signifie que les commutateurs physiques envoient tout le trafic qui utilise ces adresses.
Installation -> Préparation du réseau logique -> ID Segment -> Modifier :
28
Créez un pool d’ID de segments et une plage de multidiffusion :
Maintenant, créez une zone de transport.
Une zone de transport contrôle quels hôtes un commutateur logique peut atteindre. Elle peut couvrir un ou plusieurs clusters vSphere. Les zones de transport dictent quels clusters et, en conséquence, quelles machines virtuelles peuvent participer à l’utilisation d’un réseau donné.
Pour ce faire, allez dans Zone de transport et cliquez sur la croix verte :
29
Donnez un nom à cette zone de transport et choisissez son mode de réplication puis les clusters à ajouter :
Ajoutez enfin vos commutateurs logiques en allant dans Commutateurs logiques et en cliquant sur la croix verte :
Un commutateur logique NSX reproduit la fonctionnalité de commutation (monodiffusion, multidiffusion et diffusion) dans un environnement virtuel complètement dissocié du matériel sous-jacent.
30
Les commutateurs logiques sont similaires aux VLAN en ce qu’ils fournissent des connexions réseau auxquelles vous pouvez connecter des machines virtuelles.
Donnez un nom au commutateur et indiquez-lui sa zone de transport :
Refaite la manipulation pour chaque lan et dmz que vous souhaitez ajouter :
Maintenant, retournez dans la gestion de votre NSX Edge, cliquez sur Gérer -> Paramètres -> Interfaces et connectez chaque lan au commutateur logique qui lui correspond :
31
Allez ensuite dans DHCP et ajoutez un pool DHCP par LAN, la règle DHCP se créera automatiquement dans le pare-feu :
Vérifiez ensuite que le service DHCP est bien activé :
32
Allez maintenant dans NAT et créez une nouvelle règle SNAT.
Indiquez l’interface connectée à Internet sur le NSX Edge ESG et indiquez son adresse IP dans la source traduite. Mettez any dans la source d’origine.
Cela permettra à toutes vos machines de sortir du réseau avec l’ip du ESG :
33
Maintenant, allez dans le pare-feu et commencez à créer vos règles pour autoriser par exemple les protocoles HTTP/HTTPS et le DNS :
Test de la configuration :
Ajoutez maintenant des machines virtuelles de test sur chaque commutateur logique.
Retournez dans la gestion des commutateurs logiques, sélectionnez-en un et cliquez sur la petite icône pour y ajouter des machines virtuelles :
Sélectionnez des machines de test à ajouter :
34
Sélectionnez ensuite les interfaces réseau où appliquer la configuration :
Maintenant, allez sur cette machine virtuelle, dans mon cas un Ubuntu Live.
Faites un ifconfig dans un premier temps, cela vous permettra de voir si vous prenez le bon DHCP :
35
Ensuite, visitez des sites en HTTP et HTTPS pour voir si la connexion vers l’extérieur est
fonctionnelle
36
Dans un prochain article, on verra le routage OSPF sous NSX
37
Routage OSPF et relais DHCP avec VMWare NSX 6.2 par Nicolas Simond | 16/06/2016 | NSX, Virtualisation | 0 commentaires
(Pas encore de note)
Bonjour à tous,
Dans la continuité de mon article sur la création d’un réseau avec NSX j’ai décidé de vous faire un petit article sur le déploiement du Routage OSPF et du relais DHCP avec NSX 6.2.
Si vous avez suivi les précédents articles que j’ai faits avec NSX, cette partie devrait être relativement simple.
Schéma réseau :
On va rajouter un Routeur NSX Edge sur l’infrastructure que j’ai commencé juste avant.
Ce routeur est nommé NSX Edge – Routeur sur le schéma. Il nous permettra de relier le LAN 3 au reste du réseau.
Le routage OSPF se fera entre ce nouveau routeur et le ESG existant. Le relais DHCP du nouveau routeur permettra aux clients du LAN 3 d’obtenir leurs paramètres DHCP du ESG.
38
Création du routeur logique :
Dans un premier temps, on va créer un nouveau commutateur logique pour le LAN 3.
Allez dans commutateurs logiques et ajoutez en un en cliquant sur la croix verte :
Donnez-lui un nom et ajoutez-le dans la zone de transport de notre cluster :
Maintenant, allez dans NSX Edges et ajoutez-en un :
39
Ajoutez un Routeur logique cette fois-ci étant donné que l’on ne souhaite que la fonction de routage :
Choisissez l’hôte où vous déploierez ce nouvel Edge :
40
Maintenant, connectez l’interface de HA à votre groupe de port et connectez les interfaces LAN 2 et LAN 3.
LAN 2 sera une liaison montante et LAN 3 sera une interface interne :
41
Configurez l’interface par défaut :
42
Laissez ensuite le vCenter déployer ce nouvel Edge :
Allez maintenant dans la configuration de votre ESG et activez l’ECMP et configurez l’id de routeur :
43
Maintenant, activez le routage OSPF et créez une nouvelle zone (Une zone définit l’étendue maximale des échanges OSPF) et ajoutez-la sur une interface :
Créez d’abord le nouvel id de zone, 1 par exemple pour moi :
44
Créez ensuite la nouvelle zone de mappage d’interface avec le vNIC LAN2 et la zone fraîchement créée :
Maintenant, terminez la configuration OSPF en activant le protocole sur le routeur :
45
N’oubliez pas de publier les modifications à chaque fois !
Refaite la même configuration sur votre nouveau routeur logique :
46
Lors de l’activation de l’OSFP il vous sera demandé deux paramètres supplémentaires :
• L’adresse de protocole doit être une adresse ip libre sur le réseau de votre liaison montante.
• L’adresse de transfert doit être l’adresse ip du vNIC de votre liaison montante.
Maintenant, allez dans relais DHCP et ajoutez l’adresse IP de l’ESG dans les adresses IP des serveurs relais et ajoutez le vNIC du LAN 3 dans les agents relais :
Sélectionnez simplement le vNIC et la passerelle :
47
Maintenant, créez un nouveau pool DHCP sur l’ESG :
48
Connectez une machine virtuelle sur le LAN 3 et regardez si elle prend bien les paramètres IP
:
Ensuite, faites un petit traceroute pour voir si vous passez bien par tous les routeurs
