Configurer le réseau pour les utilisateurs

Tour d’horizon de la configuration du réseau pour les Utilisateurs

Les personnes qui utilisent une infrastructure cloud ont une variété de besoins et préférences quand ils font appel aux services réseaux fournis par le cloud. En tant qu’administrateur CloudStack, vous pouvez faire les choses suivantes pour configurer le réseau pour vos utilisateurs :

  • Configurer les réseaux physiques dans les zones

  • Configurer plusieurs fournisseurs différents pour le même servicesur un seul réseau physique (par exemple à la fois des parefeus Cisco et Juniper)

  • Regrouper différents types de services réseaux dans des offres réseaux, afin que les utilisateurs puissent choisir les services réseaux désirés pour n’importe quelle machine virtuelle.

  • Ajouter de nouvelles offres réseaux au fil de l’eau afin que les utilisateurs finaux puissent évoluer vers de meilleurs classe de service sur leur réseau

  • Fournir à un utilisateur plusieurs façons d’accéder à un réseau, par exemple via un projet auquel l’utilisateur est un membre

A propos des réseaux virtuels

Un réseau virtuel est une construction logique qui active plusieurs allocations sur un seul réseau physique. Dans CloudStack un réseau virtuel peut être partagé ou isolé.

Réseaux isolés

Un réseau isolé peut être accédé seulement par les machines virtuelles d’un seul compte. Les réseaux isolés ont les propriétés suivantes.

  • Les ressources comme les VLAN sont alloués et recyclés dynamiquement

  • Il y a une offre réseau pour le réseau entier

  • L’offre réseau peut être amélioré ou rétrogradé mais pour le réseau entier

Pour plus d’information, voir “Configurer le Trafic Invité dans une Zone Avancée”.

Réseaux partagés

Un réseau partagé peut être accédé par les machines virtuelles qui appartiennent à pleins de comptes différents. L’isolation du réseau dans les réseaux partagés est obtenue en utilisant des techniques comme les groupes de sécurité, qui sont supportés seulement dans les zones Basiques dans CloudStack 3.0.3 et versions ultérieures.

  • Les Réseaux Partagés sont créés par l’administrateur

  • Les Réseaux Partagés peuvent être désignés pour un domaine particulier

  • Les ressources d’un Réseau Partagé comme les VLAN et le réseau physique qui lui est attaché sont désignés par l’administrateur

  • Les Réseaux Partagés peuvent être isolés par les groupes de sécurité

  • Le Réseau Public est un réseau partagé qui n’est pas affiché aux utilisateurs finaux.

  • Le NAT source par zone n’est pas supporté dans un Réseau Partagé quand le fournisseur de service est un routeur virtuel. Toutefois, le NAT source par compte est supporté. Pour plus d’information, voir “Configurer un Réseau Partagé Invité”.

L’allocation à chaud de Ressources de Réseau Virtuel

Quand vous définissez un nouveau réseau virtuel, tous vos paramètres pour ce réseau sont stockés dans CloudStack. Les ressources du réseau actuel sont activées seulement lorsque la première machine virtuelle dans le réseau démarre. Quand toutes les machines virtuelles ont quittés le réseau virtuel, les ressources du réseau sont récupérés et recyclée afin de pouvoir être à nouveau allouée. Cela aide à conserver les ressources réseaux.

Fournisseurs de service réseau

Note

Pour la liste la plus à jour des fournisseurs de services réseaux supportés, voir l’interface CloudStack ou appeler listNetworkServiceProviders.

Un fournisseur de service (aussi appelé un élément réseau) est un matériel ou une appliance virtuelle qui rend le service réseau possible ; par exemple, une appliance de parefeu peut être installé dans le cloud pour fournir un service de parefeu. Sur un seul réseau, plusieurs fournisseurs peuvent fournir le même service réseau. Par exemple, un service de parefeu peut être fourni par des périphériques Cisco ou Juniper dans le même réseau physique.

Vous pouvez avoir plusieurs instances du même fournisseur de service dans un réseau (comprendre plus d’un périphérique Juniper SRX).

Si différents fournisseurs sont configurés pour fournir le même service sur le réseau, les administrateurs peuvent créer des offres réseaux afin que les utilisateurs peuvent spécifier quel fournisseur de service réseau ils préfèrent (en même temps que les autres choix offerts dans les offres réseaux). Autrement, CloudStack va choisir quel fournisseur utiliser chaque fois que le service est appelé.

Fournisseurs de service réseau supportés

CloudStack est livré avec une liste interne des fournisseurs de services supportés, et vous pouvez choisir depuis cette liste lorsque vous créez une offre réseau.

 

Routeur virtuel

Citrix NetScaler Juniper SRX F5 BigIP

Basé sur l’hôte (KVM/Xen)

Accès distant VPN

Oui

Non

Non

Non

Non

DNS/DHCP/Données utilisateur

Oui

Non

Non

Non

Non

Pare-feu

Oui

Non

Oui

Non

Non

Répartition de charge

Oui

Oui

Non

Oui

Non

Elastic IP

Non

Oui

Non

Non

Non

Elastic LB

Non

Oui

Non

Non

Non

Source NAT

Oui

Non

Oui

Non

Non

Static NAT

Oui

Oui

Oui

Non

Non

Port Forwarding

Oui

Non

Oui

Non

Non

Offres réseau

Note

Pour la liste la plus à jour des services réseaux supportés, voir l’interface CloudStack ou appeler listNetworkServices.

Une offre réseau est un nommage pour un ensemble de services réseau, comme :

  • DHCP
  • DNS
  • Source NAT
  • Static NAT
  • Port Forwarding
  • Répartition de charge

  • Pare-feu

  • VPN
  • (Optionel) Nommer un des nombreux fournisseurs disponibles à utiliser pour un service donné, comme Juniper pour le parefeu.

  • (Optionnel) Etiquette réseau pour spécifier quel réseau physique utiliser

Lorsqu’il crée une nouvelle VM, l’utilisateur choisi une des offres réseaux disponibles, et cela détermine quels services réseaux la VM peut utiliser.

L’administrateur CloudStack peut créer autant d’offres réseaux personnalisées en complément des offres réseaux par défaut fournies par CloudStack. En créant plusieurs offres de réseaux personnalisées, vous pouvez configurer votre cloud pour fournir différentes classes de service sur un seul réseau physique. Par exemple, alors que le câblage physique sous-jacent peut être le même pour les deux parties, la partie A peut seulement nécessiter une simple protection par pare-feu de son site, alors que la partie B peut lancer une ferme de serveurs web et nécessiter une solution de pare-feu évolutive, une solution de répartition de charge, et des réseaux alternatifs pour accéder au backend de base de données.

Note

Si vous créez des règles de répartition de charge lors de votre utilisation d’une offre de service réseau qui inclue un périphérique externe de répartition de charge comme un NetScaler, et plus tard changer l’offre de service réseau pour une qui utilise un routeur virtuel CloudStack, vous devrez créer une règle de pare-feu sur le routeur virtuel pour chacune de vos règles de répartition de charge afin qu’il puisse continuer de fonctionner.

Lorsque vous créez un nouveau réseau virtuel, l’administrateur CloudStack choisit quelle offre de réseau activer pour chaque réseau. Chaque réseau virtuel est associé avec une offre de service. Un routeur virtuel peut être amélioré ou rétrogradé en changeant son offre de réseau associé. Si vous faîtes cela, soyez certains de reprogrammer le réseau physique pour correspondre.

CloudStack a aussi des offres de réseaux internes pour les besoins des VMs systèmes CloudStack. Ces offres de réseaux ne sont pas visibles des utilisateurs mais peuvent être modifiées par les administrateurs.

Créer une nouvelle offre de service Réseau

Pour créer une offre de réseau :

  1. Se connecter avec les droits d’administrateur à l’interface CloudStack.

  2. Dans la barre de navigation de gauche, cliquer sur les Offres de Service.

  3. Dans Sélectionner une offre, choisir une offre réseau.

  4. Cliquer sur Ajouter une offre de réseau.

  5. Dans la boîte de dialogue, faire les choix suivants :

    • Nom : N’importe quel nom souhaité pour l’offre de réseau.

    • Description : Une description courte pour l’offre qui peut être affichée aux utilisateurs.

    • Vitesse Réseau : Vitesse de transfert de données autorisée en MB par seconde.

    • Type d’invité. Choisir si le réseau invité est isolé ou partagé.

      Pour une description de ces termes, voir “A propos des Réseaux Virtuels”.

    • Persistent. Indique si le réseau invité est persistent ou pas. Le réseau que vous pouvez provisionner sans avoir à déployer une VM sur celui-ci est appelé réseau persistant. Pour plus d’informations, voir “Réseaux Persistants”.

    • Spécifier un VLAN. (Réseaux invités isolés seulement) Indique si un VLAN peut être spécifié quand cette offre est utilisée. Si vous sélectionnez cette option et plus tard utilisez cette offre réseau lors de la création d’un VPC ou un réseau isolé, vous pourrez spécifier un ID de VLAN pour le réseau que vous créez.

    • VPC. Cette option indique si le réseau invité est activable pour un Cloud Virtuel Privé. Un Cloud Virtuel Privé (VPC) est une partie de CloudStack privée, isolée. Un VPC peut avoir sa propre topologie réseau virtuelle qui ressemble a un réseau privé traditionnel. Pour plus d’informations sur les VPC, voir “A propos des Clouds Privés Virtuels”.

    • Services supportés. Sélectionner un ou plusieurs des services réseaux possibles. Pour certains services, vous devez aussi choisir le fournisseur de service ; par exemple, si vous sélectionnez un Répartiteur de Charge, vous pouvez choisir le routeur virtuel CloudStack ou n’importe quels autres répartiteurs qui ont été configurés dans la cloud. En fonction du service que vous avez choisi, des champs additionnels peuvent apparaître dans le reste de la boîte de dialogue.

      En fonction du type de réseau invité sélectionné, vous pouvez voir les services supportés suivants :

      Services supportés

      Description

      Isolé

      Partagé

      DHCP

      Pour plus d’informations, voir “DNS et DHCP”.

      Supporté

      Supporté

      DNS

      Pour plus d’informations, voir “DNS et DHCP”.

      Supporté

      Supporté

      Répartition de charge

      Si vous choisissez Répartiteur de Charge, vous pouvez choisir le routeur virtuel CloudStack ou n’importe quel répartiteur de charge qui a été configuré dans le cloud.

      Supporté

      Supporté

      Pare-feu

      Pour plus d’informations, voir le Guide d’Administration.

      Supporté

      Supporté

      Source NAT

      Si vous sélectionnez Source NAT, vous pouvez choisir le routeur virtuel CloudStack ou n’importe quel autre fournisseur de Source NAT qui a été configuré dans le cloud.

      Supporté

      Supporté

      Static NAT

      Si vous sélectionnez NAT Statique, vous pouvez choisir le routeur virtuel CloudStack ou n’importe quel autre fournisseur de NAT Statique qui a été configuré dans le cloud.

      Supporté

      Supporté

      Port Forwarding

      Si vous sélectionnez Transmission de Port, vous pouvez choisir le routeur virtuel CloudStack ou n’importe quel fournisseur de Transmission de Port qui a été configuré dans le cloud.

      Supporté

      Non supporté

      VPN

      Pour plus d’informations, voir “Accès distant VPN”.

      Supporté

      Non supporté

      Donnée utilisateur

      Pour plus d’informations, voir “Données et Méta-données utilisateur”.

      Non supporté

      Supporté

      ACL réseau

      Pour plus d’informations, voir “Configurer les Listes de Contrôles d’Accès Réseau”.

      Supporté

      Non supporté

      Groupes de sécurité

      Pour plus d’informations, voir “Ajouter un groupe de sécurité”.

      Non supporté

      Supporté

    • Offre système. Si le fournisseur de service pour n’importe lequel des services sélectionnés dans les Services Supportés est un routeur virtuel, le champ Offre Système apparaît. Choisir l’offre de service système que vous voulez que les routeurs virtuels utilisent dans ce réseau. Par exemple, si vous avez sélectionné Répartiteur de Charge dans les Services Supportés et sélectionné un routeur virtuel pour fournir la répartition de charge, le champ Offre Système apparaît afin que vous puissiez choisir entre l’offre de service système par défaut de CloudStack ou n’importe quelle offre de service système personnalisée qui a été définie par l’administrateur CloudStack.

      Pour plus d’informations, voir “Offres de service système”.

    • LB Isolation : Spécifie quel type d’isolation par répartiteur de charge vous voulez pour le réseau : Partagé ou Dédié.

      Dédié : Si vous sélectionnez une isolation par LB dédié, un périphérique répartiteur de charge dédié est assignée pour le réseau depuis la réserve de périphériques de répartition de charge dédiés provisionnés dans la zone. Si aucun périphérique de répartition de charge dédié n’est disponible dans la zone, la création du réseau échoue. Un périphérique dédié est un bon choix pour les réseaux à fort trafic qui font un usage complet des ressources du périphérique.

      Partagé : Si vous sélectionnez une isolation par LB partagé, un périphérique de répartition de charge partagé est assigné pour le réseau depuis la réserve des périphériques de répartiteurs de charge partagés provisionnés dans la zone. Lors du provisionnement, CloudStack choisit le périphérique de répartition de charge partagé qui est utilisé par le plus petit nombre de comptes. Une fois que le périphérique a atteint le maximum de ses capacités, le périphérique ne sera plus attribué à de nouveaux comptes.

    • Mode : Vous pouvez sélectionner soit le mode En ligne ou le mode Côte à Côte.

      Mode en ligne : Supporté seulement par les pare-feu Juniper SRX et les périphériques de répartition de charge BigF5. Dans le mode en ligne, un périphérique parefeu est placé devant un périphérique de répartition de charge. Le parefeu agit comme une passerelle pour tout le trafic entrant qui redirige tout le trafic à répartir au répartiteur de charge derrière lui. Le répartiteur de charge dans ce cas n’aura pas laccès directement au réseau public.

      Côte à côte : Dans le mode côte à côte, un périphérique de parefeu est déployé en parallèle du périphérique de répartition de charge. Le trafic vers l’adresse IP publique du répartiteur de charge n’est pas routé via le parefeu, et par conséquent il est exposé au réseau public.

    • IP publique associée : Sélectionnez cette option si vous voulez assigner une adresse IP publique aux VMs déployées dans le réseau invité. Cette option est disponible seulement si

      • Le réseau invité est partagé.

      • Le NAT-age statique est activé.

      • Elastic IP est activé.

      Pour des informations sur Elastic IP, voir “A propos d’Elastic IP”.

    • Capacité de routeur redondant : disponible seulement quand le Routeur Virtuel est sélectionné comme fournisseur de Source NAT. Sélectionner cette option si vous voulez utiliser 2 routeurs virtuels dans le réseau pour des connexion ininterrompues : un opère comme routeur virtuel maître et l’autre comme secours. Le routeur virtuel maître reçoit les requêtes des VMs utilisateurs et leur envoi les réponses. Le routeur virtuel de secours est activé seulement quand le maître est indisponible. Après la panne, le secours devient le routeur virtuel maître. CloudStack déploie les routeurs sur des hôtes différents pour assurer la fiabilité si un des hôtes est indisponible.

    • Mode conservation : Indique si le mode conservation est utilisé. Dans ce mode, les ressources réseaux sont allouée seulement lorsque la première machine virtuelle démarre dans le réseau. Quand le mode de conservation est arrêté, l’IP publique peut seulement être utilisée pour un seul périphérique. Par exemple, une IP publique utilisée pour une règle de transmission de port ne peut pas être utilisée pour définir d’autres services, comme le StaticNAT ou la répartition de charge. Quand le mode de conservation est activé, vous pouvez définir plus d’un service avec la même IP publique.

      Note

      Si le StaticNAT est activé, quelque soit le statut du mode conservé, aucune transmission de port ou règle de répartition de charge he peut être crée pour l’IP. Toutefois, vous pouvez ajouter les règles de pare-feu en utilisant la commande createFirewallRule.

    • Etiquettes : Etiquette réseau pour spécifier quel réseau physique utiliser.

    • Politique de sortie par défaut : Configurer la politique par défaut pour les règles sortantes par défaut. Les options sont Autoriser ou Refuser. La valeur par défaut est Autoriser si aucune règle sortante n’est spécifiée, ce qui indique que tout le trafic sortant est accepté lorsque le réseau invité est crée depuis cette offre.

      Pour bloquer le trafic sortant pour un réseau invité, sélectionner Refuser. Dans ce cas, lorsque vous configurez des règles sortantes pour un réseau invité isolé, les règles sont ajoutées pour autoriser le trafic spécifié.

  6. Cliquer sur Ajouter.