3 Réseau Le réseau costitue u aspect essetiel d u eviroemet virtuel ESX. Il est doc importat de compredre la techologie, y compris ses différets composats et leur coopératio. Das ce chapitre, ous étudios les différets élémets du réseau au sei de la plateforme ESX, aisi que leur cofiguratio et leur mise e place. 3.1 Différeces etre ESX 3.5 et ESXi 3.5 au iveau du réseau Le réseau présete des limitatios, mais il est pas toujours facile de les compredre car sa prise e charge das ESXi et das ESX diffère. Solutio Cette sectio récapitule les différeces etre les deux versios. Discussio ESX 3.5 et ESXi 3.5 partaget certaies foctioalités, mais diffèret de maière importate. VMware a publié u article (1003345) das sa base de coaissaces qui décrit les différeces de prise e charge du réseau das ces deux produits et ous les examios brièvemet das cette sectio. Il est importat de compredre ces différeces afi d éviter les coflits lors de la cofiguratio de l eviroemet. Voici les poits pricipaux : Par défaut, ESX 3.5 et ESXi 3.5 preet tous deux e charge CPD (Cisco Discovery Protocol), mais seul ESX 3.5 vous permet de le cofigurer de sorte que les iformatios cocerat le NIC, ou vmic das le jargo VMware, remotet vers les commutateurs. ESXi 3.5 offre pas cette foctioalité. 2010 Pearso Educatio Frace VMware par l'exemple Rya Troy, Matthew Helmke
94 VMware par l exemple Das ESX 3.5, les trames jumbo sot prises e charge das l ivité (la machie virtuelle) et das la pile TCP/IP du oyau. E revache, das ESXi, les trames jumbo e sot dispoibles que das l ivité (la machie virtuelle). La techologie NetQueue, qui permet d utiliser l Etheret à 10 Gb das les eviroemets virtuels, est uiquemet recoue par ESX 3.5 et est doc pas dispoible avec ESXi 3.5. Ces limitatios de la versio ESXi disparaîtrot probablemet avec so évolutio. 3.2 Cofigurer des ports réseau et u pare-feu ESX Vous souhaitez idetifier les ports utilisés par les services d ESX et les ouvrir pour que le trafic associé puisse passer. Solutio Cosultez et examiez les ports et leurs foctios das l eviroemet. Discussio Les coexios au serveur ESX par l itermédiaire de vceter, de SSH ou du Web se fot e utilisat des ports précis. Das ESX, la plupart des commuicatios passet par les ports suivats. Puisqu il est impossible de les modifier, vous devez vérifier qu ils sot ouverts sur votre pare-feu : Port 902. vceter Server utilise ce port pour evoyer des doées aux serveurs dot il assure la gestio. Le processus e écoute (vmware-authd) sur le serveur ESX pred e charge le flux du trafic. Port 903. Le cliet vceter et le cliet web utiliset ce port pour offrir des services souris-clavier-écra à partir de la machie virtuelle jusqu à l utilisateur fial via TCP/IP. Ce port pred égalemet e charge toutes les iteractios avec la machie virtuelle lors des accès par la cosole das le cliet vceter ou le Web. Port 443. Les cliets vceter, les cliets web et le SDK utiliset ce port pour trasmettre des doées à u serveur ESX géré par vceter Server. Il est égalemet employé lors des coexios directes au serveur ESX, sas passer par vceter Server. Les cliets se coectet au serveur ESX par l itermédiaire de l istace de Tomcat ou du SDK, et le processus e écoute sur le serveur ESX (vmware-hostd) gère le trafic. 2010 Pearso Educatio Frace VMware par l'exemple Rya Troy, Matthew Helmke
Chapitre 3 Réseau 95 Pour les commuicatios qui coceret la haute dispoibilité, les migratios, le cloage ou VMotio etre plusieurs serveurs ESX, il est importat que les ports suivats soiet ouverts afi que le trafic puisse circuler sas difficulté etre la source et la destiatio : le port 443 pour la migratio des serveurs et le provisioemet ; les ports 2050 à 2250 et 8042 à 8045 pour la haute dispoibilité ; le port 8000 pour VMotio. Afi qu aucu service e reste ouvert par iadvertace et pour éviter tout risque de sécurité, aucu port est ouvert par défaut sur le pare-feu lors de l istallatio d ESX. Vous devez le cofigurer pour ouvrir les ports metioés, aisi que ceux des services exécutés sur les ivités, comme les services web, le DNS, etc. Au Chapitre 6, ous verros commet gérer le pare-feu d ESX depuis la lige de commade et commet éumérer les ports dispoibles avec esxcfg-firewall. Das cette sectio, ous examios les foctioalités du pare-feu à partir du cliet vceter. Il propose quelques foctioalités supplémetaires itéressates, otammet la possibilité de lier le démarrage et l arrêt des services à l ouverture et à la fermeture des ports. Les modificatios effectuées depuis la lige de commade e bééficiet pas de cette possibilité. Voici commet cofigurer le pare-feu et les services : 1. Ouvrez ue sessio das vceter Server et sélectioez le serveur das l ivetaire. 2. Activez l oglet CONFIGURATION das le volet de droite et cliquez sur SECURITY PROFILE. La liste des services et des ports apparaît das le volet de droite (voir Figure 3.1). Figure 3.1 Affichage des services et des ports du pare-feu. 2010 Pearso Educatio Frace VMware par l'exemple Rya Troy, Matthew Helmke
96 VMware par l exemple 3. Cliquez sur le lie PROPERTIES das le coi supérieur droit de maière à ouvrir la feêtre Firewall Properties. À partir de là, vous pouvez ouvrir u port sur le pare-feu e cochat la case e regard du service (voir Figure 3.2). Figure 3.2 L écra de cofiguratio des services et des ports. 4. Pour activer le démarrage et l arrêt automatique d u service, sélectioez celui-ci et cliquez sur le bouto OPTIONS (das le coi iférieur droit de la Figure 3.2). La liste des services qui preet e charge ces optios est affichée, comme SSH et NTP. Par exemple, la Figure 3.3 motre les optios dispoibles pour SSH. Tous les services e proposet pas ces trois optios et ils sot mois ombreux das ESXi que das ESX. Voici les optios cofigurables pour le service SSH sous ESX : "Start automatically if ay ports are ope, ad stop whe all ports are closed". Le service démarre automatiquemet lorsqu u port est ouvert et s arrête dès qu ils sot fermés. Pour de ombreux services, comme NTP et SSH, il s agit de l optio activée par défaut. VMware coseille de la sélectioer. "Start ad stop with host". Le service démarre immédiatemet après l exécutio des scripts de démarrage de l hôte et reste actif jusqu à l exécutio des scripts 2010 Pearso Educatio Frace VMware par l'exemple Rya Troy, Matthew Helmke
Chapitre 3 Réseau 97 Figure 3.3 Les optios pour le service SSH. d arrêt, même si vous fermez les ports sur le pare-feu. Cette optio peut coduire à u petit retard lorsque le service est utilisé pour u trafic d arrière-pla de routie, comme NTP, et si so port est ouvert après le démarrage de l hôte. E revache, après l ouverture du port, la coexio trasmet les doées. "Start ad stop maually". L hôte ESX e tete pas de démarrer et d arrêter automatiquemet les services. Par exemple, NTP peut e pas être lacé lors de la réiitialisatio du système, mais si vous le démarrez mauellemet et si le port requis est idiqué das la liste REMOTE ACCESS, le pare-feu ouvre automatiquemet le port. 3.3 Créer u vswitch pour des machies virtuelles U vswitch est écessaire pour que vos machies virtuelles puisset iteragir avec le réseau physique. Solutio Utilisez vceter pour costruire u réseau simple ou complexe pour vos machies virtuelles. Discussio U vswitch, ou commutateur virtuel, se comporte comme u commutateur physique. Il détecte automatiquemet les machies virtuelles coectées et dirige le trafic vers les autres machies virtuelles e utilisat le VMkerel ou vers le réseau physique e utilisat u port Etheret physique (parfois appelé "port uplik"). Chaque adaptateur uplik 2010 Pearso Educatio Frace VMware par l'exemple Rya Troy, Matthew Helmke
98 VMware par l exemple ou physique utilise u port sur le vswitch. E utilisat des commutateurs virtuels, vous pouvez combier plusieurs adaptateurs réseau, équilibrer le trafic, faciliter le basculemet de port réseau et isoler le trafic réseau. U seul serveur ESX peut disposer, au maximum, de 127 vswitch. U seul vswitch possède, par défaut, 56 ports logiques, mais il est possible de le cofigurer avec 1 016 ports. Ue seule machie virtuelle utilisera u port sur le vswitch. U port logique d u vswitch est égalemet membre d u groupe de ports, sujet sur lequel ous reviedros ultérieuremet. Si vous avez choisi les valeurs par défaut stadard au cours de l istallatio d ESX, le vswitch iitial et les iterfaces vswif ot déjà été créés pour vous. Pour créer u vswitch et cofigurer ses propriétés, procédez de la maière suivate : 1. Ouvrez ue sessio das vceter Server et sélectioez le serveur à cofigurer das l ivetaire. 2. Activez l oglet CONFIGURATION das le volet de droite et cliquez sur NETWORKING. Les cofiguratios réseau actuelles sot affichées. Cliquez sur le lie ADD NETWOR- KING pour créer u ouveau commutateur virtuel. 3. Trois optios sot présetées. Coservez l optio par défaut, "Virtual Machie", qui permet d ajouter u réseau libellé pour le trafic de la machie virtuelle (voir Figure 3.4). Cliquez sur NEXT. Figure 3.4 Choix du type de réseau. 4. Cochez la case "Create a virtual switch" (voir Figure 3.5). Il est possible de créer u ouveau vswitch avec ou sas adaptateur Etheret affecté à ce commutateur. Si le vswitch est cofiguré sas adaptateur réseau, tout le trafic reste cofié à ce commutateur virtuel. Le trafic de chaque machie virtuelle sur le même commutateur est isolé du trafic des autres machies virtuelles et vswitch. Si le vswitch est cofiguré avec u adaptateur Etheret, il commuique avec les autres hôtes physiques ou machies virtuelles sur so réseau. Toutefois, il peut être isolé des autres réseaux e utilisat les balises de VLAN. Cliquez sur NEXT. 2010 Pearso Educatio Frace VMware par l'exemple Rya Troy, Matthew Helmke
Chapitre 3 Réseau 99 Figure 3.5 Créatio d u ouveau vswitch pour vmic3. 5. La sectio PORT GROUP PROPERTIES permet de libeller le réseau (voir Figure 3.6). Ce libellé sert à idetifier le réseau et sera utilisé par la machie virtuelle pour s associer à ce réseau. Si vous utilisez des VLAN sur le réseau physique, vous pouvez égalemet idiquer u idetifiat de VLAN allat de 1 à 4 094. Ce champ est gééralemet vide, mais, e cas de doute, cosultez votre admiistrateur réseau. Cliquez sur NEXT. Figure 3.6 Saisie des propriétés du ouveau vswitch. 6. Après avoir cofiguré le vswitch, cliquez sur FINISH de maière à le créer. Le ouveau commutateur virtuel peut à préset être utilisé. 3.4 Supprimer u vswitch Vous souhaitez supprimer u vswitch précédemmet cofiguré. Solutio Utilisez vceter pour supprimer le vswitch. 2010 Pearso Educatio Frace VMware par l'exemple Rya Troy, Matthew Helmke
100 VMware par l exemple Discussio Grâce à vceter, la suppressio d u vswitch est simple, mais cette opératio peut iterrompre votre réseau. Vous devez doc predre certaies précautios avat de supprimer u vswitch auquel des machies virtuelles sot attachées. Ces machies virtuelles doivet être déplacées sur u autre vswitch de maière à coserver leur coexio au réseau physique. Voici commet supprimer u vswitch e utilisat vceter : 1. Ouvrez ue sessio das vceter Server et sélectioez le serveur à cofigurer das l ivetaire. 2. Activez l oglet CONFIGURATION das le volet de droite et cliquez sur NETWORKING. 3. Tous les commutateurs virtuels cofigurés sot affichés. Repérez le vswitch à supprimer et cliquez sur le lie REMOVE, situé au-dessus (voir Figure 3.7). Figure 3.7 Lie de suppressio d u vswitch. 4. Ue boîte de dialogue apparaît afi que vous cofirmiez la suppressio du vswitch. Cliquez sur OUI. Nous l avos metioé précédemmet, les machies virtuelles coectées à ce vswitch risquet de perdre leur coexio au réseau physique. 3.5 Ajouter VMotio pour la migratio de machies virtuelles Vous souhaitez activer VMotio afi que des machies virtuelles puisset être déplacées sur u autre serveur ESX. Solutio Utilisez vceter pour créer u vswitch associé à u port VMkerel et pour activer VMotio. Discussio VMotio vous permet de déplacer des machies virtuelles etre des hôtes ESX sas arrêter ces machies virtuelles ou les hôtes ESX. Cette opératio, que l o omme migratio, utilise u port VMkerel. Au Chapitre 2, ous avos brièvemet examié les ports VMkerel au cours de leur cofiguratio pour les échages iscsi et NFS. ESX3 utilise u port VMkerel pour 2010 Pearso Educatio Frace VMware par l'exemple Rya Troy, Matthew Helmke
Chapitre 3 Réseau 101 gérer le trafic réseau lié à l iscsi logicielle, à VMotio et à NFS, car ces techologies se fodet sur le réseau et peuvet partager le même VMkerel. Néamois, vous pouvez tout à fait cofigurer u port VMkerel sas prise e charge de VMotio. Par ailleurs, certaies restrictios architecturales doivet être prises e compte pour que VMotio foctioe : VMotio est coçu pour ue migratio etre des hôtes ESX équivalets. Les processeurs doivet être compatibles et la migratio e peut pas avoir lieu etre des processeurs AMD et Itel. E gééral, le port VMkerel sur lequel VMotio est cofiguré se trouvera sur u réseau isolé de tout autre trafic. Cela permet de garatir la totale dispoibilité du réseau pedat la migratio. Les ports VMkerel peuvet être cofigurés das vceter ou depuis la lige de commade. Nous motros commet utiliser vceter. Si vous avez lu les sectios du Chapitre 2 qui coceret la cofiguratio de NFS et d iscsi, vous remarquerez que les étapes suivates sot comparables, mais qu elles ajoutet l utilisatio de VMotio : 1. Ouvrez ue sessio das vceter Server et sélectioez le serveur à cofigurer das l ivetaire. 2. Activez l oglet CONFIGURATION das le volet de droite et cliquez sur NETWORKING. Les cofiguratios réseau existates sot affichées. Cliquez sur le lie ADD NETWOR- KING pour créer u ouveau commutateur virtuel. 3. Trois optios sot présetées. Sélectioez l optio VMKERNEL, qui permet d ajouter u port VMkerel pour la prise e charge du trafic TCP/IP lié à VMotio, NFS ou iscsi (voir Figure 3.8). Cliquez sur NEXT. Figure 3.8 Créatio d u ouveau port VMkerel. 4. Cochez la case "Create a virtual switch" et sélectioez le vmic qui sera utilisé pour le trafic VMotio. Les détails de la cofiguratio sot présetés das la sectio PREVIEW (voir Figure 3.9). Cliquez sur NEXT. 2010 Pearso Educatio Frace VMware par l'exemple Rya Troy, Matthew Helmke