Les personnes qui utilisent une infrastructure cloud ont une variété de besoins et préférences quand ils font appel aux services réseaux fournis par le cloud. En tant qu’administrateur CloudStack, vous pouvez faire les choses suivantes pour configurer le réseau pour vos utilisateurs :
Configurer les réseaux physiques dans les zones
Configurer plusieurs fournisseurs différents pour le même servicesur un seul réseau physique (par exemple à la fois des parefeus Cisco et Juniper)
Regrouper différents types de services réseaux dans des offres réseaux, afin que les utilisateurs puissent choisir les services réseaux désirés pour n’importe quelle machine virtuelle.
Ajouter de nouvelles offres réseaux au fil de l’eau afin que les utilisateurs finaux puissent évoluer vers de meilleurs classe de service sur leur réseau
Fournir à un utilisateur plusieurs façons d’accéder à un réseau, par exemple via un projet auquel l’utilisateur est un membre
Un réseau virtuel est une construction logique qui active plusieurs allocations sur un seul réseau physique. Dans CloudStack un réseau virtuel peut être partagé ou isolé.
Un réseau isolé peut être accédé seulement par les machines virtuelles d’un seul compte. Les réseaux isolés ont les propriétés suivantes.
Les ressources comme les VLAN sont alloués et recyclés dynamiquement
Il y a une offre réseau pour le réseau entier
L’offre réseau peut être amélioré ou rétrogradé mais pour le réseau entier
Pour plus d’information, voir “Configurer le Trafic Invité dans une Zone Avancée”.
Quand vous définissez un nouveau réseau virtuel, tous vos paramètres pour ce réseau sont stockés dans CloudStack. Les ressources du réseau actuel sont activées seulement lorsque la première machine virtuelle dans le réseau démarre. Quand toutes les machines virtuelles ont quittés le réseau virtuel, les ressources du réseau sont récupérés et recyclée afin de pouvoir être à nouveau allouée. Cela aide à conserver les ressources réseaux.
Note
Pour la liste la plus à jour des fournisseurs de services réseaux supportés, voir l’interface CloudStack ou appeler listNetworkServiceProviders.
Un fournisseur de service (aussi appelé un élément réseau) est un matériel ou une appliance virtuelle qui rend le service réseau possible ; par exemple, une appliance de parefeu peut être installé dans le cloud pour fournir un service de parefeu. Sur un seul réseau, plusieurs fournisseurs peuvent fournir le même service réseau. Par exemple, un service de parefeu peut être fourni par des périphériques Cisco ou Juniper dans le même réseau physique.
Vous pouvez avoir plusieurs instances du même fournisseur de service dans un réseau (comprendre plus d’un périphérique Juniper SRX).
Si différents fournisseurs sont configurés pour fournir le même service sur le réseau, les administrateurs peuvent créer des offres réseaux afin que les utilisateurs peuvent spécifier quel fournisseur de service réseau ils préfèrent (en même temps que les autres choix offerts dans les offres réseaux). Autrement, CloudStack va choisir quel fournisseur utiliser chaque fois que le service est appelé.
Fournisseurs de service réseau supportés
CloudStack est livré avec une liste interne des fournisseurs de services supportés, et vous pouvez choisir depuis cette liste lorsque vous créez une offre réseau.
Routeur virtuel |
Citrix NetScaler | Juniper SRX | F5 BigIP | Basé sur l’hôte (KVM/Xen) |
|
---|---|---|---|---|---|
Accès distant VPN |
Oui |
Non |
Non |
Non |
Non |
DNS/DHCP/Données utilisateur |
Oui |
Non |
Non |
Non |
Non |
Pare-feu |
Oui |
Non |
Oui |
Non |
Non |
Répartition de charge |
Oui |
Oui |
Non |
Oui |
Non |
Elastic IP | Non |
Oui |
Non |
Non |
Non |
Elastic LB | Non |
Oui |
Non |
Non |
Non |
Source NAT | Oui |
Non |
Oui |
Non |
Non |
Static NAT | Oui |
Oui |
Oui |
Non |
Non |
Port Forwarding | Oui |
Non |
Oui |
Non |
Non |
Note
Pour la liste la plus à jour des services réseaux supportés, voir l’interface CloudStack ou appeler listNetworkServices.
Une offre réseau est un nommage pour un ensemble de services réseau, comme :
Répartition de charge
Pare-feu
(Optionel) Nommer un des nombreux fournisseurs disponibles à utiliser pour un service donné, comme Juniper pour le parefeu.
(Optionnel) Etiquette réseau pour spécifier quel réseau physique utiliser
Lorsqu’il crée une nouvelle VM, l’utilisateur choisi une des offres réseaux disponibles, et cela détermine quels services réseaux la VM peut utiliser.
L’administrateur CloudStack peut créer autant d’offres réseaux personnalisées en complément des offres réseaux par défaut fournies par CloudStack. En créant plusieurs offres de réseaux personnalisées, vous pouvez configurer votre cloud pour fournir différentes classes de service sur un seul réseau physique. Par exemple, alors que le câblage physique sous-jacent peut être le même pour les deux parties, la partie A peut seulement nécessiter une simple protection par pare-feu de son site, alors que la partie B peut lancer une ferme de serveurs web et nécessiter une solution de pare-feu évolutive, une solution de répartition de charge, et des réseaux alternatifs pour accéder au backend de base de données.
Note
Si vous créez des règles de répartition de charge lors de votre utilisation d’une offre de service réseau qui inclue un périphérique externe de répartition de charge comme un NetScaler, et plus tard changer l’offre de service réseau pour une qui utilise un routeur virtuel CloudStack, vous devrez créer une règle de pare-feu sur le routeur virtuel pour chacune de vos règles de répartition de charge afin qu’il puisse continuer de fonctionner.
Lorsque vous créez un nouveau réseau virtuel, l’administrateur CloudStack choisit quelle offre de réseau activer pour chaque réseau. Chaque réseau virtuel est associé avec une offre de service. Un routeur virtuel peut être amélioré ou rétrogradé en changeant son offre de réseau associé. Si vous faîtes cela, soyez certains de reprogrammer le réseau physique pour correspondre.
CloudStack a aussi des offres de réseaux internes pour les besoins des VMs systèmes CloudStack. Ces offres de réseaux ne sont pas visibles des utilisateurs mais peuvent être modifiées par les administrateurs.
Pour créer une offre de réseau :
Se connecter avec les droits d’administrateur à l’interface CloudStack.
Dans la barre de navigation de gauche, cliquer sur les Offres de Service.
Dans Sélectionner une offre, choisir une offre réseau.
Cliquer sur Ajouter une offre de réseau.
Dans la boîte de dialogue, faire les choix suivants :
Nom : N’importe quel nom souhaité pour l’offre de réseau.
Description : Une description courte pour l’offre qui peut être affichée aux utilisateurs.
Vitesse Réseau : Vitesse de transfert de données autorisée en MB par seconde.
Type d’invité. Choisir si le réseau invité est isolé ou partagé.
Pour une description de ces termes, voir “A propos des Réseaux Virtuels”.
Persistent. Indique si le réseau invité est persistent ou pas. Le réseau que vous pouvez provisionner sans avoir à déployer une VM sur celui-ci est appelé réseau persistant. Pour plus d’informations, voir “Réseaux Persistants”.
Spécifier un VLAN. (Réseaux invités isolés seulement) Indique si un VLAN peut être spécifié quand cette offre est utilisée. Si vous sélectionnez cette option et plus tard utilisez cette offre réseau lors de la création d’un VPC ou un réseau isolé, vous pourrez spécifier un ID de VLAN pour le réseau que vous créez.
VPC. Cette option indique si le réseau invité est activable pour un Cloud Virtuel Privé. Un Cloud Virtuel Privé (VPC) est une partie de CloudStack privée, isolée. Un VPC peut avoir sa propre topologie réseau virtuelle qui ressemble a un réseau privé traditionnel. Pour plus d’informations sur les VPC, voir “A propos des Clouds Privés Virtuels”.
Services supportés. Sélectionner un ou plusieurs des services réseaux possibles. Pour certains services, vous devez aussi choisir le fournisseur de service ; par exemple, si vous sélectionnez un Répartiteur de Charge, vous pouvez choisir le routeur virtuel CloudStack ou n’importe quels autres répartiteurs qui ont été configurés dans la cloud. En fonction du service que vous avez choisi, des champs additionnels peuvent apparaître dans le reste de la boîte de dialogue.
En fonction du type de réseau invité sélectionné, vous pouvez voir les services supportés suivants :
Services supportés |
Description | Isolé |
Partagé |
---|---|---|---|
DHCP | Pour plus d’informations, voir “DNS et DHCP”. |
Supporté |
Supporté |
DNS | Pour plus d’informations, voir “DNS et DHCP”. |
Supporté |
Supporté |
Répartition de charge |
Si vous choisissez Répartiteur de Charge, vous pouvez choisir le routeur virtuel CloudStack ou n’importe quel répartiteur de charge qui a été configuré dans le cloud. |
Supporté |
Supporté |
Pare-feu |
Pour plus d’informations, voir le Guide d’Administration. |
Supporté |
Supporté |
Source NAT | Si vous sélectionnez Source NAT, vous pouvez choisir le routeur virtuel CloudStack ou n’importe quel autre fournisseur de Source NAT qui a été configuré dans le cloud. |
Supporté |
Supporté |
Static NAT | Si vous sélectionnez NAT Statique, vous pouvez choisir le routeur virtuel CloudStack ou n’importe quel autre fournisseur de NAT Statique qui a été configuré dans le cloud. |
Supporté |
Supporté |
Port Forwarding | Si vous sélectionnez Transmission de Port, vous pouvez choisir le routeur virtuel CloudStack ou n’importe quel fournisseur de Transmission de Port qui a été configuré dans le cloud. |
Supporté |
Non supporté |
VPN | Pour plus d’informations, voir “Accès distant VPN”. |
Supporté |
Non supporté |
Donnée utilisateur |
Pour plus d’informations, voir “Données et Méta-données utilisateur”. |
Non supporté |
Supporté |
ACL réseau |
Pour plus d’informations, voir “Configurer les Listes de Contrôles d’Accès Réseau”. |
Supporté |
Non supporté |
Groupes de sécurité |
Pour plus d’informations, voir “Ajouter un groupe de sécurité”. |
Non supporté |
Supporté |
Offre système. Si le fournisseur de service pour n’importe lequel des services sélectionnés dans les Services Supportés est un routeur virtuel, le champ Offre Système apparaît. Choisir l’offre de service système que vous voulez que les routeurs virtuels utilisent dans ce réseau. Par exemple, si vous avez sélectionné Répartiteur de Charge dans les Services Supportés et sélectionné un routeur virtuel pour fournir la répartition de charge, le champ Offre Système apparaît afin que vous puissiez choisir entre l’offre de service système par défaut de CloudStack ou n’importe quelle offre de service système personnalisée qui a été définie par l’administrateur CloudStack.
Pour plus d’informations, voir “Offres de service système”.
LB Isolation : Spécifie quel type d’isolation par répartiteur de charge vous voulez pour le réseau : Partagé ou Dédié.
Dédié : Si vous sélectionnez une isolation par LB dédié, un périphérique répartiteur de charge dédié est assignée pour le réseau depuis la réserve de périphériques de répartition de charge dédiés provisionnés dans la zone. Si aucun périphérique de répartition de charge dédié n’est disponible dans la zone, la création du réseau échoue. Un périphérique dédié est un bon choix pour les réseaux à fort trafic qui font un usage complet des ressources du périphérique.
Partagé : Si vous sélectionnez une isolation par LB partagé, un périphérique de répartition de charge partagé est assigné pour le réseau depuis la réserve des périphériques de répartiteurs de charge partagés provisionnés dans la zone. Lors du provisionnement, CloudStack choisit le périphérique de répartition de charge partagé qui est utilisé par le plus petit nombre de comptes. Une fois que le périphérique a atteint le maximum de ses capacités, le périphérique ne sera plus attribué à de nouveaux comptes.
Mode : Vous pouvez sélectionner soit le mode En ligne ou le mode Côte à Côte.
Mode en ligne : Supporté seulement par les pare-feu Juniper SRX et les périphériques de répartition de charge BigF5. Dans le mode en ligne, un périphérique parefeu est placé devant un périphérique de répartition de charge. Le parefeu agit comme une passerelle pour tout le trafic entrant qui redirige tout le trafic à répartir au répartiteur de charge derrière lui. Le répartiteur de charge dans ce cas n’aura pas laccès directement au réseau public.
Côte à côte : Dans le mode côte à côte, un périphérique de parefeu est déployé en parallèle du périphérique de répartition de charge. Le trafic vers l’adresse IP publique du répartiteur de charge n’est pas routé via le parefeu, et par conséquent il est exposé au réseau public.
IP publique associée : Sélectionnez cette option si vous voulez assigner une adresse IP publique aux VMs déployées dans le réseau invité. Cette option est disponible seulement si
Le réseau invité est partagé.
Le NAT-age statique est activé.
Elastic IP est activé.
Pour des informations sur Elastic IP, voir “A propos d’Elastic IP”.
Capacité de routeur redondant : disponible seulement quand le Routeur Virtuel est sélectionné comme fournisseur de Source NAT. Sélectionner cette option si vous voulez utiliser 2 routeurs virtuels dans le réseau pour des connexion ininterrompues : un opère comme routeur virtuel maître et l’autre comme secours. Le routeur virtuel maître reçoit les requêtes des VMs utilisateurs et leur envoi les réponses. Le routeur virtuel de secours est activé seulement quand le maître est indisponible. Après la panne, le secours devient le routeur virtuel maître. CloudStack déploie les routeurs sur des hôtes différents pour assurer la fiabilité si un des hôtes est indisponible.
Mode conservation : Indique si le mode conservation est utilisé. Dans ce mode, les ressources réseaux sont allouée seulement lorsque la première machine virtuelle démarre dans le réseau. Quand le mode de conservation est arrêté, l’IP publique peut seulement être utilisée pour un seul périphérique. Par exemple, une IP publique utilisée pour une règle de transmission de port ne peut pas être utilisée pour définir d’autres services, comme le StaticNAT ou la répartition de charge. Quand le mode de conservation est activé, vous pouvez définir plus d’un service avec la même IP publique.
Note
Si le StaticNAT est activé, quelque soit le statut du mode conservé, aucune transmission de port ou règle de répartition de charge he peut être crée pour l’IP. Toutefois, vous pouvez ajouter les règles de pare-feu en utilisant la commande createFirewallRule.
Etiquettes : Etiquette réseau pour spécifier quel réseau physique utiliser.
Politique de sortie par défaut : Configurer la politique par défaut pour les règles sortantes par défaut. Les options sont Autoriser ou Refuser. La valeur par défaut est Autoriser si aucune règle sortante n’est spécifiée, ce qui indique que tout le trafic sortant est accepté lorsque le réseau invité est crée depuis cette offre.
Pour bloquer le trafic sortant pour un réseau invité, sélectionner Refuser. Dans ce cas, lorsque vous configurez des règles sortantes pour un réseau invité isolé, les règles sont ajoutées pour autoriser le trafic spécifié.
Cliquer sur Ajouter.