Livre Blanc

La solution Virtual Data Center : une nouvelle approche du service

There is nothing more important than our customers.

La solution Virtual Data Center : une nouvelle approche du service

Introduction
Les data centers sont aujourdhui bien souvent trop statiques pour offrir aux clients la flexibilit quils recherchent. Les ressources ne sont pas optimises faute de pouvoir redistribuer facilement la puissance de calcul et parce quil est souvent risqu dutiliser un seul serveur pour plusieurs services (consolidation). Une exploitation 7 jours sur 7 et 24H sur 24 ncessite une installation et un dimensionnement optimiss du nouveau matriel en remplacement dun systme dfaillant. La scurit est gnralement organise en niveaux logiques : chaque niveau est connect un ou plusieurs VLANs mais aussi aux autres niveaux via un firewall. Les services de niveaux diffrents ne peuvent pas partager le mme VLAN. La virtualisation tous les niveaux informatiques stockage, serveur, rseau et applications permet aujourdhui de relever ces dfis. Cette volution est stimule par la promesse damliorer les performances, de rduire les temps de rponse et de rduire les cots. Lorsque des services virtualiss sont fournis au sein dun data center, le rseau doit tre auto configur pour ramener au minimum le cot dexploitation et maintenir la scurit un niveau optimal.
Consolidation des serveurs

Virtualiser Pour : Mieux soutenir plusieurs entreprises sur la mme infrastructure (clients dun FAI, services dune entreprise, etc.) - des temps de rponse plus courts face de nouveaux besoins : ressources processeur suprieures, davantage despace disque, etc. Faciliter la reprise aprs incident - Glisser-dplacer un service pour quil reparte sur une nouvelle plate-forme matrielle Optimiser et rendre plus flexible lutilisation des ressources informatiques - Moins dinvestissements matriels - Allocation de ressources dynamique selon les besoins Des domaines de scurit multiples qui ne doivent tre spars que logiquement

Reprise aprs incident

Source : Microsoft

La virtualisation optimise lutilisation des ressources existantes et par consquent amliore le retour sur investissement.

La solution Virtual Data Center dEnterasys

Cette solution unique base de politiques permet dadministrer des politiques spcifiques de scurit et de QoS (qualit de service) associes aux ressources et aux applications du data center. Elle permet aux administrateurs rseau de dimensionner automatiquement les services mtier ncessaires vers et depuis des applications spcifiques, tout en empchant que le trafic indsirable et malveillant pntre cet environnement critique. La solution peut : Protger le data center de lentreprise contre les protocoles et le trafic applicatif indsirables et malveillants ; Ragir rapidement et efficacement aux changements denvironnement, notamment aux menaces de scurit et au dploiement rcent de services et dapplications mtier ; Garantir un accs utilisateur fiable aux services critiques en appliquant un plan de prioritisation des applications ; Garantir des communications peer-to-peer scurises et de grande qualit entre les services applicatifs ; Permettre lautomatisation et le contrle intelligent au niveau systme pour rduire les frais dadministration, de dploiement et de dpannage.

En dployant cette solution, les entreprises peuvent amliorer la scurit des applications et la productivit tout en diminuant les cots et la complexit lis la scurit du rseau. Un ensemble de rgles mtier et de scurit intelligentes prcisant les modalits dutilisation des ressources applicatives dun data center sert de cadre pour fournir un data center scuris et virtualis. Larchitecture base de rgles de scurit sert de base lutilisation des applications et intgre la scurit des applications au cur mme de la matrice rseau du data center. Les entreprises peuvent appliquer de manire proactive et efficace les rgles de scurit et de dimensionnement des applications. Les recommandations concernant les rgles de scurit pour le data center sont intgres un profil de rgles de scurit, qui est distribu linfrastructure rseau. Ces rgles de scurit permettent un accs appropri aux applications mais filtrent et rejettent tout trafic indsirable. Les entreprises peuvent donc sappuyer sur une architecture rseau de data center pour utiliser les ressources mtier ncessaires tout en liminant les ressources et les applications indsirables ou interdites. Avec lapparition de nouvelles menaces, cette solution permet par ailleurs lentreprise de ragir rapidement et efficacement en modifiant les rgles de scurit du data center dun simple clic pour liminer ou limiter au minimum limpact de la menace. Les services informatiques et les processus mtier sont efficaces et fiables tout en tant protgs contre les attaques et une utilisation abusive. Laccs aux ressources et aux applications indsirables tant supprim, la bande passante que ces dernires consommaient peut dsormais tre utilise par les applications et les ressources critiques. Cette utilisation plus intelligente des ressources applicatives amliore la viabilit et le cycle de vie de lensemble de linfrastructure rseau.

Prsentation dune conception de data center

Face laugmentation de la dynamique au niveau applicatif, loprateur doit pouvoir rapidement localiser, affecter et rendre compte des services virtuels, au risque, dans le cas contraire, de voir augmenter sensiblement les dlais de dimensionnement et de dpannage et donc de rduire la disponibilit. Lallocation dynamique de ressources de scurit et rseau doit tre prise en charge. En outre, la mobilit doit donc tre supporte sans effectuer aucune configuration, une supervision devant toujours tre possible. Les services doivent tre facilement regroups et le comportement de scurit doit tre suivi et faire lobjet dun rapport.

IDS Virtuel #2 Politique Client

IDS Virtuel #1 Politique HTTP

IDS Virtuel #3

La conception globale du data center est gnralement une conception de rseau 3 4 niveaux avec un commutateur daccs, un commutateur dagrgation et un niveau de routage LAN en extrmit de la zone de service. Chaque zone est rattache au niveau du routage WAN qui fournit la connectivit Internet. Une zone de service est gnralem ent un seul et vaste sous-rseau IP avec plusieurs centaines voire milliers de serveurs appartenant diffrents groupes de clients et fournissant diffrents services. Les serveurs et services de chaque client doivent communiquer directement entre eux tout en tant obligatoirement spars des ressources des autres clients. Un commutateur Matrix N-Series est gnralement prsent au niveau de la commutation daccs. Pour le commutateur dagrgation, le mme composant ou un Matrix X-Series est recommand. Le niveau de routage LAN est gnralement compos dun commutateur Matrix X-Series qui fournit un accs rseau ininterrompu au data center via des mises niveau logicielles transparentes et un paradigme de transmission endurci (D)DoS dot dune qualit de service de classe oprateur. Les solutions Dragon Intrusion Defense et Dragon Network Defense peuvent fournir un niveau de scurit supplmentaire. Chaque serveur hberge plusieurs services et plusieurs machines virtuelles. Il est connect via une ou plusieurs interfaces au commutateur daccs frontal.

Page 2

SERVEUR VIRTUEL 1 MAC 1 / IP 1

COMMUTATEUR VIRTUEL

Port physique

SERVEUR VIRTUEL 2 MAC 2 / IP 2

SERVEUR VIRTUEL 3 MAC 3 / IP 3 SERVEUR LAME

Solution de Data Center Virtuel dynamique Analyse dtaille

Enterasys fournissant des rgles de scurit dtailles en plus dune affectation de VLAN traditionnelle, vous pouvez dfinir ces dernires pour chaque service et chaque client. Les premires tapes de la dfinition dune rgle de scurit sont laffectation dun VLAN (souvent le mme pour toute la zone de service), lautorisation de protocoles de production (cest--dire Port 80 + sauvegarde + port Admin), lautorisation daccs aux adresses IP partir du mme client et le rejet des autres protocoles. Ces rgles de scurit sont ensuite associes aux adresses MAC enregistres pour contrler les serveurs virtuels connects au data center. Le systme configure alors de manire dynamique le VLAN de production sur le port logique o le service est actif. Les services actifs sur un serveur virtuel sont contrls indpendamment du systme dexploitation. La mobilit du serveur virtuel est supporte de manire inhrente et de nouveaux serveurs/services sont automatiquement dtects et font lobjet dun rapport. Composants utiliser dans ce scnario (niveau Accs) : Matrix N-Series : commutateur de data center Authentification de plusieurs MAC par port ; Application dune rgle de scurit par adresse MAC authentifie : Cration dun environnement de production bas sur VLAN ; Application de rgles de scurit sur ladresse MAC authentifie ;

Application de rgles de qualit de service pour amliorer les performances du flux de production ; Authentification de plusieurs utilisateurs et politiques (MUA+P) sur les ports LAG (groupe dagrgation de liens) : Connexion autorise avec les groupes dagrgation de liens 802.3ad ; Augmentation de la bande passante ; Fourniture dun protocole de contrle de lien pour une procdure de redondance automatique.

NetSight Policy Manager : serveur de politiques centralis Cration de rgles de scurit orientes production. Association de VLANs, selon larchitecture du data center de scurit ; Rgles de filtrage de niveau 2/3/4 : autorisent uniquement les protocoles de production, rejettent les protocoles non autoriss et vitent toute baisse de service suite des erreurs de configuration ; Rgles de prioritisation de niveau 2/3/4 : identifient les flux critiques et fournissent la qualit de service dynamique associe ; Distribution de lensemble des rgles de scurit aux commutateurs ;

Dploiement de rgles de scurit sur les commutateurs du data center qui les prennent en charge. Configuration des commutateurs de data center pour lauthentification MAC multi utilisateurs et des rgles de scurit sur les ports physiques/logiques ; Vrification de lutilisation des rgles de scurit Contrle de lutilisation des rgles de scurit par port physique/logique ; Contrle de lutilisation des rgles de scurit, rendant compte des protocoles non autoriss.

Port physique

Port LAG virtuel I

Page 3

Enterasys NAC Gateway : outil denregistrement et de dploiement automatique dadresses MAC (autre que le dploiement en mode console) Dcouverte de toutes les adresses MAC/port/IP prsentes dans un commutateur pour data center virtuel. Association des adresses MAC enregistres dans une politique de data center. Configuration dune politique dynamique associe une adresse MAC enregistre dans le port virtuel (LAG) ou le port physique auquel est connect le serveur virtuel associ cette adresse MAC. Enregistrement dans une base de donnes SQL et dans un outil dadministration de toutes les sessions serveur actives avec : Ladresse MAC | ladresse IP | le port physique/logique | la politique applique | vu en premier | vu en dernier.

Enregistrement dun historique dactivit dans une base de donnes SQL et dans un outil dadministration. Suivi de la localisation dans le temps du serveur virtuel physique/logique. Blocage de ladresse MAC sur des ports physiques/logiques spcifiques pour viter les mouvements indsirables du serveur virtuel.

COMMUTATEUR VIRTUEL

Port physique

SERVEUR VIRTUEL 1 MAC 1 / IP 1 SERVEUR VIRTUEL 2 MAC 2 / IP 2 SERVEUR VIRTUEL 3 MAC 3 / IP 3

Port physique

Port LAG virtuel I

MAC 1 MAC 1
Port physique

Politique PA Politique PB Politique PB Politique PC

SERVEUR VIRTUEL 4 MAC 4 / IP 4 SERVEUR VIRTUEL 2 MAC 2 / IP 2 SERVEUR VIRTUEL X MAC X / IP X

COMMUTATEUR VIRTUEL

MAC 3
Port LAG virtuel I

MAC 4

Port physique

NAC Gateway

MAC 1 MAC 2 MAC 3 MAC 4 MAC 2

IP1 IP2 IP3 IP4 IP2

Port LAG.0.1 Politique PA Port LAG.0.1 Politique PB Port LAG.0.1 Politique PB Port LAG.0.2 Politique PC Port LAG.0.2 Politique PB Mobilit des serveurs virtuels Lorsquun serveur virtuel est arrt puis dplac vers un serveur lame diffrent (ici, le Serveur virtuel 2), Enterasys NAC Gateway dtecte le mouvement dadresse MAC, configure la mme politique sur le nouveau port et le signale.

Cette approche garantit une visibilit totale, la reconfiguration automatise des services (de scurit) vers des serveurs virtuels nouveaux et mobiles ainsi que la comptabilit. Elle peut voluer jusqu 2 048 serveurs virtuels par commutateur daccs (en appliquant les licences appropries) et plusieurs dizaines de milliers de serveurs virtuels par zone de service. En utilisant le commutateur Matrix N-Series avec un maximum de 56 000 rgles, elle rpond aux besoins dvolutivit et dadaptation de futures applications.

Solution de Data Center Virtuel dimensionn Analyse dtaille

Il est galement possible dutiliser une affectation statique de rgles, pr-dimensionne sur tous les ports daccs afin que le serveur virtuel puisse rester libre de ses mouvements. Les composants sont assez semblables tout en tant moins nombreux que ceux utiliss dans lapproche voque plus haut. Matrix N-Series : commutateur de data center Association dun rle une adresse IP source statique Cration dun environnement de production bas sur un VLAN ; Application des rgles de scurit ladresse IP source ; Application des rgles de qualit de service pour amliorer les performances du flux de production ; Connexion autorise avec les groupes dagrgation de liens 802.3ad (LAG) ; Augmentation de la bande passante ; Fourniture dun protocole de contrle de lien pour une procdure de redondance automatique.

NetSight Policy Manager : serveur de politiques centralis Cration de politiques orientes production. Association de VLAN selon larchitecture de scurit du data center : Rgles de filtrage de niveau 2/3/4 : autorisent uniquement les protocoles de production, rejettent les protocoles non autoriss et vitent toute baisse de service suite des erreurs de configuration ;

Page 4

Rgles de prioritisation de niveau 2/3/4 : identifient les flux critiques et fournissent la qualit de service dynamique associe ; Dploiement de politiques sur les commutateurs de data center les prenant en charge. Fourniture de lensemble des politiques aux commutateurs ; Configuration des commutateurs de data center pour fournir une authentification MAC multi utilisateurs et des rgles de scurit sur les ports physiques/logiques ; Contrle de lutilisation des rgles de scurit par port physique/logique ; Contrle de lutilisation des rgles de scurit, rendant compte des protocoles non autoriss.

Vrification de lutilisation des rgles de scurit

Cette approche est volutive jusqu 8 192 adresses IP source (sous-rseau) par commutateur pour les mappages de politique. Elle peut galement inclure jusqu 56 000 rgles par commutateur comme solution de data center virtuel dynamique.
quilibrage de charge serveur (SLB) intgr et redondance du data center
SERVEUR VIRTUEL 1 MAC 1 / IP 1 SERVEUR VIRTUEL 2 MAC 2 / IP 2 SERVEUR VIRTUEL 3 MAC 3 / IP 3
COMMUTATEUR VIRTUEL

Port physique

Port physique

Port LAG virtuel I

SIP 1 SIP 2
Port physique

Politique PA Politique PB Politique PB Politique PC

SERVEUR VIRTUEL 4 MAC 4 / IP 4 SERVEUR VIRTUEL 2 MAC 2 / IP 2 SERVEUR VIRTUEL X MAC X / IP X

COMMUTATEUR VIRTUEL

SIP 3
Port LAG virtuel I

SIP 4

IP1 IP2 IP3 IP4 IP2

Port LAG.0.1, LAG.0.2 Port LAG.0.1, LAG.0.2 Port LAG.0.1, LAG.0.2 Port LAG.0.1, LAG.0.2 Port LAG.0.1, LAG.0.2

Port physique

Politique PA Politique PB Politique PB Politique PC Politique PB

Sans la passerelle NAC Gateway, cette approche nintgre pas le suivi/la dtection automatiss des ajouts/mouvements et des modifications au niveau de linfrastructure. Les adresses IP source utilises restent dtectables directement sur le commutateur via la comptabilit du nombre de hits de politiques.

quilibrage de charge serveur (SLB) intgr et redondance du data center

Toutes les solutions dcrites jusquici peuvent tre associes une solution dquilibrage de charge serveur local et distan t dnomme LSNAT (Load Sharing Network Address Translation), incluse dans les modules DFE (Distributed Forwarding Engine), Platinum 256 MB et Diamond) pour la gamme Matrix N-Series, lorsque la licence de routage de pointe est installe (option par dfaut sur le module Diamond DFE). Conformment au RFC 2391, LSNAT garantit la fiabilit et la disponibilit du rseau en permettant lquilibrage de charge sur les serveurs grant beaucoup de trafic. Une adresse IP et un numro de port peuvent ainsi devenir une adresse IP virtuelle et un numro de port virtuel (VIP), mapps vers plusieurs quipements. Lorsque lquipement LSNAT considre le port VIP comme une adresse de destination et un numro de port de destination, il trappe le paquet puis traduit le VIP en une combinaison dadresse IP et de port vritable. Il utilise pour cela un algorithme slectionn pour choisir dans le groupe dadresses de serveurs et remplace le VIP par ladresse IP et le numro de port slectionns. Pour les missions, la traduction seffectue depuis la vritable combinaison dadresse IP et de port vers le port VIP.

Persistance de session
Les clients dquilibrage de charge se connectent une adresse IP virtuelle qui, en ralit, est redirige vers lun des serveurs physiques intgrs un groupe de fermes de serveurs dquilibrage de charge. Dans de nombreuses applications daffichage de page Web, un client peut faire rediriger ses requtes vers diffrents serveurs du groupe qui en assureront la maintenance. Dans certains cas cependant, il peut tre crucial que tout le trafic du client soit dirig vers le mme serveur physique pour l a dure de la session. Il sagit du concept de persistance de session. Lorsquil reoit une nouvelle requte de session dun client concernant une adresse virtuelle spcifique, le routeur cre un lien entre la prise du port/ladresse IP (source) du client et la prise du port/ladresse IP (de destination) du serveur dquilibrage de charge slectionn pour ce client. Les paquets ultrieurs envoys par les clients sont ensuite compars par rapport la liste de liens. En cas de correspondance, le paquet est envoy au mme serveur prcdemment choisi pour ce client. dfaut de correspondance, un nouveau lien est cr. Le mode de dtermination de la correspondance de lien par le routeur pour la persistance de session est configur avec la commande de niveau de persistance lors de la cration du serveur virtuel. Il existe trois niveaux configurables de persistance de session :

Page 5

 La persistance TCP un lien est dtermin par correspondance de ladresse du port/IP source et de ladresse virtuelle du port/IP de destination. Par exemple, la requte dun client via lintranet vers ladresse IP virtuelle de destination V1:80 est considre comme une session et sera dirige vers le mme serveur dquilibrage de charge (par exemple, le serveur 2 dadresse IP 2). La requte depuis une prise source diffrente provenant de la mme adresse client vers la mme adresse virtuelle de destination est considre comme une autre session et pourra tre dirige vers un autre serveur dquilibrage de charge (par exemple, le serveur 6 dadresse IP 6 dans le mme groupe). Cest le niveau par dfaut de la persistance de session. La persistance SSL un lien est dtermin par correspondance de ladresse IP source et de ladresse du port/IP virtuelle de destination. A noter que les requtes provenant de nimporte quelle prise source comportant ladresse IP client sont considres comme faisant partie de la mme session. Par exemple, les requtes du client ayant pour port source 1024 ou 1025 vers ladresse IP virtuelle de destination V1:80 seront considres comme une seule session et diriges vers le mme serveur dquilibrage de charge (par exemple, le serveur 2 dadresse IP 2). La persistance permanente un lien est dtermin par correspondance de ladresse IP source et de ladresse IP de destination uniquement. Cela permet de diriger vers le mme serveur dquilibrage de charge toutes les requtes dun client vers la mme adresse virtuelle. Par exemple, les requtes HTTP et HTTPS du client vers ladresse IP virtuelle de destination V1 seront diriges vers le mme serveur dquilibrage de charge (par exemple, le serveur 2 dadresse IP 2).

Dtection de panne serveur

Une panne serveur peut tre dtecte diffrents niveaux : depuis un ping complet (accessible par ICMP) jusqu des vrifications de niveau applicatif (supportes depuis la version 6.11.xx) en passant par des contrles TCP/UDP afin de dterminer la disponibilit totale du service et notamment les connexions la base de donnes en back-end . chaque niveau sont associes des valeurs de temporisation et de nouvel essai. Lorsque ces valeurs sont dpasses, le serveur est considr comme en panne et plus aucune session nouvelle ne lui est distribue. Lorsque tous les serveurs dun groupe de serveurs virtuels sont en panne, le groupe entier est alors considr comme en panne . Dans ce cas, le commutateur Matrix N-Series cesse dannoncer que ladresse IP est oprationnelle . Comme pour toute interface de routage en panne , lannonce de ladresse IP virtuelle sur les protocoles de routage dynamique (supports depuis la version 6.11.xx) tels quOSPF est galement suspendue. Ce qui peut servir pour la reprise aprs panne via lintranet sur les data centers, comme illustr ciaprs, o les clients qui essayent de se connecter depuis lintranet ladresse IP V1, Port 80 seront automatiquement redirigs vers le data center de sauvegarde (qui reprsentait auparavant le cot le plus lev pour ses services dadresse IP V1, Port 80).
COMMUTATEUR VIRTUEL

Port physique

SERVEUR VIRTUEL 1 MAC 1 / IP 1 SERVEUR VIRTUEL 2 MAC 2 / IP 2 SERVEUR VIRTUEL 3 MAC 3 / IP 3

Port physique

Port LAG virtuel I

Port physique

SERVEUR VIRTUEL 6 MAC 6 / IP 6

Data center principal Data center de sauvegarde

COMMUTATEUR VIRTUEL

Port physique

SERVEUR VIRTUEL 5 MAC 5 / IP 5

Port LAG virtuel I

SERVEUR VIRTUEL 4 MAC 4 / IP 4

COMMUTATEUR VIRTUEL

Serveur virtuel Groupe 1 Port 80 IP V1 Port 80 OSPF cot 4000

Intranet IP

Port physique

SERVEUR VIRTUEL 1 MAC 11 / IP 11 SERVEUR VIRTUEL 2 MAC 22 / IP 22 SERVEUR VIRTUEL 3 MAC 33 / IP 33

Port physique

Port LAG virtuel I

Serveur virtuel Groupe 1 Port 80 IP V1 Port 80 OSPF cot 8000

COMMUTATEUR VIRTUEL

Port physique

SERVEUR VIRTUEL 4 MAC 44 / IP 44 SERVEUR VIRTUEL 5 MAC 55 / IP 55 SERVEUR VIRTUEL 6 MAC 66 / IP 66

Port physique

Port LAG virtuel I

Page 6

Rsum
La virtualisation et la consolidation des data centers font partie des priorits de tous les directeurs des systmes dinformation pour instaurer un environnement informatique optimis, souple et rentable pour lentreprise. La solution Virtual data Center dEnterasys rpond aux besoins de souplesse totale et dexploitation automatise tout en optimisant la scurit et la visibilit au sein des data centers virtualiss daujourdhui.

Contactez-nous
Pour plus dinformations, appelez Enterasys Networks au + 33 (0) 1 40 84 61 80 et visitez notre site Web ladresse www.enterasys.com

2009 Enterasys Networks, Inc. Tous droits rservs. Enterasys est une marque dpose. Secure Networks est une marque dEnterasys Networks. Tous les autres produits ou services mentionns sont identifis par les marques ou les marques de service de leurs socits ou entreprises respectives. REMARQUE : Enterasys Networks se rserve le droit de modifier ses spcifications sans pravis. Veuillez contacter votre reprsentant pour obtenir la version la plus rcente de ces spcifications.

Nous tenons nos promesses, dans le temps et le budget impartis

Page 7