Visibilité et contrôle du réseau virtuel

La section Visibilité et contrôle vous permet de surveiller le comportement du réseau et de configurer la stratégie réseau. Pour accéder aux pages, sélectionnez l’icône Visibilité et contrôle en haut de l’interface de vSwitch Controller.

Afficher l’état

L’onglet Statut fournit des informations détaillées sous forme de tableau sur le nœud sélectionné dans l’arborescence des ressources. Le type d’informations qui est présenté varie en fonction du nœud sélectionné. La plupart des entrées individuelles de table sont des liens. Vous pouvez cliquer sur ces liens pour afficher la page d’état qui s’applique à cette entrée de table.

Tous les nombres d’octets et d’erreurs continuent de s’accumuler même lorsqu’un serveur Citrix Hypervisor redémarre ou qu’une machine virtuelle redémarre ou migre. Les codes de couleur suivent les mêmes règles que les codes de couleur dans le panneau latéral. Veuillez consulter la section Icônes à code couleur.

Niveau mondial

Au niveau global, la page État présente un tableau répertoriant tous les pools de ressources avec les informations suivantes :

  • Pool de ressources : nom du pool de ressources.
  • Serveurs : nombre de serveurs dans le pool.
  • Réseaux : Nombre de réseaux dans le pool.
  • VM : nombre de machines virtuelles dans le pool.
  • Statut : Icône avec code de couleur qui affiche l’état actuel du pool.

Cliquez sur l’icône d’engrenage à droite d’une ligne pour modifier le pool de ressources.

Sur cette page, vous pouvez également spécifier des VLAN cibles disponibles pour les stratégies de configuration de port. Veuillez consulter la section Configurer les stratégies de configuration des ports.

Niveau du pool de ressources

Pour un pool de ressources sélectionné, la page État présente les informations suivantes :

  • Statut : Icône avec code de couleur qui affiche l’état actuel du pool.
  • Pool Master : adresse IP ou nom DNS du serveur maître dans le pool.
  • Réseaux à l’échelle du pool : nombre de réseaux dans le pool.
  • Citrix Hypervisor : nombre de serveurs dans le pool.
  • Toutes les machines virtuelles : nombre de machines virtuelles dans le pool.
  • Liste des serveurs : liste des serveurs du pool, y compris le nom du serveur, le nombre de réseaux, le nombre de machines virtuelles et l’état.

Outre l’affichage des informations d’état, vous pouvez configurer la façon dont les serveurs Citrix Hypervisor dans le pool transmettent les données Netflow. Activez les cases à cocher suivantes, le cas échéant, puis cliquez sur Enregistrer la configuration de réseau :

  • vSwitch Controller (sélectionné par défaut) : transmet les informations Netflow au vSwitch Controller pour utilisation par la section Statistiques de flux de l’interface graphique. Si vous désactivez cette case à cocher, les données Netflow n’sont pas envoyées au vSwitch Controller et les pages Statistiques de flux n’affichent pas de données.
  • Contrôleur de flux externe : Permet de transférer des données Netflow à un collecteur Netflow externe tiers. Entrez l’adresse IP du collecteur externe.

Mode de sécurité intégrée

Utilisez la section Mode d’échec pour configurer la façon dont un vSwitch applique les règles de contrôle d’accès lorsqu’il ne peut pas se connecter à son contrôleur vSwitch. Il est important de maintenir un niveau élevé de disponibilité de vSwitch Controller pour éviter la perte de données. Lorsque vSwitch Controller n’est pas disponible, les modes d’échec suivants s’appliquent :

  • Fail-open : tout le trafic est autorisé, les ACL précédemment définies ne s’appliquent plus tant que le vSwitch n’est pas en mesure de se reconnecter au vSwitch Controller.
  • Sécurité intégrée : les ACL existantes continuent de s’appliquer.

En fonctionnement normal, le vSwitch maintient des connexions à son vSwitch Controller configuré pour échanger des informations de gestion du réseau et d’état. Si vSwitch Controller devient indisponible, le vSwitch attend un délai d’inactivité pendant lequel le trafic réseau est supprimé. Après le délai d’inactivité, le vSwitch entre en mode d’échec configuré.

En mode de sécurité intégrée, les ACL existantes continuent de s’appliquer une fois que vSwitch perd la connexion à son contrôleur vSwitch configuré. Le trafic qui ne correspond pas aux listes ACL existantes est refusé. Toutes les listes ACL, à n’importe quel niveau de la hiérarchie de stratégies présentée par le Controller, sont appliquées en tant qu’ensembles de règles sur les VIF dans le vSwitch. Par conséquent, les nouveaux VIF qui apparaissent en mode de sécurité intégrée alors que le contrôleur n’est pas disponible ne peuvent pas communiquer tant que le contrôleur ne sera pas à nouveau disponible. Les VIF existants qui sont débranchés puis rebranchés ont le même comportement que les nouveaux VIF. Cette situation se produit même si des règles de stratégie ACL de niveau supérieur (globales, par pool de ressources, par réseau ou par machine virtuelle) qui autorisent la communication sont présentes sur des VIF existants. En outre, vSwitch Controller peut définir des ACL en fonction des adresses IP qu’il a apprises. En mode de sécurité intégrée, les paquets envoyés par une machine virtuelle utilisant une adresse IP que le contrôleur n’a pas associée à la machine virtuelle avant qu’elle ne devienne indisponible sont refusés. Par exemple, une machine virtuelle existante qui utilise une nouvelle adresse IP ne peut pas communiquer tant que le contrôleur n’est pas à nouveau accessible. Parmi les autres exemples de refus de trafic en mode de sécurité intégrée, mentionnons :

  • VIF nouvellement branchés
  • Une nouvelle machine virtuelle
  • Une machine virtuelle migrée (par exemple migration en direct ou équilibrage de la charge de travail)
  • VM sur les hôtes ajoutés à un pool
  • Applications qui agissent comme un routeur

Si le vSwitch redémarre en mode de sécurité intégrée et que le contrôleur n’est toujours pas disponible après le démarrage du vSwitch, toutes les ACL sont perdues et tout le trafic est refusé. Le vSwitch reste en mode de sécurité intégrée jusqu’à ce qu’une connexion avec le contrôleur soit rétablie et que les ACL soient poussées vers le vSwitch par le contrôleur.

Avertissement :

La suppression d’un pool de ressources de la gestion de vSwitch Controller alors qu’il est en mode de sécurité intégrée peut entraîner la perte de connectivité réseau du vSwitch et forcer une situation de réinitialisation d’urgence. Pour éviter cette situation, supprimez uniquement un pool de ressources lorsque son état est vert.

Vous pouvez également spécifier des VLAN cibles disponibles pour les stratégies de configuration de port sur cette page. Pour de plus amples informations, consultez la section Configurer les stratégies de configuration des ports.

Niveau serveur

Pour un serveur sélectionné, la page État présente les informations suivantes :

  • État du serveur : Icône à code couleur qui affiche l’état actuel du serveur.
  • Réseaux de serveur : nombre de réseaux dans le pool de ressources.
  • Adresse MAC : adresse MAC de l’interface de gestion du serveur.
  • Adresse IP : adresse IP de l’interface de gestion du serveur.
  • Version de vSwitch : numéro de version et de version du vSwitch s’exécutant sur cet Citrix Hypervisor.
  • Réseaux de serveur : liste de tous les réseaux associés au serveur. Ces renseignements comprennent :
    • Nombre de machines virtuelles sur le serveur utilisant ce réseau
    • L’interface physique associée,
    • Le VLAN
    • Nombre d’octets transmis et reçus
    • Le nombre d’erreurs
    • Le statut
  • VM serveur : liste de toutes les machines virtuelles associées au serveur. Pour chaque VIF sur la VM, ces informations comprennent également :
    • L’adresse MAC
    • Le réseau
    • L’adresse IP
    • Nombre total d’octets transmis et reçus depuis le démarrage de la machine virtuelle
    • Le statut

Sur cette page, vous pouvez également spécifier des VLAN cibles disponibles pour les stratégies de configuration de port. Veuillez consulter la section Configurer les stratégies de configuration des ports.

Niveau réseau

L’onglet Statut des réseaux à l’échelle du pool répertorie des informations récapitulatives sur chaque réseau du pool de ressources. L’onglet État d’un réseau individuel répertorie des informations sur le réseau lui-même. L’onglet comprend des tables hyperliens contenant des informations sur les interfaces physiques et les interfaces VM actuellement connectées au réseau.

L’icône d’état peut être affichée dans les couleurs suivantes :

  • Vert si le réseau est actif et correctement géré par vSwitch Controller
  • Rouge si le réseau n’a pas d’interfaces connectées
  • Orange s’il y a une condition d’erreur. Le texte associé décrit l’erreur.

Pour les réseaux à l’échelle du pool, les informations suivantes s’affichent :

  • Nom du réseau : Réseau spécifique.
  • VM : nombre de machines virtuelles associées au réseau.
  • Citrix Hypervisor : serveur pour le réseau.
  • Interface physique : Interface serveur pour le réseau.
  • Paquets de transmission (Tx) et de réception (Rx) : compteurs agrégés sur tous les VIF du réseau spécifié.
  • Erreurs : compteurs agrégés sur toutes les VIF du réseau spécifié.
  • Statut : Icône à code couleur qui affiche le réseau actuel.

Pour un réseau sélectionné, les informations suivantes sont présentées :

  • État du réseau : Icône à code couleur qui affiche le réseau actuel.
  • VM : nombre de machines virtuelles associées au réseau.
  • Interfaces physiques : liste des interfaces physiques, y compris VLAN, nombre d’octets transmis et reçus, erreurs et état.
  • Changement Citrix Hypervisor (présent sur les réseaux privés inter-serveurs uniquement) : spécifie l’hôte de commutation actif actuel pour le réseau. Un réseau privé multiserveur permet la communication entre les machines virtuelles du même pool de ressources, sans nécessiter de configuration supplémentaire du réseau physique. Les machines virtuelles peuvent être exécutées sur différents hôtes. Cette capacité est accomplie en ayant un « hôte de commutation » établissant des tunnels GRE à chacun des autres hôtes du pool. Les tunnels GRE sont configurés dans une topologie en étoile. Les autres hôtes disposent d’une machine virtuelle active s’exécutant sur le réseau privé. Si un hôte de commutation devient indisponible ou est supprimé, un nouvel hôte de commutation est automatiquement sélectionné et de nouveaux tunnels GRE sont configurés. Gestion des réseaux/fr-fr/citrix-hypervisor/networking.html[()]Pour plus d’informations sur les réseaux privés inter-serveurs, reportez-vous à la section.
  • Interfaces VM : liste des machines virtuelles, y compris l’adresse MAC, l’adresse IP, le nombre d’octets transmis et reçus et l’état.

Sur cette page, vous pouvez également spécifier des VLAN cibles disponibles pour les stratégies de configuration de port. Pour de plus amples informations, consultez la section Configurer les stratégies de configuration des ports.

Niveau machine virtuelle (VM)

Les informations suivantes s’affichent pour toutes les machines virtuelles :

  • Nom de la machine virtuelle : Nom de la machine virtuelle spécifique.
  • Adresse MAC : adresse MAC attribuée à la machine virtuelle.
  • Nom du réseau : Réseau auquel la machine virtuelle est affectée.
  • Adresse IP détectée : adresses IP affectées à la machine virtuelle.
  • Paquets de transmission (Tx) et de réception (Rx) : compteurs agrégés sur toutes les VIF sur la machine virtuelle spécifiée.
  • Erreurs : compteurs agrégés sur toutes les VIF sur la machine virtuelle spécifiée.

Pour une machine virtuelle sélectionnée, la page État affiche les informations suivantes :

  • Statut : Icône avec code de couleur qui affiche l’état actuel de la machine virtuelle.
  • Pool de ressources : pool de ressources auquel appartient la VM.
  • Nom du serveur : Nom du serveur auquel la machine virtuelle est affectée. Ces informations sont vides si la machine virtuelle n’est pas en cours d’exécution et n’est pas liée à un serveur spécifique.
  • Appartenance à un groupe de machines virtuelles : liste des groupes administratifs auxquels la machine virtuelle est affectée.
  • Interfaces VM : Liste des VIF sur la machine virtuelle. Ces renseignements comprennent :
    • Adresse MAC
    • Nom du réseau
    • Adresse IP détectée
    • Nombre d’octets, de paquets et d’erreurs de transmission et de réception
    • Statut
  • Événements réseau : liste des événements réseau impliquant la machine virtuelle, y compris la priorité, la date/heure et la description.

Niveau de l’interface virtuelle (VIF)

Pour un VIF sélectionné, la page État présente les informations suivantes :

  • Statut : Icône avec code de couleur qui affiche le statut VIF actuel.
  • Pool de ressources : pool de ressources auquel appartient le VIF.
  • Réseau : Réseau auquel appartient le VIF.
  • Nom de la machine virtuelle : VM à laquelle appartient le VIF.
  • Adresse MAC : adresse MAC du VIF.
  • Adresse IP : adresse IP du VIF.
  • Transmission et réception d’octets, de paquets et d’erreurs : le trafic compte pour le VIF.
  • Statistiques ACL du port de commutateur : contrairement aux comptes de transmission et de réception, les nombres d’accès ACL sont des statistiques instantanées lues à partir des statistiques de règle ACL du vSwitch actuel. Par conséquent, les modifications de stratégie et les actions de VM, telles que la suspension, l’arrêt ou la migration, entraînent la réinitialisation de ces statistiques. Les statistiques ACL vSwitch nécessitent une adresse IP pour être identifiée sur le réseau et capable de collecter des statistiques pour les protocoles IP. Si vous constatez qu’il n’y a pas de compte sur les règles basées sur IP, vérifiez qu’une adresse IP est affichée dans le champ Adresse IP.

Afficher les statistiques de flux

Par défaut, le vSwitch de chaque Citrix Hypervisor géré envoie des données Netflow au vSwitch Controller, qui utilise ces données pour générer des tableaux et des graphiques de statistiques de flux. Le vSwitch génère des enregistrements Netflow pour tous les flux IPv4 après cinq secondes d’absence d’activité ou 60 secondes d’activité totale.

Le débit de données d’un flux est représenté comme le trafic total du flux calculé en moyenne sur toute la durée du flux. Par exemple, si un flux dure 10 secondes avec 900 Ko envoyés dans la première seconde et 10 Ko envoyés dans chacune des neuf secondes restantes, les données obtenues sont tracées comme si le débit était de 100 Kb/s pour toute la période de flux.

Netflow utilise des datagrammes UDP pour transporter des enregistrements NetFlow entre un commutateur et un collecteur (par exemple, vSwitch Controller). Étant donné que NetFlow utilise des datagrammes UDP, il n’y a généralement aucun moyen pour le collecteur de savoir pourquoi un enregistrement NetFlow n’a pas été reçu. Les enregistrements supprimés peuvent donner lieu à des données non déterministes avec des tableaux ou des graphiques de statistiques de flux. Par exemple, supposons qu’un réseau générant 10 flux par seconde dispose d’un seul transfert de fichiers de 1 Go qui dure 10 secondes. Le réseau génère un total de 202 flux (100 stimuli hping, 100 réponses hping, 1 stimulus de transfert de fichiers et 1 réponse de transfert de fichiers). Si 50% des datagrammes UDP sont supprimés, il y a une probabilité 50/50 que le collecteur signale soit 1 Go de données, soit 2 Ko.

Étant donné que chaque vSwitch d’un pool génère des enregistrements Netflow, les sources et les destinations s’exécutent sur différents serveurs Citrix Hypervisor entraînent deux enregistrements, doublant le nombre de statistiques.

Désactivez la visibilité des flux dans les déploiements de plus de 100 machines virtuelles pour éviter de surcharger l’appliance virtuelle vSwitch Controller et le réseau utilisé pour envoyer des enregistrements NetFlow.

L’onglet Statistiques de flux affiche un graphique et une table associée pour afficher les flux du nœud sélectionné.

Capture d'écran des listes qui donnent les options décrites dans la section suivante.

Utilisez les listes en haut de la page pour spécifier les éléments suivants :

  • Direction : bidirectionnelle, entrante, sortante
  • Unités : Octets, Bits, Paquets, Flux
  • Les éléments supérieurs ou inférieurs (valeurs les plus élevées ou les plus basses) de l’un des groupes suivants :
    • VM : machines virtuelles résidant dans le pool de ressources en tant que sources/destinations pour le trafic
    • Adresses IP : adresses IP comme source ou destination pour le trafic
    • Protocoles : trafic de protocole IP tel que ICMP, TCP et UDP

      Remarque :

      Les protocoles de couche Ethernet (tels que ARP) ne sont pas affichés en raison des limitations du protocole Netflow utilisé pour générer des résultats.

    • Application : trafic de protocole au niveau « application », identifié par le port TCP/UDP ou le type/code ICMP
  • Trafic (par type) : machines virtuelles, adresse IP, protocoles, applications (montré par type de protocole et numéro de port, ces informations peuvent vous permettre d’inférer le service)
  • Intervalle de temps.

Le tableau sous le graphique affiche une partie ou la totalité des informations suivantes, selon le type d’élément sélectionné dans la liste :

  • VM
  • IP
  • Octets entrants
  • Débit de données entrantes (Kbit/s)
  • Octets sortants
  • Débit de données sortantes (Kbit/s)
  • Nombre total d’octets
  • Taux de données total (bps)

Si NetFlow n’est pas transféré vers vSwitch Controller, un texte d’état bleu d’avertissement s’affiche sous l’onglet Statistiques de flux :One or more selected pools are not configured to forward NetFlow records to vSwitch Controller

Pour reconfigurer le transfert, cliquez sur le texte d’état bleu pour afficher la liste des pools de ressources. Sélectionnez le pool de ressources souhaité dans la liste pour accéder à la page d’état du pool. À partir de la page d’état, vous pouvez configurer le transfert de données NetFlow.

Gérer les groupes d’adresses

Vous pouvez configurer des groupes d’adresses pour spécifier les adresses IP à utiliser comme source ou destination pour les listes de contrôle d’accès et pour le reporting des statistiques de flux.

Pour ajouter un groupe d’adresses :

  1. Sous Visibilité et contrôle, sélectionnez Groupes d’adressesdans l’arborescence des ressources (panneau latéral) pour ouvrir la page État de tous les groupes d’adresses.
  2. Cliquez sur Créer un groupe.
  3. Entrez le nom pour identifier le groupe et une description facultative.
  4. Cliquez sur Créer un groupe. Le nouveau groupe est ajouté à la liste des groupes d’adresses.
  5. Sélectionnez le nouveau groupe dans l’arborescence des ressources pour ouvrir sa page État.
  6. Cliquez sur le bouton Ajouter des membres .
  7. Dans la fenêtre contextuelle, spécifiez une ou plusieurs adresses IP ou sous-réseaux (séparés par des virgules). Exemple : 192.168.12.5, 192.168.1.0/24
  8. Cliquez sur Ajouter. Continuez à ajouter d’autres réseaux au besoin. Chaque ensemble d’adresses est ajouté en tant que nœud sous le réseau dans la liste Groupes d’adresses.

Le nouveau groupe d’adresses est désormais disponible pour les stratégies ACL et les statistiques de flux.

Vous pouvez supprimer un groupe d’adresses existant en cliquant sur le lien Supprimer dans la ligne de Tous les groupes d’adresses de ce groupe d’adresses.

Vous pouvez également modifier le nom ou la description et le groupe d’adresses :

  1. Sélectionnez le nouveau groupe dans l’arborescence des ressources pour ouvrir sa page État.
  2. Cliquez sur le bouton Modifier le groupe .
  3. Dans la boîte de dialogue qui s’ouvre, modifiez le nom et la description.
  4. Cliquez sur le bouton Modifier le groupe pour enregistrer les modifications.

Gérer les groupes de machines virtuelles

Un groupe de machines virtuelles est un ensemble de machines virtuelles que vous identifiez comme un groupe pour afficher les statistiques d’état et de flux. Chaque machine virtuelle d’un groupe de machines virtuelles doit déjà se trouver dans un pool de ressources. Les groupes sont autrement indépendants des pools de ressources et des serveurs.

Pour ajouter un groupe de machines virtuelles :

  1. Sous Visibilité et contrôle, sélectionnez Groupes de machines virtuellesdans l’arborescence des ressources (panneau latéral) pour ouvrir la page État de tous les groupes de machines virtuelles.
  2. Cliquez sur le bouton Créer un groupe.
  3. Entrez le nom pour identifier le groupe et une description facultative.
  4. Cliquez sur Créer un groupe. Le nouveau groupe est ajouté à la liste des groupes de machines virtuelles.
  5. Sélectionnez le nouveau groupe dans l’arborescence des ressources pour ouvrir sa page État.
  6. Cliquez sur Ajouter un membre.
  7. Dans la fenêtre contextuelle, sélectionnez la machine virtuelle dans la liste.
  8. Cliquez sur Ajouter. Continuez à ajouter d’autres machines virtuelles si nécessaire. Chaque machine virtuelle est ajoutée en tant que sous-nœud sous le groupe dans la liste Groupes de machines virtuelles.

Les options de clic droit suivantes sont disponibles pour chaque groupe de machines virtuelles :

  • Ajouter une machine virtuelle au groupe : ajoutez un nouveau membre du groupe.
  • Modifier le nom/description : Modifiez le nom ou la description.
  • Supprimer le groupe : supprimez le groupe.

Hiérarchie de configuration de stratégie DVS

Utilisez les onglets Contrôle d’accès et Configuration de port de Visibilité et contrôle pour configurer les stratégies de contrôle d’accès, de QoS et de mise en miroir du trafic dans l’environnement réseau virtuel. Alors que toutes les stratégies sont appliquées au niveau VIF, vSwitch Controller expose un modèle de stratégie hiérarchique qui prend en charge la déclaration de stratégies par défaut dans une collection de VIF. Le contrôleur vSwitch fournit également un moyen de remplacer cette stratégie par défaut en créant des exceptions fines si nécessaire. Par exemple, vous pouvez exempter une machine virtuelle particulière de la stratégie de pool de ressources par défaut.

Semblable à la hiérarchie utilisée dans l’arborescence des ressources, la hiérarchie des stratégies comporte les niveaux suivants :

  • Global (niveau le plus général) : inclut toutes les VIF dans tous les pools de ressources.
  • Pools de ressources : toutes les VIF d’un pool de ressources particulier.
  • Réseaux : Tous les VIF connectés à un réseau particulier.
  • VM : toutes les VIF attachées à une machine virtuelle particulière
  • VIF (niveau le plus spécifique) : Un seul VIF.

Remarque :

Les serveurs Citrix Hypervisor ne sont pas inclus dans la hiérarchie des stratégies, car les stratégies doivent s’appliquer indépendamment de ce que Citrix Hypervisor dans un pool de ressources exécute une machine virtuelle.

Configurer des stratégies de contrôle d’accès

Choisissez l’onglet Contrôle d’accès pour configurer des stratégies qui autorisent ou refusent le trafic VM en fonction des attributs de paquet.

Une stratégie ACL consiste en un ensemble de règles, dont chacune comprend les éléments suivants :

  • Action : Indique si le trafic correspondant à la règle est autorisé (Autoriser) ou supprimé (Refuser).
  • Protocole : protocole réseau auquel la règle s’applique. Vous pouvez appliquer la règle à tous les protocoles (Tous), choisir parmi une liste de protocoles existante ou spécifier un nouveau protocole.
  • Direction : direction du trafic auquel s’applique la règle. Lisez le texte des règles de gauche à droite : « to » signifie trafic sortant de la machine virtuelle, tandis que « from » signifie trafic entrant vers la machine virtuelle.
  • Adresses distantes : indique si la règle est limitée au trafic vers/depuis un ensemble particulier d’adresses IP distantes.

La gestion des stratégies ACL suit de près la hiérarchie de l’arborescence des ressources. Vous pouvez spécifier des stratégies à n’importe quel niveau de la hiérarchie pris en charge. À chaque niveau, les règles sont organisées comme suit :

  • Règles obligatoires : Ces règles sont évaluées avant toute règle de stratégie enfant. Les seules règles qui prévalent sur elles sont les règles obligatoires des stratégies parent (moins spécifiques). Les règles obligatoires sont utilisées pour spécifier des règles que les stratégies enfant (plus spécifiques) ne peuvent pas remplacer.
  • Règles enfant : l’espace réservé de stratégie enfant indique l’emplacement dans l’ordre de règle auquel les règles des stratégies enfants sont évaluées. Il divise les règles obligatoires des règles par défaut.
  • Règles par défaut : Ces règles sont évaluées en dernier lieu, après toutes les règles obligatoires et toutes les règles par défaut de la stratégie enfant. Elles n’ont priorité que sur les règles par défaut des stratégies parentes. Ils sont utilisés pour spécifier le comportement qui est appliqué uniquement si une stratégie enfant plus spécifique ne spécifie pas de comportement conflictuel.

L'onglet **Contrôle d'accès** d'un VIF.

Règles de la liste de contrôle d’accès (ACL) globale

Pour configurer des règles ACL globales, cliquez sur Tous les pools de ressources dans l’arborescence des ressources. La page répertorie toutes les règles ACL définies au niveau global.

Règles de liste de contrôle d’accès (ACL) du pool de ressources

Pour configurer des règles ACL pour un pool de ressources, sélectionnez le pool de ressources dans l’arborescence des ressources.

La page affiche une barre extensible pour la stratégie globale et une zone étendue pour les règles de pool de ressources. Si vous cliquez sur le bouton Développer tout , vous pouvez voir comment les règles de pool de ressources sont incorporées dans la structure de stratégie globale.

Règles de liste de contrôle d’accès réseau (ACL)

Pour configurer les règles ACL au niveau du réseau, cliquez sur le réseau dans l’arborescence des ressources.

La page affiche ce qui suit :

  • Une barre extensible pour les règles globales
  • Barre extensible pour le pool de ressources auquel appartient le réseau
  • Une zone étendue pour les règles de réseau

Si vous cliquez sur Développer tout, vous pouvez voir comment les stratégies réseau sont incorporées dans la structure de stratégie de ressources et dans la structure de stratégie globale.

Règles de liste de contrôle d’accès VM (ACL)

Pour configurer des stratégies au niveau de la machine virtuelle, cliquez sur la machine virtuelle dans l’arborescence des ressources.

La page affiche ce qui suit :

  • Une barre extensible pour les règles globales
  • Barres extensibles pour le pool de ressources et le réseau auxquels appartient la machine virtuelle
  • Une zone étendue pour les règles de machine virtuelle

Si vous cliquez sur le bouton Développer tout , vous pouvez voir comment les règles de machine virtuelle sont incorporées dans le réseau, le pool de ressources et le framework global.

Si une machine virtuelle contient des VIF sur plusieurs réseaux, un lien « Changer de réseau » apparaît sur le côté droit de la barre d’exemple du réseau. Ce lien vous permet d’afficher les règles de chaque stratégie de niveau réseau qui peuvent s’appliquer à un VIF sur cette machine virtuelle.

Règles de liste de contrôle d’accès VIF (ACL)

Pour configurer des stratégies au niveau VIF, cliquez sur VIF dans l’arborescence des ressources. Étant donné que les stratégies sont empaquetées et appliquées uniquement au niveau VIF, vous devez afficher les pages VIF pour afficher le contexte de stratégie complet.

La page affiche ce qui suit :

  • Barres extensibles pour les règles globales
  • Barres extensibles pour le pool de ressources, le réseau et la machine virtuelle auxquels le VIF appartient
  • Une zone étendue pour les règles VIF

Si vous cliquez sur le bouton Développer tout , vous pouvez voir comment les règles VIF sont incorporées dans la VM, le réseau, le pool de ressources et le framework global.

Ordre d’application des règles de liste de contrôle d’accès (ACL)

Bien que les ACL puissent être définies à différents niveaux de la hiérarchie de configuration des stratégies, les ACL sont appliquées sur une base par VIF. Pour l’application effective, la hiérarchie est combinée dans l’ordre décrit dans cette section et appliquée à chaque VIF. Pour afficher les règles actuellement appliquées sur un VIF et les statistiques associées, sélectionnez le VIF dans l’arborescence des ressources. Affichez la liste ACL dans l’onglet État.

L’ordonnance d’exécution est la suivante :

  1. Règles obligatoires au niveau mondial
  2. Règles obligatoires pour le pool de ressources contenant le VIF
  3. Règles obligatoires pour le réseau contenant le VIF
  4. Règles obligatoires pour la VM contenant le VIF
  5. Règles pour le VIF contenant le VIF
  6. Règles par défaut pour la machine virtuelle contenant le fichier VIF
  7. Règles par défaut pour le réseau contenant le VIF
  8. Règles par défaut pour le pool de ressources contenant le fichier VIF
  9. Règles par défaut pour le global contenant le VIF

La première règle qui correspond est exécutée et aucune autre règle n’est évaluée.

Remarque :

Lorsqu’un vSwitch Controller n’est pas disponible, le pool de ressources applique les règles de contrôle d’accès en fonction du mode d’échec configuré. Consultez la section intitulée « Niveau du pool de ressources » sous « État d’affichage » pour plus de détails sur le mode d’échec d’un pool de ressources.

Définir des règles de liste de contrôle d’accès (ACL)

Pour définir une nouvelle règle ACL, utilisez l’arborescence des ressources pour choisir le nœud au niveau approprié dans la hiérarchie de configuration de stratégie. Vous pouvez ajouter des règles à chaque niveau pour ce niveau et pour les niveaux supérieurs. Par exemple, si vous sélectionnez un pool de ressources, vous pouvez ajouter des règles pour ce pool de ressources et des règles globales.

Si vous choisissez un nœud d’arborescence de ressources qui ne correspond pas à un niveau de la hiérarchie de configuration de stratégie, un message s’affiche. Le message fournit des liens pour choisir d’autres niveaux.

De nouvelles règles peuvent être ajoutées de la manière suivante :

  • Pour ajouter une règle obligatoire, cliquez sur l’icône d’engrenage dans la barre d’en-tête du niveau, puis choisissez Ajouter une nouvelle liste d’accès obligatoire.
  • Pour ajouter une règle par défaut, cliquez sur l’icône d’engrenage dans la barre d’en-tête du niveau, puis choisissez Ajouter une nouvelle liste d’accès par défaut.
  • Pour ajouter une règle au-dessus d’une entrée de règle existante, cliquez sur l’icône d’engrenage de l’entrée, puis choisissez Ajouter une nouvelle liste de contrôle d’accès ci-dessus.
  • Pour ajouter une règle sous une entrée de règle existante, cliquez sur l’icône d’engrenage de l’entrée, puis choisissez Ajouter une nouvelle liste de contrôle d’accès ci-dessous.

La nouvelle règle est ajoutée à la page avec les paramètres par défaut suivants :

  • Action : Autoriser
  • Protocole : Tout
  • Direction : To/De
  • Adresses distantes : Toutes
  • Description : Aucun

Pour modifier un champ particulier dans une règle, cliquez sur le lien représentant la valeur de champ en cours et appliquez les modifications décrites dans la liste suivante. Lorsque vous appliquez une modification, la règle est mise à jour pour afficher les valeurs.

  • Action : cliquez sur le lien et choisissez Modifier l’action pour refuser ou Modifier l’action pour autoriser .
  • Protocole : cliquez sur et choisissez l’une des options suivantes :
    • Choisissez Correspondance d’un protocole pour appliquer la règle à tous les protocoles.
    • Choisissez Utiliser un protocole existant pour spécifier un protocole. Sélectionnez le protocole dans la liste, puis cliquez sur Utiliser le protocole.
    • Choisissez Utiliser un nouveau protocole pour spécifier des caractéristiques de protocole personnalisées. Spécifiez les informations suivantes dans la fenêtre contextuelle, puis cliquez sur Enregistrer et utiliser :
      • Ethertype : sélectionnez IP ou entrez un autre Ethertype.
      • Protocole IP : sélectionnez l’un des protocoles répertoriés ou entrez un autre.
      • Port de destination (TCP/UDP uniquement) : entrez un numéro de port ou spécifiez Tout.
      • Port source (TCP/UDP uniquement) : entrez un numéro de port ou spécifiez Tout. Lorsque vous définissez une application qui utilise un port serveur bien connu, définissez ce port connu comme port de destination et laissez le port source comme étant Tout. Par exemple, vous pouvez utiliser cette approche pour HTTP, qui utilise le port 80.
      • Type ICMP (ICMP uniquement) : choisissez Tout ou entrez un type ICMP (ICMP) spécifique.
      • Code ICMP (ICMP uniquement) : Choisissez N’importe lequel ou entrez un code ICMP spécifique.
      • Correspondance du trafic de réponse : Indiquez si le trafic de retour est automatiquement autorisé dans le cadre de la règle. Par exemple, si la règle autorise le trafic du port de destination UDP 7777 de la machine virtuelle vers une adresse distante spécifiée et que le trafic de réponse correspondant est sélectionné, le trafic UDP est également autorisé à partir du port source 7777 de l’adresse distante vers la machine virtuelle. Activez cette option pour tout protocole UDP nécessitant une communication bidirectionnelle (l’option est toujours activée pour TCP).
      • Utilisation unique par rapport à Utilisations multiples : Indiquez si vous souhaitez utiliser ce protocole uniquement pour la règle actuelle ou l’ajouter à la liste des protocoles du menu Protocole.
    • Choisissez Afficher/Modifier le protocole actuel pour modifier les caractéristiques d’un protocole déjà défini.
  • Direction :Indiquez si la règle s’applique **aux adresses distantes spécifiées ou aux deux.**
  • Adresses distantes : Pour spécifier les adresses distantes :
    1. Cliquez sur le lien Tout pour ouvrir une fenêtre contextuelle qui répertorie les groupes d’adresses disponibles.
    2. Sélectionnez un ou plusieurs groupes d’adresses et utilisez les flèches pour les déplacer dans la colonne Sélectionné .
    3. Utilisez les boutons Tous pour sélectionner ou désélectionner tous les groupes.
    4. Pour spécifier une adresse IP ou un sous-réseau qui ne fait pas partie d’un groupe d’adresses existant, entrez l’adresse ou le sous-réseau (x.x.x.x ou x.x.x.x/n). Cliquez sur Ajouter. Répétez cette opération pour ajouter d’autres adresses.
    5. Cliquez sur Terminé.
  • Description : Pour ajouter une description textuelle de la règle :
    1. Cliquez sur le bouton Description .
    2. Cliquez sur l’entrée (<Aucun> s’il n’y a pas de description actuelle). Une zone de saisie de texte s’affiche. Entrez le texte et appuyez sur Entrez.
  • Détails de la règle : cliquez sur le bouton Détails de la règle pour afficher un bref résumé de la règle.

Cliquez sur Enregistrer les modifications de stratégie pour appliquer les nouvelles règles. Lorsque vous effectuez cette action, les modifications prennent effet immédiatement dans l’environnement réseau virtuel. Si vous n’avez pas encore enregistré les règles, vous pouvez cliquer sur Annuler les modifications pour inverser les modifications que vous avez nommées.

Lorsque vous modifiez une ACL, toutes les mises à jour en arrière-plan pour l’interface graphique de vSwitch Controller sont suspendues. Si un autre administrateur modifie la stratégie simultanément et valide les modifications avant vous, actualisez la page pour récupérer la nouvelle stratégie du serveur. Saisissez à nouveau vos modifications.

Vous pouvez modifier l’ordre des règles dans un niveau en cliquant sur l’icône d’engrenage correspondant à la règle et en choisissant Déplacer vers le haut ou Descendre . Vous ne pouvez pas déplacer une règle entre les niveaux de la hiérarchie. Pour supprimer une règle, cliquez sur l’icône d’engrenage et choisissez Supprimer. Cliquez sur le bouton Description pour afficher la description ACL. Ou le bouton Règle pour afficher la règle ACL que vous avez créée.

Les règles ACL sont toujours interprétées du point de vue de l’interface virtuelle de la machine virtuelle, même si elles sont configurées plus haut dans la hiérarchie des stratégies. Ce comportement est important lorsque vous pensez à la signification du champ Adresses distantes dans les règles.

Par exemple, si une machine virtuelle d’un pool possède l’adresse IP 10.1.1.1, vous pouvez vous attendre à une règle sur le pool qui spécifie « refuser tous les protocoles à IP 10.1.1.1 » pour empêcher tout trafic atteignant la machine virtuelle. Ce comportement est le cas pour toutes les autres machines virtuelles du pool de ressources, car chaque machine virtuelle applique la règle lors de la transmission de la machine virtuelle. Toutefois, les machines externes au pool de ressources peuvent communiquer avec la machine virtuelle avec l’adresse IP 10.1.1.1. Ce comportement est dû au fait qu’aucune règle ne contrôle le comportement de transmission des machines externes. C’est également parce que le VIF de la machine virtuelle avec l’adresse IP 10.1.1.1 a une règle qui supprime le trafic de transmission avec cette adresse. Toutefois, la règle ne supprime pas le trafic de réception avec cette adresse.

Si le comportement de la stratégie est inattendu, affichez l’onglet État de l’interface virtuelle où l’ensemble des règles de tous les niveaux de stratégie est visualisé.

Configurer les stratégies de configuration des ports

Utilisez l’onglet Configuration du port pour configurer les stratégies qui s’appliquent aux ports VIF. Les types de stratégie suivants sont pris en charge :

  • QoS : les stratégies de qualité de service (QoS) contrôlent le débit de transmission maximal d’une machine virtuelle connectée à un port DVS.
  • Mise en miroir du trafic : les stratégies RSPAN (Remote Switched Port Analyzer) prennent en charge la mise en miroir du trafic envoyé ou reçu sur un VIF vers un VLAN pour prendre en charge les applications de surveillance du trafic.
  • Désactiver la vérification de l’usurpation d’adresse MAC : les stratégies de vérification de l’usurpation d’adresse MAC contrôlent si l’application de l’adresse MAC est effectuée sur le trafic sortant d’un VIF. Si vSwitch Controller détecte un paquet avec une adresse MAC inconnue à partir d’un VIF, il supprime le paquet et tout le trafic ultérieur du VIF. Les stratégies de vérification de l’usurpation d’adresse MAC sont activées par défaut. Désactivez ces stratégies sur les VIF exécutant des logiciels tels que l’équilibrage de charge réseau sur les serveurs Microsoft Windows.

Avertissement :

L’activation de RSPAN sans configuration correcte de votre réseau physique et virtuel peut entraîner une panne de réseau grave. LisezConfigurer RSPANattentivement les instructions avant d’activer cette fonctionnalité.

Vous pouvez configurer les stratégies de port QoS et de mise en miroir de trafic aux niveaux global, pool de ressources, réseau, VM et VIF. Lorsque vous sélectionnez un nœud dans l’arborescence des ressources et que vous choisissez l’onglet Configuration du port , il affiche la configuration de chaque niveau parent dans la hiérarchie. Toutefois, seule la configuration au niveau de la stratégie sélectionnée peut être modifiée. Par exemple, si vous sélectionnez une machine virtuelle, l’onglet Configuration du port affiche les valeurs configurées au niveau global, du pool de ressources et du réseau. L’onglet vous permet de modifier la valeur au niveau de la machine virtuelle.

Les configurations QoS et Traffic Mirroring à un niveau donné remplacent les configurations aux niveaux supérieurs. Si une configuration est remplacée, l’onglet Configuration du port affiche la configuration de niveau supérieur barrée. Par exemple, la figure suivante montre une configuration QoS au niveau du réseau qui remplace la configuration au niveau du pool de ressources.

Capture d'écran de l'onglet **Configuration du port** .

Pour configurer les stratégies de port, choisissez le nœud dans l’arborescence des ressources et choisissez l’onglet Configuration du port . Si vous choisissez un nœud qui ne prend pas en charge les stratégies de configuration de port, un message s’affiche avec des liens vers des nœuds prenant en charge la configuration de port.

Configurer QoS

Pour les stratégies QoS, choisissez l’une des options suivantes :

  • Hériter la stratégie QoS du parent (par défaut) : applique la stratégie à partir du niveau hiérarchique supérieur (c’est-à-dire moins spécifique). Cette option n’existe pas au niveau global.
  • Désactiver la stratégie QoS héritée : ignore les stratégies définies à des niveaux supérieurs (c’est-à-dire moins spécifiques), de sorte que toutes les VIF incluses dans ce niveau de stratégie n’ont pas de configuration QoS.
  • Appliquer une limite QoS : Sélectionnez une limite de taux (avec unités) et une taille de rafale (avec unités). Le trafic vers tous les VIF inclus dans ce niveau de stratégie est limité au taux spécifié, avec des rafales individuelles limitées au nombre spécifié de paquets.

Avertissement :

La définition d’une taille de rafale trop petite par rapport à la limite de taux peut empêcher un VIF d’envoyer suffisamment de trafic pour atteindre la limite de taux. Ce comportement est particulièrement probable pour les protocoles qui effectuent le contrôle de la congestion tels que TCP.

Au minimum, le taux de rafale doit être supérieur à l’unité de transmission maximale (MTU) du réseau local.

La définition de QoS à un taux de rafale inapproprié sur n’importe quelle interface sur laquelle se trouve le contrôleur vSwitch peut entraîner la perte de toute communication avec le contrôleur vSwitch. Cette perte de communication force une situation de réinitialisation d’urgence.

Pour empêcher toute application héritée, désactivez la stratégie QoS au niveau de la machine virtuelle.

Cliquez sur Enregistrer les modifications de configuration de port pour implémenter les modifications, ou cliquez sur Annuler les modifications pour supprimer toutes les modifications non enregistrées. La stratégie prend effet immédiatement après l’enregistrement.

Configurer RSPAN

Avertissement :

La configuration de RSPAN lorsque le serveur est connecté à un commutateur qui ne comprend pas les VLAN ou qui n’est pas correctement configuré pour prendre en charge le VLAN RSPAN peut entraîner une duplication du trafic et des pannes réseau. Consultez la documentation et la configuration de vos commutateurs physiques avant d’activer la fonctionnalité RSPAN. Cet examen est particulièrement important aux niveaux supérieurs de la hiérarchie où plusieurs commutateurs physiques peuvent être impliqués.

L’activation de RSPAN nécessite une série d’étapes, décrites ci-dessous :

Identifier votre VLAN RSPAN

Lorsque RSPAN est activé sur un VIF, le vSwitch de ce VIF fait une copie de chaque paquet envoyé à ou à partir de ce VIF. Le vSwitch transmet la copie de ce paquet marqué avec la valeur VLAN appelée VLAN cible. Un administrateur place ensuite un hôte effectuant la surveillance sur le port du commutateur configuré pour utiliser le VLAN cible. Si l’interface hôte de surveillance utilise le mode promiscuous, elle peut voir tout le trafic qui est envoyé vers et depuis les VIF configurés pour utiliser RSPAN.

Configurer le réseau physique avec le VLAN cible

Il est essentiel de configurer correctement le réseau physique pour être conscient du trafic RSPAN afin d’éviter les pannes réseau. Activez RSPAN uniquement si l’infrastructure de commutation physique connectant tous les VIF compatibles RSPAN peut être configurée pour désactiver l’apprentissage sur le VLAN cible. Pour plus d’informations, consultez la documentation du fabricant de votre commutateur.

En outre, le trafic envoyé sur le VLAN cible doit être transféré de chacun des commutateurs virtuels aux hôtes de surveillance. Si votre infrastructure physique inclut de nombreux commutateurs dans une hiérarchie, ce transfert nécessite la liaison du VLAN cible entre les différents commutateurs. Pour plus d’informations, consultez la documentation du fabricant de votre commutateur.

Configurer vSwitch Controller avec le VLAN cible

Informez le contrôleur vSwitch de chaque VLAN cible avant d’utiliser cet ID VLAN pour la configuration du port RSPAN. Vous pouvez spécifier les ID de VLAN cible disponibles au niveau du pool de ressources, du réseau ou du serveur. Les VLAN cibles ajoutés à un niveau de la hiérarchie sont disponibles lors de la configuration de port RSPAN à ce niveau et à tous les niveaux inférieurs de la hiérarchie. Le niveau approprié pour spécifier un VLAN cible dépend de l’étendue de la configuration de votre infrastructure physique pour connaître ce VLAN cible.

Pour spécifier les VLAN cibles disponibles :

  1. Sous Visibilité et contrôle, ouvrez l’onglet Étatpour tous les pools de ressources, un pool de ressources spécifique, un serveur spécifique ou un réseau spécifique.
  2. Dans la zone ID VLAN cible RSPAN , cliquez sur + et entrez l’ID VLAN.
  3. Répétez cette opération pour ajouter d’autres ID de VLAN.
  4. Cliquez sur Enregistrer la modification du VLAN cible.

Les VLAN sont désormais disponibles pour la sélection sous l’onglet Configuration du port, comme décrit dans cette section.

Modifier la configuration du port pour activer RSPAN pour un ensemble de VIF

Pour configurer les stratégies RSPAN dans l’onglet Configuration du port , sélectionnez le nœud approprié dans l’arborescence des ressources et choisissez l’une des options suivantes :

  • Hériter la stratégie RSPAN du parent (par défaut) : applique la stratégie à partir du niveau hiérarchique supérieur (c’est-à-dire moins spécifique) suivant.
  • Désactiver la stratégie RSPAN héritée : ignore les stratégies définies à des niveaux supérieurs (c’est-à-dire moins spécifiques), de sorte que toutes les VIF incluses dans ce niveau de stratégie n’ont pas de configuration RSPAN.
  • Trafic RSPAN sur VLAN : choisissez un VLAN dans la liste des VLAN cibles. Les seuls VLAN cibles qui apparaissent dans la liste sont les VLAN configurés pour les niveaux de stratégie contenant le nœud actuellement sélectionné.

Configurer la vérification de l’usurpation d’adresse MAC

Pour désactiver l’application de l’adresse MAC, sélectionnez Vérification de l’usurpation d’adresse MAC. L’application ne peut être configurée que sur une base par VIF et n’hérite pas ou ne remplace pas les configurations parentes.

Enregistrer les modifications

Cliquez sur Enregistrer les modifications de configuration du port pour implémenter les modifications ou cliquez sur Annuler les modifications pour supprimer les modifications non enregistrées. La stratégie prend effet immédiatement après l’enregistrement.