Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Comprendre le déploiement du pare-feu virtuel vSRX avec Nutanix

Présentation de la plate-forme Nutanix

La plate-forme de calcul virtuel Nutanix est un système de calcul et de stockage convergé et évolutif qui est spécialement conçu pour héberger et stocker des machines virtuelles (VM).

Tous les nœuds d’un cluster Nutanix convergent pour fournir un pool unifié de stockage hiérarchisé et présenter des ressources aux VM pour un accès transparent. Une architecture globale de système de données intègre chaque nouveau nœud dans le cluster, ce qui vous permet de faire évoluer la solution pour répondre aux besoins de votre infrastructure. Nutanix prend en charge VMware vSphere (ESXi), Microsoft HyperV, Citrix XenServer et l’hyperviseur Nutanix Acropolis (AHV) (basé sur KVM).

L’unité de base du cluster est un nœud Nutanix. Chaque nœud du cluster exécute un hyperviseur standard et contient des processeurs, de la mémoire et du stockage local (SSD et disques durs).

Le cluster Nutanix dispose d’une architecture distribuée, ce qui signifie que chaque nœud du cluster partage la gestion des ressources et des responsabilités du cluster. Chaque nœud comporte des composants logiciels qui effectuent des tâches spécifiques pendant le fonctionnement du cluster. Tous les composants s’exécutent sur plusieurs nœuds du cluster et dépendent de la connectivité entre leurs pairs qui exécutent également le composant. La plupart des composants dépendent également d’autres composants pour obtenir des informations.

Une VM du contrôleur Nutanix s’exécute sur chaque nœud, ce qui permet de mettre en commun le stockage local à partir de tous les nœuds du cluster.

Gestion des données des VM invitées

Les données des VM sont stockées localement et répliquées sur d’autres nœuds pour une protection contre les défaillances matérielles.

Lorsqu’une VM invitée envoie une demande d’écriture via l’hyperviseur, cette demande est envoyée à la VM contrôleur sur l’hôte. Pour fournir une réponse rapide à la VM invitée, ces données sont d’abord stockées sur le lecteur de métadonnées, dans un sous-ensemble de stockage. Ce cache est rapidement distribué sur le réseau 10 Gigabit Ethernet GbE vers d’autres lecteurs de métadonnées du cluster. Les données Oplog sont régulièrement transférées vers un stockage persistant au sein du cluster. Les données sont écrites localement pour les performances et répliquées sur plusieurs nœuds pour une haute disponibilité.

Lorsque la VM invitée envoie une demande de lecture via l’hyperviseur, la VM du contrôleur lira d’abord à partir de la copie locale, si elle est présente. Si l’hôte ne contient pas de copie locale, la VM du contrôleur lira sur l’ensemble du réseau à partir d’un hôte qui contient une copie. Lorsque les données distantes sont accessibles, elles seront migrées vers des équipements de stockage sur l’hôte actuel, afin que les futures demandes de lecture puissent être locales.

La gestion des données des VM invitées comprend les fonctionnalités suivantes :

  • MapReduce tiering— Le cluster Nutanix gère dynamiquement les données en fonction de leur fréquence d’accès. Les nouvelles données sont enregistrées sur le niveau SSD. Les données fréquemment consultées sont conservées sur le niveau SSD et les anciennes données sont migrées vers le niveau HDD.

    La migration automatisée des données s’applique également à la lecture des demandes sur l’ensemble du réseau. Si une VM invitée accède à plusieurs reprises à un bloc de données sur un hôte distant, la VM du contrôleur local migre ces données vers le niveau SSD de l’hôte local. Cette migration réduit non seulement la latence du réseau, mais garantit également que les données fréquemment consultées sont stockées sur le niveau de stockage le plus rapide.

  • Live migration— La migration en direct des machines virtuelles, qu’elle soit lancée manuellement ou automatiquement comme vSphere DRS, est entièrement prise en charge par la plate-forme de calcul virtuel Nutanix. Tous les hôtes du cluster disposent d’une visibilité sur les magasins de données Nutanix partagés via les VM du contrôleur. Les données des VM invitées sont écrites localement et sont également répliquées sur d’autres nœuds pour une haute disponibilité.

    Si une VM est migrée vers un autre hôte, les demandes de lecture futures sont envoyées à une copie locale des données, le cas échéant. Dans le cas contraire, la demande est envoyée sur le réseau à un hôte qui contient les données demandées. Lorsque les données distantes sont accessibles, les données distantes sont migrées vers des équipements de stockage sur l’hôte actuel, de sorte que les demandes de lecture futures sont locales.

  • High availability (HA)— La redondance des données intégrée dans un cluster Nutanix prend en charge la haute disponibilité fournie par l’hyperviseur. En cas de défaillance d’un nœud, toutes les machines virtuelles protégées à haute disponibilité peuvent être automatiquement redémarrées sur les autres nœuds du cluster. Le système de gestion de l’hyperviseur, tel que vCenter, sélectionne un nouvel hôte pour les machines virtuelles, qui peut contenir ou non une copie des données vm.

  • Virtualization management VM high availability— Dans la haute disponibilité des VM de gestion de la virtualisation, lorsqu’un nœud devient indisponible, les vm qui s’exécutent sur ce nœud sont redémarrées sur un autre nœud du même cluster.

    En règle générale, une défaillance d’une entité est détectée par son isolement du réseau (l’incapacité de répondre aux battements de cœur). La gestion de la virtualisation garantit qu’au plus une instance de la VM s’exécute à n’importe quel point lors d’un basculement. Cette propriété empêche la simultanéité des E/S réseau et de stockage qui pourraient conduire à la corruption.

    Gestion de la virtualisation La haute disponibilité vm implémente un contrôle d’admission pour s’assurer qu’en cas de défaillance de nœud, le reste du cluster dispose de suffisamment de ressources pour accueillir les autres VM.

  • Datapath redundancy— Le cluster Nutanix sélectionne automatiquement le chemin optimal entre un hôte hyperviseur et ses données vm invitées. La VM contrôleur dispose de plusieurs chemins redondants, ce qui rend le cluster plus résilient aux défaillances.

    Lorsqu’il est disponible, le chemin optimal passe par la VM du contrôleur local vers les équipements de stockage locaux. Dans certains cas, les données ne sont pas disponibles sur le stockage local, par exemple lorsqu’une VM invitée a récemment été migrée vers un autre hôte. Dans ces cas, la VM du contrôleur dirige la demande de lecture sur l’ensemble du réseau vers le stockage sur un autre hôte via la VM contrôleur de cet hôte.

    La redondance des chemins de données répond également lorsqu’une VM de contrôleur local n’est pas disponible. Pour maintenir le chemin de stockage, le cluster redirige automatiquement l’hôte vers une autre VM contrôleur. Lorsque la VM du contrôleur local revient en ligne, le chemin de données est renvoyé à cette vm.

Déploiement du pare-feu virtuel vSRX avec Nutanix Présentation

Cette rubrique présente le déploiement du pare-feu virtuel vSRX sur Nutanix Enterprise Cloud.

Le pare-feu virtuel vSRX offre la même sécurité avancée complète que les pare-feu physiques SRX Series de Juniper Networks, mais dans un format virtualisé. La prise en charge peut atteindre 100 Gbit/s, ce qui en fait le pare-feu virtuel le plus rapide du secteur. Le pare-feu virtuel vSRX avec Nutanix offre :

  • Une plate-forme unique offrant des performances élevées et une évolutivité prévisible pour n’importe quelle charge de travail virtuelle.

  • Mise en réseau et sécurité hautes performances pour les centres de données virtuels évolutifs.

  • Flexibilité avec la prise en charge multi-hyperviseur (Hyper-V, ESXi et hyperviseur Acropolis) et une gamme complète d’appliances pour la bonne combinaison de ressources de calcul et de stockage.

  • Des machines virtuelles qui continuent de fonctionner et sont protégées grâce à des sauvegardes centrées sur les VM et à une reprise sur sinistre intégrée.

  • Architecture innovante Virtual Chassis Fabric avec capacités d’automatisation pour une gestion simplifiée.

Les implémentations manuelles, rigides et statiques de la connectivité et de la sécurité peuvent fonctionner dans les environnements réseau traditionnels. À l’ère du multicloud, cependant, où les exigences des applications sont très dynamiques, la sécurité du réseau doit être un partenaire agile et évolutif pour le calcul et le stockage.

Les entreprises multicloud utilisent généralement des solutions de sécurité périmétrique comme Nutanix Enterprise Cloud pour bloquer les menaces contenues dans le trafic nord-sud entrant ou sortant du HCI. Pour efficaces qu’elles soient, ces solutions ne peuvent pas se défendre contre les menaces introduites par les machines virtuelles (VM) compromises qui infectent le trafic est-ouest circulant au sein même du centre de données, entre les applications et les services. Si ces menaces ne sont pas identifiées et traitées en temps opportun, elles pourraient compromettre les applications critiques et entraîner la perte de données sensibles, causant des dommages irréparables aux revenus et à la réputation d’une entreprise.

Le pare-feu virtuel vSRX fonctionne avec Nutanix Enterprise Cloud pour fournir une sécurité avancée, une gestion cohérente, une neutralisation automatisée des menaces et une microsegmentation efficace, offrant ainsi une solution sécurisée et automatisée pour protéger les environnements multicloud d’aujourd’hui.

La solution hyperconvergée de Juniper Networks et Nutanix aide les entreprises à sécuriser leurs environnements multicloud grâce à une sécurité avancée, une gestion cohérente, une neutralisation automatisée des menaces, une automatisation et une microsegmentation efficace. Les entreprises peuvent désormais facilement déployer un multicloud sécurisé et automatisé sans les coûts opérationnels et de complexité de gestion.

Nutanix fournit des services à la demande dans le cloud. Les services vont de l’infrastructure en tant que service (IaaS) et de la plate-forme en tant que service (SaaS), en passant par l’application et la base de données en tant que service. Nutanix est une plate-forme cloud hautement flexible, évolutive et fiable. Avec Nutanix, vous pouvez héberger des serveurs et des services sur le cloud sous la forme d’un service BYOL (bring-your-own-license).

Avantages du pare-feu virtuel vSRX avec Nutanix

  • Advanced security— Protège l’entreprise en fournissant des services de sécurité avancés, notamment un pare-feu pour les utilisateurs et les applications, une prévention avancée des menaces et la prévention des intrusions.

  • Microsegmentation— Utilise la microsegmentation pour sécuriser les applications et se défendre contre la propagation latérale des menaces dans le multicloud d’entreprise. Protège les charges de travail virtuelles grâce à une microsegmentation efficace.

    La microsegmentation facilite la segmentation et le contrôle granulaires en appliquant des stratégies de sécurité au niveau de l’hôte virtualisé. D’un point de vue de la sécurité, plus une menace peut être bloquée avec précision, plus la défense sera efficace pour contenir la propagation de la menace. Les administrateurs doivent compléter leurs solutions de sécurité avec la microsegmentation et la neutralisation automatisée des menaces, offrant ainsi la visibilité et le contrôle nécessaires pour protéger le trafic latéral des centres de données contre les violations courantes.

  • Visibility— Fournit une visibilité granulaire et des analyses sur les applications, les utilisateurs et le comportement ip.

  • Automation— Offre des API riches et des bibliothèques d’automatisation de Nutanix et Juniper Networks pour permettre des workflows DevOps agiles ; pour améliorer la réponse à la sécurité grâce à l’automatisation unifiée des workflows de sécurité et de mise en réseau.

  • Operational simplicity— Rationalise et permet le déploiement et l’application des stratégies grâce à une seule et même interface et à des contrôles simples et intuitifs sur les déploiements multicloud.

Comprendre le déploiement de pare-feu virtuel vSRX avec Nutanix AHV

L’infrastructure hyperconvergée de Nutanix Acropolis (HCI) permet aux clients de choisir des solutions de virtualisation, notamment VMware vSphere (ESXi), Microsoft HyperV, Citrix XenServer et Nutanix AHV. L’AHV est un hyperviseur Nutanix riche en fonctionnalités. L’AHV est un hyperviseur d’entreprise basé sur une technologie open source éprouvée. Nutanix AHV est une solution de virtualisation sans licence incluse avec Acropolis qui offre une virtualisation d’entreprise prête pour un monde multicloud. Avec Acropolis et AHV, la virtualisation est étroitement intégrée au système d’exploitation Nutanix Enterprise Cloud, plutôt que d’être intégrée en tant que produit autonome qui doit être utilisé sous licence, déployé et géré séparément.

Les tâches courantes telles que le déploiement, le clonage et la protection des machines virtuelles sont gérées de manière centralisée via Nutanix Prism, plutôt que d’utiliser des produits et des stratégies disparates dans une stratégie fragmentaire.

La figure 1 illustre comment la sécurité est assurée pour les applications exécutées dans un sous-réseau privé de Nutanix Enterprise Cloud avec hyperviseur AHV.

Figure 1 : Déploiement du pare-feu virtuel vSRX dans Nutanix Enterprise Cloud vSRX Virtual Firewall Deployment in Nutanix Enterprise Cloud

La solution de virtualisation Nutanix AHV, y compris les outils dont vous avez besoin pour la gérer, est livrée à partir de l’usine déjà installée et prête à fonctionner, afin que vous puissiez mettre le système en service dès que vous avez installé le cluster et l’avoir allumé. Une fois le système opérationnel, vous pouvez gérer l’environnement via une interface utilisateur Web HTML 5 simple. Prism Element, disponible sur chaque cluster que vous déployez, intègre cette interface utilisateur à l’ensemble de la solution Nutanix. Vous pouvez accéder à Prism Element via chaque cluster Nutanix individuel via l’ADRESSE IP du cluster ou l’une des adresses IP de la machine virtuelle (CVM) du contrôleur Nutanix. Prism Element ne nécessite aucun logiciel supplémentaire ; il est intégré à chaque cluster Nutanix et intègre la prise en charge de l’AHV.

Si vous préférez un mécanisme plus centralisé pour gérer votre déploiement, Prism Central est disponible sur le portail Nutanix ou peut être déployé directement depuis le cluster Nutanix. Prism Central est une appliance logicielle robuste en option qui peut s’exécuter sur ESXi, Hyper-V ou AHV.

Prism Central est à la fois une plate-forme et une interface de gestion hyperviseur-agnostique, offrant une vue d’ensemble de vos clusters Nutanix déployés. En plus de vous permettre d’afficher et de gérer le cluster, Prism Central fournit des informations sur les machines virtuelles, les hôtes, les disques et les conteneurs ou les disques groupés.

Prism Central fournit une interface unique pour gérer non seulement plusieurs clusters Nutanix, mais aussi l’hyperviseur Nutanix natif, AHV. Contrairement à d’autres hyperviseurs, AHV ne nécessite pas d’applications back-end ou de base de données supplémentaires pour maintenir les données rendues dans l’interface utilisateur.

Prism s’exécute sur chaque nœud du cluster, mais comme les autres composants, il choisit un leader. Toutes les requêtes sont transférés des abonnés au leader à l’aide des iptables Linux. Les administrateurs peuvent ainsi accéder à Prism à l’aide de n’importe quelle adresse IP du contrôleur. Si le leader Prism échoue, un nouveau leader est élu. Le leader communique également avec les hôtes ESXi pour connaître l’état des VM et les informations associées. Junos Space Security Director gère les pare-feu virtuels vSRX déployés sur chaque nœud d’un cluster Nutanix AHV. Il agit comme un gestionnaire unifié des stratégies de sécurité pour appliquer des stratégies cohérentes sur toutes les machines virtuelles de pare-feu virtuel vSRX dans les clouds privés et publics basés sur Nutanix (AWS/Azure).

Le trafic entre vms et applications est redirigé via le pare-feu virtuel vSRX, ce qui permet de provisionner des services de sécurité de pare-feu de nouvelle génération avec une prévention des menaces avancées. Les stratégies de sécurité appliquées au trafic à l’intérieur du Nutanix Enterprise Cloud renforcent le HCI de Nutanix avec la microsegmentation, bloquant les menaces sophistiquées qui se propagent latéralement tout en identifiant et en contrôlant l’accès des applications et des utilisateurs. Cela permet aux administrateurs de sécurité d’isoler et de segmenter les applications et les données critiques en utilisant les principes de sécurité Zero Trust.

Composants du déploiement du pare-feu virtuel vSRX avec Nutanix

La solution conjointe avec le pare-feu virtuel vSRX et Nutanix comprend les composants clés suivants :

  • vSRX Virtual Firewall— Le pare-feu virtuel vSRX offre la même sécurité avancée complète que les pare-feu physiques SRX Series de Juniper Networks, mais sous une forme virtualisée.

  • Junos Space Security Director— Junos Space Security Director permet aux opérateurs réseau de gérer un réseau distribué de pare-feu virtuels et physiques à partir d’un seul emplacement. En tant qu’interface de gestion du pare-feu virtuel vSRX, Security Director gère les stratégies de pare-feu sur toutes les instances de pare-feu virtuel vSRX. Il comprend un tableau de bord personnalisable avec des détails, des cartes des menaces et des journaux d’événements, offrant une visibilité sans précédent sur la sécurité du réseau. La surveillance mobile à distance est également possible via une application mobile pour les systèmes Google Android et Apple iOS.

  • Nutanix AHV— Nutanix AHV est une solution de virtualisation de niveau entreprise incluse avec le système d’exploitation Nutanix Enterprise Cloud, sans aucun composant logiciel supplémentaire à licence, à installer ou à gérer. À partir d’une technologie de virtualisation open source éprouvée, AHV combine un chemin de données amélioré pour des performances optimales, un renforcement de la sécurité, la virtualisation des flux réseau et des fonctionnalités de gestion complètes pour fournir une pile de virtualisation plus allégée mais plus puissante, sans étagères coûteuses et des coûts de virtualisation réduits.

  • Nutanix Manager (Nutanix Prism)— Nutanix Prism est un outil de gestion de bout en bout permettant aux administrateurs de configurer et de surveiller le cluster et les solutions Nutanix pour les environnements de centres de données virtualisés à l’aide de la nCLI et de la console Web. La fonctionnalité de gestion de bout en bout rationalise et automatise les workflows courants, éliminant ainsi le besoin de multiples solutions de gestion dans les opérations du centre de données. Grâce à une technologie avancée de machine learning, Prism analyse les données système pour générer des informations exploitables afin d’optimiser la virtualisation et la gestion de l’infrastructure.

Exemple de déploiement de pare-feu virtuel vSRX avec Nutanix AHV

Un exemple de déploiement de pare-feu virtuel vSRX pour sécuriser les applications exécutées dans un sous-réseau privé de Nutanix Enterprise Cloud avec hyperviseur AHV est illustré en figure 2.

Figure 2 : Exemple de déploiement du pare-feu virtuel vSRX dans Nutanix Enterprise Cloud à l’aide d’AHV Sample vSRX Virtual Firewall Deployment in Nutanix Enterprise Cloud Using AHV

Une image du pare-feu virtuel vSRX est chargée dans le noyau linux avec la solution de virtualisation Nutanix AHV comme hyperviseur. Les machines virtuelles basées sur AHV prennent en charge le multi-utilisateur, ce qui vous permet d’exécuter plusieurs vm de pare-feu virtuel vSRX sur le système d’exploitation hôte. L’AHV gère et partage les ressources système entre le système d’exploitation hôte et les multiples machines virtuelles de pare-feu vSRX.

Note:

Le pare-feu virtuel vSRX nécessite d’activer la virtualisation matérielle sur un système d’exploitation hôte qui contient un processeur compatible avec la technologie de virtualisation Intel (VT).

Les composants de base de ce déploiement sont les suivants :

  • Linux bridge— Utilisé pour le trafic de contrôle CVM

  • Open vSwitch (OVS) bridge(s)— Utilisé sous forme de trafic VM et pour se connecter à des ports physiques

  • Physical switch— Transporte le trafic entrant ou sortant vers les ports physiques du réseau sur l’hôte