Cloud privé géré à locataire unique

MPC Single Tenant (MPC ST) est la variante de service d'infrastructure dédiée de Managed Private Cloud (MPC) destinée aux clients exigeant une robustesse, une isolation et une sécurité maximales. Elle offre un environnement entièrement dédié au sein d'un centre de données Equinix IBX.

MPC ST est un environnement de calcul monolocataire déployé sous forme de grappe composée de plusieurs hôtes. Il fournit des ressources de calcul, de stockage et de réseau dédiées à un seul client, éliminant ainsi le modèle de mutualisation et prenant en charge les charges de travail ou applications nécessitant des ressources cohérentes et isolées. La gestion des ressources de calcul, de stockage et de réseau s'effectue par le biais de la console d'exploitation MPC.

Cluster de calcul MPC ST

Le groupe MPC ST comprend sept hôtes ou plus du même type. Le type de grappe détermine la disponibilité et les caractéristiques de SLA du service. Les types de grappes suivants sont pris en charge:

• Un seul groupe, un seul centre de données
• Multi-cluster, multi-centre de données
• Cluster unique, double centre de données (cluster étendu)

Une configuration mono-grappe, répartie sur un seul centre de données, convient aux applications exigeant une haute disponibilité. La reprise après sinistre pour ce type de grappe repose principalement sur des solutions de sauvegarde. Une configuration multi-cluster, répartie sur plusieurs centres de données, convient lorsque les applications prennent en charge des mécanismes de basculement intégrés et peuvent se rétablir après une panne.

Hôte

Un environnement MPC ST comprend un minimum de 7 hôtes, dont 6 sont utilisés pour l'exécution de la charge de travail et 1 est réservé comme capacité de secours (N+1).

MPC ST fournit un catalogue de types d'hôtes définis par le processeur, le nombre de cœurs, la mémoire vive et le stockage.

Dimensionnement par grappe

Le dimensionnement d'une grappe repose sur la capacité de calcul requise et la disponibilité. Une grappe comprend une capacité nette utilisable, exprimée en nombre d'hôtes (N), et comprend une capacité de réserve pour la disponibilité, la récupération et la maintenance. Les besoins en capacité de réserve dépendent de la taille du cluster.

• La taille minimale du groupe est de sept (7) hôtes (N+1)
• Les grappes de plus de quinze (15) hôtes nécessitent un deuxième hôte de secours (N+2).

Dimensions des grappes et capacité nette

La capacité serveur de réserve est réservée pour garantir la disponibilité. Les nœuds de réserve ne peuvent pas être utilisés tant que tous les nœuds actifs restent opérationnels ; leur capacité est donc exclue du calcul de la capacité disponible. Le tableau ci-dessous présente des exemples de tailles de grappe, incluant les tailles minimale et maximale, ainsi que la capacité nette utilisable associée en cœurs de processeur et en Go de RAM.

MPC ST CLUSTER SIZE	HYPERVISOR SERVER MODEL	# SPARE SERVERS	# AVAILABLE CPU CORES	# AVAILABLE GB RAM
7 (6+1) minimum	16C, 512 GB RAM	1	60	1380
	32C, 512 GB RAM	1	90	1380
	32C, 1024 GB RAM	1	90	2850
	64C, 1024 GB RAM	1	180	2850
	64C, 2048 GB RAM	1	180	5700
15 (14+1)	16C, 512 GB RAM	1	210	6440
	32C, 512 GB RAM	1	420	6440
	32C, 1024 GB RAM	1	420	13300
	64C, 1024 GB RAM	1	840	13300
	64C, 2048 GB RAM	1	840	26600
17 (15+2)	16C, 512 GB RAM	2	225	6900
	32C, 512 GB RAM	2	450	6900
	32C, 1024 GB RAM	2	450	13800
	64C, 1024 GB RAM	2	900	13800
	64C, 2048 GB RAM	2	900	27600

Centres de données virtuels organisationnels (OVDC)

Les clients peuvent définir un ou plusieurs OVDC dans une grappe MPC ST afin de bénéficier d'une organisation des ressources flexible et évolutive. Un OVDC fournit un environnement logique doté de vCPU, de RAM, de ressources de stockage et de capacités réseau sur lequel les clients peuvent définir des machines virtuelles.

Garantie de performance vCPU

Chaque OVDC dispose d'une réservation minimale de performances vCPU garantie. Une seule garantie de performance peut être appliquée par OVDC. Les options disponibles sont:

vCPU Guarantee	Use
FULL	For every 1 vCPU, a full core is reserved
HIGH	For every 2 vCPU, a full core is reserved
OPTIMIZED	For every 8 vCPU, a full core is reserved

Rangement

Dans MPC ST, le stockage est inclus dans le prix de l'hôte. Les clients peuvent répartir la capacité de stockage totale sur plusieurs OVDC. Chaque OVDC peut se voir attribuer jusqu'à deux stratégies de stockage. Le tableau ci-dessous énumère les stratégies de stockage disponibles.

Storage Policy	Use
ULTRA PERFORMANCE	For logs and other workloads with need for the highest IOPS
HIGH PERFORMANCE	Database RDS/SBC, VDI low-latency beneficial workloads
PERFORMANCE	Generic VMs, app / web services, high-performance file services / object storage

Les clients peuvent combiner plusieurs OVDC de différentes configurations et tailles pour optimiser l'utilisation de la capacité de calcul et de stockage disponible, ainsi que les performances du cluster. Les politiques de sécurité peuvent être configurées sur les réseaux virtuels et les OVDC peuvent être interconnectés.

Caractéristiques du stockage MPC

• La capacité de stockage est allouée par politique et par OVDC.
• Jusqu'à deux politiques de stockage différentes peuvent être attribuées par OVDC.
• Le stockage MPC prend en charge le chiffrement au repos
• La taille de disque virtuel recommandée par machine virtuelle est entre 40 Go et 8 To.

Capacité de stockage nette prévue

L'espace disque disponible diffère de la capacité de stockage utilisable en raison de la déduplication, de la compression et de l'espace réservé à la protection et à la gestion. La capacité minimale et la capacité utile attendue peuvent être déterminées en fonction de la taille et du nombre de disques, ainsi que du nombre de serveurs dans le cluster. En phase de prévente, la capacité requise est définie selon les besoins du client.

La consommation de stockage par politique est mesurée en fonction de la capacité allouée pour:

• disques VM
• Fichiers d'échange de VM
• Instantanés
• Fichiers de la bibliothèque (modèles vApp et ISO)

Licences VMware

Les hôtes MPC ST incluent la licence VMware Cloud Foundation (VCF) dans le prix de l'hôte.

Calcul des unités d'achat

Les unités d'achat de calcul pour MPC ST sont basées sur les types d'hôtes disponibles.

Les différents types d'unités d'achat pour MPC Tenant unique sont décrits dans le tableau ci-dessous.

Purchase Unit	Host Type	Billing Type	Description
AHM-16L05V4#4	Generic Host	Baseline	16C, 512GB RAM, 4×3.84TB NVME
AHM-16L05V6#4	Generic Host	Baseline	16C, 512GB RAM, 6×3.84TB NVME
AHM-32L05V8#4	Generic Host	Baseline	32C, 512GB RAM, 8×3.84TB NVME
AHM-32L05V6#8	Generic Host	Baseline	32C, 512GB RAM, 6×7.68TB NVME
AHM-32L05V8#8	Generic Host	Baseline	32C, 512GB RAM, 8×7.68TB NVME
AHM-32L05V6#15	Generic Host	Baseline	32C, 512GB RAM, 6×3.68TB NVME
AHM-32L10V8#4	Generic Host	Baseline	32C, 1024GB RAM, 4×15.36TB NVME
AHM-32L10V6#8	Generic Host	Baseline	32C, 1024GB RAM, 6×7.68TB NVME
AHM-32L10V8#8	Generic Host	Baseline	32C, 1024GB RAM, 8×7.68TB NVME
AHM-32L10V6#15	Generic Host	Baseline	32C, 1024GB RAM, 6×15.36TB NVME
AHM-64L10V8#8	Generic Host	Baseline	64C, 1024GB RAM, 8×7.68TB NVME
AHM-64L10V6#15	Generic Host	Baseline	64C, 1024GB RAM, 6×15.36TB NVME
AHM-64L20V8#8	Generic Host	Baseline	64C, 2048GB RAM, 8×7.68TB NVME
AHM-64L20V6#15	Generic Host	Baseline	64C, 2048GB RAM, 6×15.36TB NVME
Remarque: les hôtes de la grappe sont réservés pour toute la durée du contrat.

Utilisation de MPC ST

• Sélectionnez plusieurs hôtes et grappes qui répondent aux exigences en matière de ressources, à condition que chaque grappe ne contienne qu'un seul type d'hôte.
• Combinez plusieurs garanties de performance vCPU au sein d'un seul groupe MPC monolocataire en créant des centres de données virtuels organisationnels (OVDC) supplémentaires.
• Utilisez des machines virtuelles de toute taille dans les limites de l'hôte pour les ressources de calcul ; les recommandations de dimensionnement des machines virtuelles s'appliquent, et l'allocation de ressources au-delà des tailles recommandées n'améliore pas nécessairement les performances.
• Respectez la taille maximale recommandée de la machine virtuelle, soit 8 vCPU et 64 Go de RAM pour MPC ST.

Connectivité MPC

MPC peut être connecté aux environnements externes suivants:

• Colocation Équinix
• Bordure réseau Equinix
• fournisseurs de WAN
• Fournisseurs de services infonuagiques (CSP)
• Environnements MPC dans une autre métropole
• Accès Internet Équinix (EIA) par Equinix Fabric

La connectivité est assurée uniquement par Equinix Fabric à l'aide de circuits virtuels. Les autres méthodes de connexion au MPC ne sont pas prises en charge.

Type de connectivité

Les exigences réseau déterminent la manière dont le réseau du client se connecte à un centre de données virtuel organisationnel (OVDC) de MPC. Les types de connectivité suivants sont disponibles:

• Routage - Routage dans MPC fourni par Equinix
• Routage joint - Option de routage utilisant un routeur partagé entre plusieurs OVDC
• Routage client - Routage assuré par un dispositif de routage virtuel géré par le client au sein de l'OVDC
• Pare-feu privé géré - Routage assuré par le service de pare-feu privé géré

Plusieurs OVDC

Chaque OVDC possède un seul type de connectivité attribué. Lorsque plusieurs OVDC sont utilisés, plusieurs combinaisons de types de connectivité sont possibles.

Connectivité routinière

Ce type de connectivité assure une connectivité de couche 3 au MPC OVDC. Cette option comprend un moteur de routage intégré configurable via la console d'exploitation. Chaque réseau routé interne MPC créé est automatiquement inclus dans le domaine de routage du client.

Connectivité client acheminée

Cette option utilise une appliance de routage virtuelle (VM) auto-fournie, installée et gérée au sein de MPC comme moteur de routage. Tous les réseaux externes commandés sont disponibles dans la console d'exploitation en tant que réseaux externes fournis par Equinix. Des réseaux externes supplémentaires peuvent être commandés séparément. Les réseaux externes doivent être connectés à l'appareil de routage virtuelle.

Les réseaux internes isolés du MPC doivent être connectés au routeur. Il incombe au client de mettre en place une redondance de couche 3 (BGP) à l'aide de plusieurs connexions virtuelles.

En mode routage client, les VLAN peuvent être agrégés pour le trafic nord-sud, de l'extérieur vers le MPC. L'agrégation de liens n'est pas prise en charge pour le trafic est-ouest à l'intérieur du MPC.

remarque

• Les réseaux routés internes ne sont pas offerts avec cette option. Seuls les réseaux internes isolés créés en libre-service peuvent être utilisés pour connecter les machines virtuelles à l'appliance de routage virtuelle.
• Des réseaux externes sont nécessaires pour connecter le dispositif de routage virtuel à la connectivité externe. Deux circuits virtuels (VC) sont requis par connexion pour assurer la redondance.
• Bien que la plateforme MPC offre une haute disponibilité, le déploiement d'une configuration à haute disponibilité utilisant deux appareils de routage virtuels est recommandé.
• L'utilisation des outils VMware sur les équipements de routage et les machines virtuelles est recommandée pour une gestion optimale.

Pare-feu privé à gestion de la connectivité

Lorsqu'on utilise le pare-feu privé géré (MPF) comme service de sécurité supplémentaire, incluant le routage et la journalisation, toute la connectivité externe est terminée au niveau du MPF. Le MPF est connecté au système de routage MPC intégré. Dans cette configuration, le trafic nord-sud est traité d'abord par le MPF, puis par le MPC. Le MPC assure aussi le routage est-ouest.

Cette option offre une configuration de routage intégrée composée de deux éléments.

• Routage MPF, configuré par Equinix
• Routage MPC, configurable via la console de l'opérateur

Chaque réseau routé interne MPC créé fait automatiquement partie du domaine de routage du client. Les réseaux internes isolés n'en font pas partie.

Mise en réseau avec plusieurs OVDC

Lorsqu'un réseau métropolitain utilise plusieurs OVDC, les clients peuvent combiner différents types de connectivité. Comme le type de connectivité est lié à l'OVDC, chaque scénario offre des capacités spécifiques.

Lorsqu'un client utilise plusieurs OVDC dans un même métro, il peut choisir d'utiliser une passerelle dédiée par OVDC ou d'utiliser la même instance de passerelle pour les deux OVDC (route jointe).

Plusieurs OVDC avec connectivité et routage client

Lorsqu'un client utilise plusieurs OVDC au sein d'une même région métropolitaine, il peut choisir une combinaison de routage automatique pour un OVDC et de routage personnalisé pour l'autre. Le client a deux options de mise en œuvre:

1. Les OVDC sont connectés
2. Les OVDC ne sont pas connectés

Lorsque les OVDC sont connectés, un VLAN est établi entre la passerelle client et la passerelle routée. Dans ce cas, des réseaux peuvent être créés entre les deux OVDC.

Lorsque les OVDC ne sont pas connectés, chaque OVDC fonctionne comme un environnement autonome.

Options de connexion virtuelle | Connexion # | Type Description | |-----------|---|---------------------|-------------| | Colocation Équinix | 1 | VC en libre-service | Connexion créée et gérée par le client. Via le portail Equinix Fabric à l'aide d'un profil de service EMS / jeton de service. | | Equinix Network Edge | 2 | VC en libre-service | Connexion créée et gérée par le client. Via le portail Equinix Fabric à l'aide d'un profil de service EMS / jeton de service. | | Fournisseurs WAN | 3 | VC géré | Connexion créée et gérée par Equinix. Fait partie de la commande MPC. | | Fournisseurs de services infonuagiques (CSP) | 4 | VC géré | Connexion créée et gérée par Equinix. Fait partie de la commande MPC. | | Environnement MPC dans un autre métro | 5 | VC géré | Connexion créée et gérée par Equinix. Fait partie de la commande MPC. | | Accès Internet Équinix (EIA) par Equinix Fabric | 6 | Accès Internet géré | Connexion créée et gérée par Equinix. Fait partie de la commande MPC. |

Avec une configuration virtuelle en libre-service, les clients créent leurs connexions virtuelles via le portail Equinix Fabric. Equinix Managed Solutions contacte ensuite le client pour configurer la connexion côté MPC. Chaque connexion nécessite la commande de deux modules virtuels.

Dans le cadre d'une VC gérée, la CV fait partie d'une commande MPC pour laquelle Equinix initie la configuration. Lors de la mise en œuvre, Equinix contacte le client afin de recueillir les paramètres nécessaires à la configuration des VC.

Remarque: Chaque connexion nécessite deux circuits virtuels pour assurer la redondance, autant pour le libre-service que pour les circuits virtuels gérés.

Accès Internet

Si l'accès à Internet est requis dans l'environnement MPC, l'accès Internet géré doit être commandé. L'accès Internet géré utilise l'accès Internet Fabric (EIA) et est configuré avec une bande passante fixe, sans possibilité de dépassement. L'EIA prend en charge une bande passante allant jusqu'à 10 Gbit/s vers le MPC. L'espace d'adressage IP doit être commandé séparément.

Pour accéder à Internet, un client peut aussi s'abonner à un fournisseur tiers disponible sur Equinix Fabric. Dans ce cas, l'abonnement à cet abonnement lui incombe.

Remarque: Lorsque vous utilisez un fournisseur d'accès Internet tiers, deux connexions doivent être commandées pour des raisons de redondance.

Réseau virtuel MPC

La plateforme MPC offre des fonctions de réseau virtuel configurables via la console d'exploitation MPC. Le tableau ci-dessous énumère les fonctions disponibles et indique si elles sont incluses dans le service ou facturées séparément.

Function	Charge Type	Routed and Managed Firewall	Customer Routed
Standard Firewall	Included	Y	N
Distributed or Advanced Firewall	Charged	Y	Y
Routing, IPv4 Static and Dynamic (BGP)	Included	Y	N
Routing IPv6	Included	Y	N
NAT	Included	Y	N
DHCP	Included	Y	N
VPN IPSEC Layer‑3 Site‑to‑Site	Included	Y	N
Route Advertisement	Included	Y	N

Réseaux internes

Les réseaux internes d'un OVDC peuvent être créés en libre-service via la console opérationnelle MPC. Le service de réseautage MPC prend en charge jusqu'à 1 000 réseaux internes par OVDC. Il est également possible de configurer des réseaux internes sur plusieurs OVDC au sein d'un même Equinix IBX lorsque l'OVDC est configuré avec un groupe de centres de données.

Deux types de réseaux internes sont disponibles:

• Le routage permet aux machines virtuelles de se connecter à un réseau utilisant la passerelle comme routeur et offrant un accès au WAN, à la colocation, aux fournisseurs de services infonuagiques ou à Internet. Les réseaux routés sont disponibles pour toutes les machines virtuelles et applications virtuelles au sein de l'OVDC.
• Isolés, ces réseaux ne sont pas connectés à des réseaux ayant accès à un WAN, à des services de colocation, à des fournisseurs de services infonuagiques ou à Internet, sauf s'ils sont connectés à un routeur autogéré.

Les réseaux routés sont disponibles uniquement pour le type de connectivité « Routé ».

Groupe de centres de données

Lorsqu'on utilise plusieurs OVDC, un groupe de centres de données crée un réseau unifié entre eux, permettant ainsi d'utiliser le même réseau sur plusieurs OVDC. Un groupe de centres de données est nécessaire pour utiliser la fonctionnalité de pare-feu distribué. Si aucun groupe de centres de données n'est disponible, une demande de service peut être soumise pour sa configuration.

Réseaux intersites

Lorsqu'on utilise MPC dans différentes métropoles, deux sites MPC situés dans des centres de données distincts peuvent être connectés en demandant un circuit virtuel géré entre les sites. La configuration réseau dépend du type de connectivité choisi. La connectivité entre deux centres de données est facturée comme un circuit virtuel géré.

La connectivité entre plus de deux centres de données est prise en charge, mais nécessite un routeur Fabric Cloud (FCR), un Equinix Fabric IP-WAN et deux connexions virtuelles entre la zone MPC et le routeur Fabric Cloud.

Remarque: La commande et la configuration du routeur Fabric Cloud et de l'IP-WAN ne font pas partie des solutions gérées.

Connectivité des unités d'achat - Unités par OVDC unique

Purchase Item	UOM	Calculation Type	Description
Connectivity Type	ONCE	Baseline	Routing instance per OVDC: • Routed • Routed Joined • Customer Routed • Managed Firewall
Managed Virtual Circuit	VC	Baseline	Available bandwidth: 10 / 50 / 200 / 500 Mbps or 1, 2, 5, 10 Gbps Two (2) VCs needed per connection for redundancy
Managed Internet Access	Each	Baseline	Internet access available in 10 / 50 / 100 / 200 / 500 Mbps and 1, 2, 5, and 10 Gbps Managed Virtual Circuits are included in Managed Internet Access
Allocated IP‑space	block	Baseline	Supported IPv4 /24 to /29 and IPv6 Mandatory when Managed Internet Access is procured
Distributed Firewall (DFW)	Per Core	Baseline / Overage	Additional functionality to offer micro‑segmentation

Console opérationnelle MPC

La console opérationnelle MPC offre des outils d'automatisation et une API pour gérer vos ressources MPC.

• Gestion des OVDC dans plusieurs centres de données Equinix
• Création, importation et gestion des VM et vApps
• Dimensionnement des machines virtuelles (à la hausse et à la baisse)
• Créer un instantané de machine virtuelle (limité à 1 instantané)
• Accès à la console de la VM
• Statistiques de performance
• Création et remplissage de la "bibliothèque" avec vos fichiers ISO/OVA
• Accès direct au portail libre-service MPC et à la console VM via un navigateur web sans solution VPN complexe
• Nombreuses options pour la programmation et l'automatisation (API)
• Séparer ou regrouper des machines virtuelles pour des raisons de disponibilité ou de performance
• Gérer les règles de pare-feu et la microsegmentation
• Créer et gérer des règles de routage statiques pour IPv4
• Créer et gérer des règles de routage statiques pour IPv6
• Créer et gérer un serveur NAT et un serveur DHCP.
• Créer et gérer un VPN IPSec de couche 3 basé sur un « tunnel » de site à site
• Créer et gérer le routage et le transfert virtuels (VRF)

Accès à MPC ST

Pour accéder au nuage privé géré (MPC), rendez-vous sur le portail client. Vous pourrez ensuite accéder aux éléments suivants:

• Portail de solutions gérées (MSP) – utilisé pour créer des tickets, soumettre des demandes de service et consulter les statistiques d'utilisation du MPC.
• Console opérationnelle – utilisée pour gérer et exploiter les ressources MPC.

Régions

La console opérationnelle permet d'accéder aux ressources MPC d'une région spécifique. MPC est disponible dans quatre régions: Amérique du Sud, Amérique du Nord, Europe et Asie.

Chaque instance MPC est associée à une région. Lorsqu'une instance se trouve dans une région, vous pouvez ouvrir sa console opérationnelle correspondante en sélectionnant l'option régionale dans la section « Solutions gérées » du portail client.

Une fois connecté à la console régionale appropriée, votre accès aux ressources est organisé par organisation et par centres de données virtuels organisationnels (OVDC).

Organisation

Une organisation (Org) représente le client dans la console opérationnelle. L'Org regroupe toutes les ressources MPC de la région, y compris les centres de données virtuels, les utilisateurs et les bibliothèques de contenu. Le nom de l'Org est requis pour se connecter à la console opérationnelle MPC.

Centre de données virtuel organisationnel (OVDC)

Un centre de données virtuel organisationnel (OVDC) regroupe les ressources de calcul, de stockage et de réseau utilisées pour exécuter vos charges de travail. Une même organisation peut contenir plusieurs OVDC, qui peuvent différer selon l'emplacement de votre IBX (par exemple, Amsterdam, Londres ou Ashburn) ou selon votre profil de performance de calcul. Si vous avez besoin d'une capacité supplémentaire ou d'un OVDC supplémentaire, veuillez contacter votre gestionnaire de la prestation de services ou votre gestionnaire de compte.

Rôles des locataires

remarque

Les rôles de locataire suivants s'appliquent uniquement aux variantes Managed Private Cloud Single Tenant et Managed Private Cloud FLEX.

Les rôles des utilisateurs définissent les autorisations et les actions disponibles au sein d'un locataire MPC. Ces rôles leur sont attribués après leur ajout par le portail client. Ils déterminent les actions qu'ils peuvent faire dans la console opérationnelle et les fonctionnalités API auxquelles ils ont accès.

Lors du déploiement initial d'un nouvel environnement MPC, Equinix crée le premier compte administrateur client dans le cadre du processus d'intégration. Ce compte est créé à partir du nom et de l'adresse courriel fournis par le client et se voit automatiquement attribuer le rôle d'administrateur du locataire, ce qui lui confère un accès complet à la console opérationnelle MPC, y compris aux fonctionnalités d'administration et de configuration au niveau du locataire.

Les rôles suivants sont pris en charge:

Administrateur locataire - Le rôle d'administrateur du locataire offre un accès administratif complet à un locataire MPC. Les utilisateurs disposant de ce rôle peuvent gérer la configuration du locataire, les accès utilisateurs et les fonctionnalités d'automatisation de l'environnement. Les autorisations d'administrateur du locataire incluent:

• Accédez à la console de la machine virtuelle
• Créer et supprimer des instantanés
• Créer et supprimer des jetons API personnels
• Créer, modifier et supprimer des comptes de service à l'échelle de l'organisation
• Créer, modifier et supprimer des machines virtuelles dans la portée du locataire
• Créer, modifier et supprimer des vApps dans la portée du locataire
• Créer, modifier et supprimer des réseaux dans le périmètre du locataire
• Créer, modifier et supprimer des bibliothèques de contenu et leur contenu dans la portée du locataire
• Configurer les passerelles périphériques dans le périmètre du locataire
• Configurer les règles d'affinité
• Consultez les journaux des tâches et des événements dans la portée du locataire

Utilisateur locataire - Le rôle Utilisateur locataire permet aux utilisateurs de créer et de gérer des charges de travail et certaines ressources au sein d'un locataire MPC, sans accès aux paramètres d'administration globaux du locataire. Les autorisations de l'Utilisateur locataire incluent:

• Accédez à la console des machines virtuelles
• Créer et supprimer des instantanés
• Créer et supprimer des jetons API personnels
• Démarrer et arrêter des machines virtuelles dans le périmètre du locataire
• Démarrer et arrêter les vApps dans la zone du locataire
• Mettre à jour les outils VM dans le périmètre du locataire
• Consultez les journaux des tâches et des événements dans la portée du locataire

Visionneuse de locataire - Le rôle Visionneuse de locataire offre un accès en lecture seule à la configuration du locataire et à l'état des ressources. Les utilisateurs disposant de ce rôle peuvent consulter les mêmes ressources et informations que les utilisateurs disposant du rôle Utilisateur locataire, sous réserve des restrictions suivantes:

• Aucune autorisation de création, de modification ou de suppression (CRUD) pour les machines virtuelles ou les vApps.
• Accès à la console impossible

Gestion du MPC ST

Gestion des utilisateurs

Les utilisateurs de la console opérationnelle sont gérés par le portail client. Consultez la section Gestion des utilisateurs et des mots de passe. Une fois les utilisateurs ajoutés, une demande de service doit être soumise pour leur attribuer le rôle de locataire MPC.

Pour utiliser une autre source d'identité, la fédération d'identités peut être configurée dans le portail client afin de s'intégrer à un fournisseur d'identité externe. Cela permet aux utilisateurs de se connecter à l'aide de leurs identifiants d'entreprise.

Accès à l'API

L'accès à l'API de la console opérationnelle du nuage privé géré (MPC) est destiné à l'accès programmatique et à l'automatisation. Les outils d'automatisation courants incluent Terraform, Ansible, Python et les appels d'API basés sur XML ou JSON. L'authentification à l'API nécessite la génération de jetons d'accès dans la console opérationnelle. Deux méthodes d'accès sont prises en charge, chacune conçue pour un cas d'utilisation différent.

Method	Details
API tokens	• API access to the Operational Console on behalf of the Customer Portal or federated user accounts for individual programmatic access. • Can be configured by all Customer Portal or federated user accounts.
Service accounts	• API access to the Operational Console using standalone accounts intended for organization-wide automation and third-party tools or applications. • Can be configured only by users with the Tenant Admin role. • Can be assigned one of the supported roles. • Supports API access only.

Automatisation Terraform

Terraform est un outil d'infrastructure en tant que code qui permet de définir des ressources infonuagiques et sur place à l'aide de fichiers de configuration lisibles par l'humain. Ces fichiers peuvent être versionnés, réutilisés et partagés, ce qui permet un flux de travail cohérent pour le provisionnement et la gestion de l'infrastructure tout au long de son cycle de vie.

Terraform permet de gérer les ressources de bas niveau comme le calcul, le stockage et le réseau. La plupart des fonctionnalités de la console opérationnelle sont accessibles via l'API ou Terraform. Pour plus d'informations, consultez la [documentation du fournisseur Terraform.

jetons API

Les jetons d'API peuvent être créés via le portail client ou un compte utilisateur fédéré dans la console opérationnelle et servent à l'accès programmatique personnel. Voici comment créer un jeton d'API:

1. Connectez-vous à la console opérationnelle. Ouvrez les Préférences utilisateur dans le menu en haut à droite.
2. Allez à la section Jetons API et sélectionnez Nouveau.
3. Entrez un nom pour le jeton et sélectionnez Créer.
4. Copiez et conservez le jeton généré en lieu sûr. Ce jeton n'apparaît qu'une seule fois et ne peut plus être consulté après la fermeture de cet écran. En cas de perte, un nouveau jeton doit être généré.
5. Une fois créé, le jeton apparaît dans la liste des jetons API et peut être révoqué lorsqu'il n'est plus nécessaire.

Comptes de service

En raison de la nature délicate des comptes de service, seuls les utilisateurs disposant du rôle d'administrateur du locataire peuvent les créer, les consulter et les supprimer. Voici comment créer un compte de service:

remarque

Un compte de service est propriétaire de tous les objets qu'il crée dans la console opérationnelle.

1. Connectez-vous à la console opérationnelle. Ouvrez Administration, puis sélectionnez Comptes de service et choisissez Nouveau.
2. Entrez un nom pour le compte de service, assignez un rôle et utilisez l'outil baguette magique pour générer un identifiant unique. Sélectionnez Suivant pour continuer.
3. (Optionnel) Attribuer une ou plusieurs limites de quota au compte de service.
4. Sélectionnez Terminer pour créer le compte de service.
5. Une fois créée, la clé API s'affiche dans le champ ID client lors de la consultation des propriétés du compte de service. La plupart des paramètres du compte de service peuvent être modifiés ultérieurement en sélectionnant Modifier.

Explorateur d'API

L'explorateur d'API fournit une interface graphique permettant de visualiser, de tester et d'exécuter des appels d'API et est accessible via la console opérationnelle.

1. Dans la console d'opération, ouvrez le menu en haut à droite et sélectionnez Aide > Explorateur d'API.
2. L'explorateur d'API expose l'API JSON basée sur Swagger et permet d'exécuter des appels d'API au nom du compte utilisateur actuellement connecté.

Console opérationnelle

Lorsqu'un utilisateur est connecté au portail client, la console opérationnelle est accessible en naviguant vers le portail des solutions gérées, en sélectionnant Cloud privé géré, puis en sélectionnant la région souhaitée.

Si l'utilisateur accède directement à la console opérationnelle via son URL et sélectionne « Se connecter », il est redirigé vers le portail client pour s'authentifier à l'aide de ses identifiants. Le portail client prend également en charge la configuration de la fédération SAML avec le fournisseur d'identité de l'organisation, permettant ainsi aux utilisateurs d'accéder à la console opérationnelle avec leurs identifiants professionnels.

À partir de la console opérationnelle, il est possible d'effectuer des actions pour créer des machines virtuelles, des réseaux et des règles de sécurité.

vApp

Une vApp est un groupe de machines virtuelles au sein d'un centre de données virtuel, représentant par exemple un environnement applicatif. Les machines virtuelles peuvent être gérées collectivement (par exemple, en créant un instantané ou en les redémarrant) ou individuellement au sein d'une vApp. Une durée de bail peut être attribuée aux machines virtuelles et aux vApps, après quoi elles sont automatiquement supprimées. Par défaut, cette durée est illimitée.

Une vApp peut être créée avec ou sans machines virtuelles. Créer une vApp sans machines virtuelles peut être utile pour configurer le réseau de la vApp avant la création des machines virtuelles.

Créer une nouvelle vApp

1. Rendez-vous sur la page principale sous Candidatures vApps**, sélectionnez Créer une nouvelle vApp, indiquez un nom et une description, puis sélectionnez Créer. Attendez la fin du processus.
2. Options dans la fenêtre vApp:
   • Sélectionnez Alimentation pour allumer, éteindre, redémarrer ou suspendre la vApp. Ces actions ne sont disponibles que si la vApp contient une machine virtuelle.
   • Sélectionnez Plus pour ajouter ou supprimer une machine virtuelle de la vApp.
   • Sélectionnez Détails pour afficher ou modifier des informations supplémentaires.

Machines virtuelles

Les machines virtuelles peuvent être créées soit au sein d'une vApp, soit de manière autonome. Il est recommandé de les créer dans une vApp. Une vApp peut contenir jusqu'à 100 machines virtuelles, et ces dernières peuvent être déplacées d'une vApp à l'autre. Les réseaux peuvent aussi être créés entre des machines virtuelles hébergées dans différentes vApps.

La création de machines virtuelles dans le cadre d'une vApp offre plusieurs avantages, tels que le regroupement des machines virtuelles par tâche, fonction ou exigences de conservation ; la configuration de l'ordre de démarrage et d'arrêt ; l'amélioration de la visibilité de la configuration réseau grâce au diagramme de réseau de la vApp ; et l'activation de la gestion déléguée grâce à un accès basé sur les rôles.

Les ressources de stockage allouées et la mémoire RAM allouée sont comptabilisées comme stockage utilisé conformément à la politique de stockage définie. Au démarrage d'une machine virtuelle, les ressources de calcul sont déduites du quota de calcul du centre de données virtuel de l'organisation (OVDC).

La méthode d'installation la plus courante pour une nouvelle machine virtuelle consiste à sélectionner un fichier ISO dans le catalogue Equinix privé ou partagé. La machine virtuelle démarrera ensuite à partir de ce fichier ISO et lancera l'installation. Une autre option est de créer une machine virtuelle et une vApp à partir d'un fichier OVF ou OVA sur le poste de travail de l'administrateur pendant le processus de création.

Créer une machine virtuelle

1. Allez à Applications > Machines virtuelles et sélectionnez Créer une machine virtuelle, ou sélectionnez Plus sur une vApp et choisissez Ajouter une machine virtuelle.
2. Suivez les étapes affichées dans la boîte de dialogue de création, puis sélectionnez OK et attendez que la machine virtuelle soit créée.
   1. Entrez un nom et un nom d'ordinateur.
   2. Sélectionnez Nouveau comme type.
   3. Choisissez si la machine virtuelle doit démarrer automatiquement après sa création.
   4. Sélectionnez la famille de systèmes d'exploitation, le système d'exploitation invité et l'image de démarrage.
   5. Configurez les options de démarrage, y compris le démarrage sécurisé EFI et la configuration du démarrage.
   6. Configurez les paramètres du module de plateforme sécurisée (TPM), si nécessaire.
   7. Configurez les ressources de calcul, y compris le processeur, les cœurs et la mémoire.
   8. Configurer le stockage, y compris la politique de stockage et la taille du disque.
   9. Configurer les paramètres réseau.
3. Dans l'écran Machines virtuelles:
   1. Sélectionnez Alimentation pour allumer ou éteindre la machine virtuelle, la redémarrer ou la mettre en pause.
   2. Sélectionnez Plus pour monter le support d'installation, gérer les instantanés, ouvrir la console ou supprimer la machine virtuelle.
   3. Sélectionnez Affichage pour afficher ou modifier les détails de configuration et les paramètres supplémentaires.

Lier le support d'installation du catalogue à une machine virtuelle

Si un catalogue est déjà disponible et que les supports d'installation ont été téléchargés, il peut être associé à la machine virtuelle.

1. Localisez la machine virtuelle et sélectionnez Plus.
2. Sélectionnez Insérer un support et choisissez le fichier d'installation. Le fichier est connecté comme un CD-ROM virtuel.
3. Une fois l'opération terminée, il est recommandé de détacher le fichier d'installation en sélectionnant Éjecter le média.

Console VM

Une machine virtuelle peut être gérée par la console d'exploitation. Deux types de consoles sont disponibles:

• Console Web fonctionnant à partir de votre navigateur.
• Console distante VM nécessitant l'installation d'un plug-in.

Les supports d'installation (ISO) ne peuvent pas être utilisés directement à partir d'un appareil local. Ils doivent être chargés dans un catalogue avant de pouvoir être montés sur une machine virtuelle.

Le plugiciel VM à distance à distance pour les appareils Windows est disponible dans le catalogue partagé. Pour macOS et Linux (y compris Windows via Workstation), la fonctionnalité VMRC est intégrée à VMware Fusion Pro et VMware Workstation Pro. Ces applications nécessitent une licence distincte et ne sont ni incluses avec MPC ni fournies par Equinix.

1. Localisez la machine virtuelle à partir de la vApp ou de la vue d'ensemble Machines virtuelles.
2. Sélectionnez Plus et choisissez le type de console souhaité: la console Web (aucun plugiciel requis) ou la console distante VM (plug-in requis).

Instantanés

Un instantané capture l'état complet d'une machine virtuelle ou d'une vApp avant l'exécution d'une action. La console d'exploitation n'autorise qu'un seul instantané à la fois, avec ou sans l'état de la mémoire active. La création d'un instantané double temporairement l'espace de stockage utilisé par la machine virtuelle ou la vApp. Les instantanés peuvent affecter la performance de la machine virtuelle. Il est recommandé de conserver les instantanés pendant un maximum de 2 à 3 jours ; ceux datant de plus d'une semaine sont automatiquement supprimés. Pour une conservation à plus long terme de l'état d'une machine virtuelle, créez un clone ou effectuez une sauvegarde de la machine virtuelle ou de la vApp.

1. Localisez la machine virtuelle ou la vApp, sélectionnez Actions Instantané**, puis choisissez Créer un instantané, puis confirmez.
2. Pour restaurer la machine virtuelle à l'état de l'instantané, sélectionnez Restaurer l'instantané et confirmez.
3. Pour supprimer l'instantané, sélectionnez Supprimer l'instantané et confirmez.

remarque

Lorsqu'un nouvel instantané est créé à partir d'une machine virtuelle possédant déjà un instantané, ce dernier est supprimé. Pour accéder à toutes les options d'instantané, VMware Tools doit être installé sur la machine virtuelle.

Catalogues

Le catalogue de la console opérationnelle stocke les vApps, les machines virtuelles et les fichiers multimédias (comme les images ISO). Equinix fournit un catalogue partagé contenant un ensemble de fichiers ISO. Ce catalogue partagé est associé à l'OVDC, et plus précisément à l'infrastructure réseau de l'environnement.

Un catalogue privé peut être créé pour stocker les supports d'installation ou les modèles. Les fichiers peuvent être chargés directement, ou des modèles peuvent être créés à partir de machines virtuelles ou d'applications virtuelles existantes. Les fichiers stockés dans le catalogue privé sont comptabilisés dans le quota de stockage OVDC. Tous les logiciels chargés doivent être conformes aux exigences de licence du fournisseur et aux politiques d'Equinix. Ce catalogue est réservé aux fichiers ISO et OVF.

Créer un catalogue

Pour entreposer les supports d'installation ou les modèles, il faut d'abord créer un catalogue.

1. Sur l'écran d'accueil, sélectionnez l'icône de menu (trois lignes horizontales).
2. Dans l’écran Centre de contenu, sélectionnez Catalogues, puis choisissez Nouveau.
3. Entrez un nom et une description pour le catalogue. Les catalogues peuvent être stockés sur n'importe quel profil de stockage disponible. Par défaut, le profil le plus rapide est sélectionné. Pour choisir un profil de stockage spécifique, activez l'option Préprovisionnement sur une stratégie de stockage spécifique, sélectionnez ORGOVDC et choisissez la stratégie de stockage souhaitée.

Ajouter le support d'installation

Lorsque le catalogue est disponible, les supports d'installation peuvent y être téléchargés.

1. Accédez aux Bibliothèques de contenu Médias et autres et sélectionnez Ajouter.
2. Sur le nouvel écran, sélectionnez le catalogue, puis cliquez sur l'icône de téléchargement (flèche pointant vers le haut) pour ouvrir l'explorateur de fichiers. Sélectionnez le fichier d'installation et confirmez avec OK.
3. Modifiez le nom si nécessaire et sélectionnez OK pour lancer le chargement. Dans la section Médias et autres, un indicateur de chargement s'affiche pendant le chargement. Une coche verte apparaît une fois le chargement terminé. Le fichier est alors prêt à être utilisé.
4. Sélectionner les trois points à côté du nom du fichier offre des options pour supprimer le fichier ou le télécharger sur le poste de travail.

Créer un modèle d'application virtuelle

Un modèle de vApp peut être créé en important un fichier depuis un poste de travail local ou en utilisant une vApp existante. Un modèle pour une seule machine virtuelle basé sur une vApp ne peut être créé que si la vApp ne contient qu'une seule machine virtuelle.

1. Localisez l'application virtuelle à utiliser comme source, sélectionnez Plus, puis Ajouter au catalogue. Sélectionnez le catalogue de destination et entrez un nom. Vous pouvez créer une copie exacte ou modifier les paramètres de la machine virtuelle si VMware Tools est installé avant la création du modèle.
2. Pour accéder au modèle vApp, rendez-vous sur Content Hub. > Catalogues** et ouvrez le catalogue correspondant. Une fois disponible, le modèle peut être utilisé pour déployer de nouvelles machines virtuelles.

Catalogues partagés

Equinix fournit un catalogue partagé (OS-CATALOG-1) par région métropolitaine MPC, contenant un ensemble de variantes de systèmes d'exploitation. Sélectionnez le catalogue associé à la région métropolitaine où la machine virtuelle sera déployée. Ce catalogue partagé est associé à la variante MPC (FLEX ou ST) de cette région métropolitaine. Si MPC FLEX et MPC ST sont utilisés simultanément dans la même région métropolitaine, deux catalogues seront visibles.

Connectivité et réseaux

La console opérationnelle offre plusieurs options pour se connecter aux services et y accéder, que ce soit au sein de l'organisation ou à l'extérieur. Selon le modèle de connectivité sélectionné, un OVDC est créé avec un mode de pontage (MPC Connectivity Customer Routed dans la commande) ou un mode de routage (MPC Connectivity Routed dans la commande).

Les fonctions réseau disponibles dans la console opérationnelle varient selon que la connectivité sélectionnée est « acheminée par le client » ou « acheminée ».

Dans la console opérationnelle, deux types de réseaux peuvent être créés par le libre-service:

• Réseau isolé (connecté en interne): Un réseau isolé existe uniquement pour les machines virtuelles au sein de l’OVDC.
• Réseau routé (connecté en externe): Un réseau routé permet d’accéder aux réseaux externes situés à l’extérieur de l’OVDC par la passerelle périphérique.

MPC Connectivity Type	Isolated	Routed
Bridging	Yes	No
Routing	Yes	Yes

Architecture du pare-feu de passerelle MPC

MPC utilise une architecture de pare-feu de passerelle multicouche qui combine des contrôles de périmètre et de charge de travail pour sécuriser le trafic nord-sud et est-ouest. La conception du pare-feu MPC comprend deux principaux types ou couches de pare-feu:

• Pare-feu de passerelle (Nord–Sud): Protègent le périmètre MPC et gèrent le trafic entrant ou sortant de l’environnement.

• Pare-feu distribué (Est-Ouest): Protégez les charges de travail au niveau de la vNIC et fournissez une micro-segmentation au sein de l’OVDC.

Créer un réseau OVDC isolé

Un réseau de centre de données virtuel d'organisation (OVDC) permet aux machines virtuelles (VM) de communiquer entre elles et, éventuellement, avec des réseaux externes. Un seul OVDC peut contenir plusieurs réseaux.

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez le centre de données virtuel (OVDC) où le réseau sera créé.
2. Dans le panneau de navigation de gauche, sélectionnez Réseaux.
3. Cliquez sur Nouveau.
4. Sous Scope, sélectionnez le OVDC actuel pour le réseau isolé.
5. Dans la page Type de réseau de la boîte de dialogue Nouveau réseau VDC d'organisation, sélectionnez Isolé, puis cliquez sur Suivant.
6. Sur la page Général, entrez un Nom et une Description pour le réseau.
7. Dans le champ CIDR de la passerelle, sélectionnez l'espace d'adressage IP du réseau dans la liste déroulante. Cette liste est préremplie par Equinix en fonction des renseignements fournis par le client lors du déploiement.
8. La double pile peut être activée lorsque l'IPv6 est requis.
9. L'option « VLAN invité autorisé » peut être activée pour permettre la présence de plusieurs VLAN au sein des machines virtuelles connectées.
10. Cliquez sur Suivant.
11. (Optionnel) Dans Pools d'adresses IP statiques, entrez une plage d'adresses IP pour les machines virtuelles de ce réseau et cliquez sur Ajouter. La console d'exploitation pourra ainsi attribuer automatiquement les adresses IP lors de la création de la machine virtuelle. Si cette option n'est pas configurée, l'attribution des adresses IP devra être effectuée manuellement lors de la création de la machine virtuelle. Exemple: Si l’adresse de la passerelle est 192.168.1.1/24, une plage d’adresses IP statiques de 192.168.1.10 à 192.168.1.100 fournit 91 adresses IP utilisables. Il est possible d’ajouter des plages supplémentaires plus tard, si nécessaire.
12. Une fois terminé, cliquez sur Suivant.
13. (Optionnel) Sur la page DNS, entrez les informations DNS, puis cliquez sur Suivant. Si vous omettez cette étape, vous devrez saisir manuellement les paramètres DNS lors de la création des machines virtuelles.
14. Sur la page Prêt à terminer, vérifiez tous les paramètres et cliquez sur Terminer.

Créer un réseau OVDC routé

Un réseau OVDC routé permet aux machines virtuelles (VM) de communiquer entre elles et avec des réseaux externes via le routage de couche 3 (L3). Un seul OVDC peut contenir plusieurs réseaux routés. Le processus de création diffère selon que la fonctionnalité de pare-feu distribué est utilisée ou non.

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez le centre de données virtuel (OVDC) où le réseau sera créé.
2. Dans le volet de navigation de gauche, sélectionnez Réseaux, puis cliquez sur Nouveau.
3. Sous Étendue, sélectionnez Centre de données virtuel de l'organisation actuelle si le pare-feu distribué n'est pas utilisé.
4. Dans la page Type de réseau de la boîte de dialogue Nouveau réseau OVDC, sélectionnez Routé, puis cliquez sur Suivant.
5. Sous Connexion Edge, sélectionnez la passerelle Edge à laquelle le segment routé se connectera.
6. Sur la page Général, entrez un Nom et une Description pour le réseau.
7. Dans le champ CIDR de la passerelle, sélectionnez l'espace d'adressage IP du réseau dans la liste déroulante. Cette liste est préremplie par Equinix en fonction des renseignements fournis par le client lors du déploiement.
8. Activez la double pile si IPv6 est requis.
9. L'option « Activer le VLAN invité » permet d'autoriser plusieurs VLAN au sein des machines virtuelles connectées.
10. Cliquez sur Suivant.
11. (Optionnel) Sur la page DNS, entrez les paramètres DNS, puis cliquez sur Suivant. Si elles ne sont pas configurées ici, les informations DNS doivent être ajoutées manuellement lors de la création de la machine virtuelle.
12. Sur la page Prêt à terminer, vérifiez vos sélections puis cliquez sur Terminer. Une fois le réseau créé et connecté à l'OVDC, la passerelle Edge peut être configurée pour contrôler le trafic autorisé à entrer et à sortir de l'OVDC.

Lors de l'utilisation d'un réseau routé distribué:

• Le trafic entre les réseaux distribués est protégé par le pare-feu distribué parce qu'il ne transite pas par la passerelle Edge.
• Le trafic entrant ou sortant de l'environnement transite par la passerelle Edge, où le pare-feu de passerelle est appliqué.
• Le pare-feu distribué nécessite l'option de service MPC pour pare-feu distribué, qui doit être commandée dans le cadre du contrat MPC.

remarque

Si le routage distribué est activé, les pare-feu de passerelle ne sont pas disponibles pour ce réseau et le pare-feu distribué (DFW) doit être utilisé. Le pare-feu Nord-Sud demeure disponible. Si le routage distribué est désactivé, seuls les pare-feu de passerelle sont disponibles pour ce réseau routé.

VLAN invité autorisé

L'activation de cette option permet de configurer des étiquettes VLAN (étiquettes 802.1Q) sur les interfaces réseau des machines virtuelles. Cela permet d'exécuter plusieurs VLAN sur un même segment de réseau routé ou isolé.

Créer des règles de pare-feu passerelle

La console opérationnelle intègre un pare-feu de couche 4 complet pour contrôler le trafic traversant les frontières de sécurité, aussi bien Nord-Sud (trafic entre l'OVDC et les réseaux externes) qu'Est-Ouest (trafic au sein et entre les réseaux OVDC). Lors de la spécification des réseaux ou des adresses IP pour les règles de pare-feu, les formats suivants sont pris en charge:

• Une seule adresse IP
• Plages d'adresses IP (par exemple, 192.168.1.10–192.168.1.50)
• Notation CIDR (ex.: 192.168.2.0/24)
• Mots-clés: interne, externe ou tout autre

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez l'OVDC contenant la passerelle Edge sur laquelle les règles de pare-feu seront créées.
2. Dans le volet de navigation de gauche, cliquez sur Étranches. Les passerelles Edge disponibles s'afficheront à droite.
3. Sélectionnez la passerelle Edge à configurer, puis ouvrez l'onglet Pare-feu.
4. Dans l'onglet Pare-feu, il est possible de créer et de gérer des règles de pare-feu.
5. Cliquez sur Nouveau pour ajouter une nouvelle règle. Pour cette nouvelle règle, veuillez remplir les champs suivants:
   • Nom
   • Applications
   • Contexte
   • Source (adresse IP, ensembles d'adresses IP, groupes statiques)
   • Destination (adresse IP, ensembles d'adresses IP, groupes statiques)
   • Action (Autoriser, Abandonner, Refuser)
   • Protocole (IPv4, IPv6 ou les deux)
   • Enregistrement
   • Commentaires
6. Dans les champs Source et Destination, définissez les adresses de la règle. Pour spécifier une adresse IP ou une plage d'adresses, cliquez sur IP, entrez la valeur, puis cliquez sur Conserver. Pour réutiliser des groupes d'adresses IP, allez à Regroupement d'objets et cliquez sur + pour créer un ensemble d'adresses IP. Cet ensemble peut ensuite être sélectionné pour plusieurs règles.
7. Dans le champ Application, cliquez sur +, puis dans la boîte de dialogue Ajouter un service, précisez le protocole, le port source et le port de destination. Vous pouvez également définir une combinaison protocole/port personnalisée. Une fois terminé, cliquez sur Conserver. Il est possible de créer des applications personnalisées à l'avance et de les appliquer aux règles du pare-feu.
8. Choisissez si l'action de la règle est Accepter (Autoriser) ou Refuser (Rejeter). Si un serveur syslog est configuré, sélectionnez Activer la journalisation.
9. Cliquez sur Enregistrer les modifications pour finaliser la règle.

Un exemple de règle de pare-feu consiste à autoriser le trafic HTTPS en provenance d'Internet. Cet exemple utilise des adresses IP publiques attribuées. La source est n'importe quelle adresse IP du réseau OVDC). Le port source est aussi quelconque. La destination est une adresse IP privée et le port de destination est le 443 pour HTTPS. Pour que ça marche, une configuration DNAT est nécessaire.

Créer des règles NAT

La traduction d'adresses réseau (NAT) permet de modifier l'adresse IP source ou de destination afin que le trafic puisse transiter par un routeur ou une passerelle. Les types de NAT les plus courants sur la passerelle Edge sont:

• NAT de destination (DNAT) - modifie l'adresse IP de destination du paquet.
• NAT source (SNAT) - modifie l'adresse IP source du paquet.

Voici d'autres options:

• AUCUN ADN
• PAS DE SNAT
• RÉFLÉCHI

Pour qu'une machine virtuelle (VM) puisse accéder à une ressource réseau externe depuis son OVDC, la NAT peut être nécessaire dans certains cas. Dans ces cas, utilisez l'une des options suivantes:

• Adresses IP publiques fournies par Equinix.
• Réseaux privés via MPC Connect.

remarque

• Cette fonctionnalité est principalement applicable lorsque la passerelle Edge est configurée avec des adresses IP publiques et que les machines virtuelles utilisent des adresses IP privées.
• Les règles NAT ne fonctionnent que lorsque le pare-feu est activé. Le pare-feu doit demeurer activé en permanence.

DNAT modifie l'adresse IP de destination d'un paquet et effectue l'opération inverse pour le trafic de réponse. DNAT peut être utilisé pour exposer un service exécuté sur un réseau privé via une adresse IP publique.

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez l'OVDC qui contient la passerelle Edge sur laquelle la règle DNAT est créée.
2. Dans le volet de navigation de gauche, cliquez sur Étranches. Sélectionnez l'onglet NAT et ajoutez une nouvelle règle NAT.
3. Dans la section NAT, cliquez sur + Règle DNAT.
4. Dans Action NAT, sélectionnez le type de règle NAT.
5. Entrez une adresse IP externe (par exemple, 10.30.40.95).
6. Entrez un Port externe (par exemple, 443).
7. Entrez une adresse IP interne (par exemple, 192.168.1.10).
8. Paramètres avancés
   • État - active ou désactive la règle
   • Journalisation - enregistre la règle
   • Priorité - les valeurs les plus basses indiquent une priorité plus élevée, tandis que 0 est la valeur par défaut
   • Correspondance du pare-feu
     • Correspondance de l'adresse interne
     • Correspondance avec une adresse externe
     • Contournement
   • Applicable à - laisser vide
9. Si un serveur syslog est configuré, sélectionnez Activer la journalisation.
10. Une fois terminé, cliquez sur Conserver, puis sur Enregistrer les modifications.

Créer des règles SNAT

La SNAT modifie l'adresse IP source d'un paquet et effectue l'opération inverse pour le trafic de réponse. Lors de l'accès à des réseaux externes, comme Internet, une règle SNAT est nécessaire pour traduire les adresses IP internes en une adresse disponible sur le réseau externe.

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez l'OVDC qui contient la passerelle Edge sur laquelle la règle SNAT est créée.
2. Dans le volet de navigation de gauche, cliquez sur Étranches. Sélectionnez l'onglet NAT et ajoutez une nouvelle règle NAT.
3. Dans la section NAT, cliquez sur + Règle SNAT.
4. Dans Action NAT, sélectionnez SNAT.
5. Adresse IP externe - le réseau externe (généralement nommé VCD_CUSTOMER_WAN).
6. Adresse IP interne - l'adresse réseau ou IP traduite pour l'accès à Internet.
7. Paramètres avancés
   • État - active ou désactive la règle
   • Journalisation - enregistre la règle
   • Priorité - les valeurs les plus basses indiquent une priorité plus élevée, tandis que 0 est la valeur par défaut
   • Correspondance du pare-feu
     • Correspondance de l'adresse interne
     • Correspondance avec une adresse externe
     • Contournement
   • Applicable à - laisser vide
8. Une fois terminé, cliquez sur Conserver, puis sur Enregistrer les modifications.

Créer des règles NON SNAT

Les règles NO SNAT annulent les règles SNAT existantes. Une règle NO SNAT peut être créée pour contourner le SNAT pour le trafic destiné à une adresse IP spécifique. Pour assurer l'ordre de traitement correct, la règle NO SNAT doit avoir une priorité plus élevée (valeur numérique plus faible) que la règle SNAT. La priorité par défaut est 0, soit la priorité maximale.

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez l'OVDC qui contient la passerelle Edge sur laquelle la règle NO SNAT est créée.
2. Dans le volet de navigation de gauche, cliquez sur Étranches. Sélectionnez l'onglet NAT et ajoutez une nouvelle règle NAT.
3. Dans la section NAT, cliquez sur + Aucune règle SNAT.

Configurer le VPN IPsec

La console opérationnelle prend en charge les types de connexions VPN site à site suivants:

• Une passerelle Edge au sein de la même organisation
• Une passerelle Edge dans une autre organisation (Equinix ou un autre fournisseur de services vCloud)
• Un réseau distant fournissant un point de terminaison VPN IPsec, comme un fournisseur de services infonuagiques ou un environnement de colocation

Selon le type de connexion, l'adressage IP doit être configuré pour les deux points de terminaison, ainsi qu'un secret partagé. Les réseaux OVDC autorisés à communiquer via la connexion VPN doivent également être spécifiés.

Avant de configurer les paramètres VPN IPsec, notez l'adresse IP de la passerelle Edge qui sera utilisée comme point de terminaison du tunnel.

• Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez l'OVDC qui contient la passerelle Edge à configurer.
• Dans le volet de navigation de gauche, cliquez sur Bords.
• Sur la page Edges, sélectionnez Étape de bord.
• Dans l'onglet Services, localisez l'option VPN IPsec et cliquez sur Nouveau pour créer une nouvelle configuration VPN IPsec.

Configurer les paramètres VPN IPsec de la passerelle Edge

1. Configurez un nom, activez la connexion pour consulter les journaux et laissez les autres options sur leurs valeurs par défaut.
2. Mode d'authentification par les pairs

• Clé pré-partagée: secret partagé utilisé pour authentifier et chiffrer la connexion. Il s’agit d’une chaîne alphanumérique de 32 à 128 caractères comprenant au moins une majuscule, une minuscule et un chiffre. Cette valeur doit être identique sur les deux sites.
• Certificat: Pour utiliser un certificat, téléchargez le certificat et le certificat de l’autorité de certification.

3. Configuration du point de terminaison

   Point de terminaison local

   • Adresse IP: L’adresse IP externe de la passerelle périphérique.
   • Réseaux: Indiquez les réseaux de l’organisation qui peuvent accéder au VPN. Séparez les sous-réseaux locaux par des virgules.

   Point de terminaison distant

   • Adresse IP: L’adresse IP externe du site distant, du pare-feu sur place ou de la passerelle périphérique où le VPN est configuré.
   • Réseaux: Sous-réseau du réseau local accessible depuis l’OVDC. Par exemple, si les réseaux locaux utilisent la plage 172.20.0.0/16, entrez 172.20.0.0/16, ou un sous-réseau plus petit comme 172.20.0.0/25.
   • ID distant:
     • Cette valeur identifie de manière unique le site homologue et dépend du mode d'authentification du tunnel. Si elle n'est pas spécifiée, l'identifiant distant est par défaut l'adresse IP distante.
     • Clé prépartagée: L'identifiant distant dépend de la configuration NAT. Si la NAT est configurée, entrez l’adresse IP privée du site distant. Sinon, utilisez l’adresse IP publique de l’appareil distant qui termine le tunnel VPN.
     • Certificat: L’identifiant distant doit correspondre au SAN (nom alternatif du sujet) du certificat du point de terminaison distant, s’il est présent. Si le certificat distant ne comporte pas de SAN, l’identifiant distant doit correspondre au nom distinctif du certificat utilisé pour sécuriser le point de terminaison distant.

4. Une fois la configuration terminée, cliquez sur Conserver pour créer l'extrémité périphérique du tunnel VPN, puis cliquez sur Enregistrer les modifications.

Créer la deuxième passerelle VPN

Si ce point de terminaison se trouve dans un autre OVDC, répétez les étapes de création du tunnel. Une fois le tunnel créé, mettez à jour les paramètres du pare-feu et validez la connexion. Si vous vous connectez à un centre de données externe, configurez le tunnel sur ce site.

IKE Phase 1 et Phase 2

IKE (Internet Key Exchange) est un mécanisme standard pour établir des communications sécurisées et authentifiées. La liste suivante présente les paramètres de configuration pris en charge pour les phases 1 et 2.

Paramètres de la phase 1

La phase 1 établit l'authentification du pair, négocie les paramètres cryptographiques et génère les clés de session. Les paramètres pris en charge pour la phase 1 sont:

• Mode principal
• AES/AES256/AES-GCM (configurable par l'utilisateur)
• Groupe Diffie-Hellman
• Secret pré-partagé (configurable par l'utilisateur)
• Durée de vie de l'association de sécurité (SA) de 28 800 secondes (huit heures), sans renouvellement de clé en kilo-octets.
• Mode agressif ISAKMP désactivé

Paramètres de la phase 2

La phase 2 d'IKE négocie le tunnel IPsec en générant des clés, soit à partir des clés de la phase 1, soit en effectuant un nouvel échange de clés. Les paramètres de phase 2 pris en charge sont:

• AES/AES256/AES-GCM (correspond au réglage de la phase 1)
• Mode tunnel ESP
• Groupe Diffie-Hellman
• Confidentialité persistante parfaite pour le renouvellement des clés (uniquement si activée sur les deux points de terminaison)
• Durée de vie de l'association de sécurité (SA) de 3600 secondes (une heure), sans renouvellement de clé en kilo-octets.
• Sélecteurs pour tous les protocoles IP et tous les ports entre les deux réseaux, utilisant des sous-réseaux IPv4

Configurer le pare-feu de passerelle Edge pour le VPN

Une fois le tunnel VPN établi, créez des règles de pare-feu sur la passerelle périphérique pour le trafic passant par le tunnel.

• Créez des règles de pare-feu pour les deux directions du trafic: du centre de données vers l’OVDC et de l’OVDC vers le centre de données.
• Pour la connexion du centre de données à l'OVDC, configurez:
  • Plage d'adresses IP source du réseau OVDC externe ou du centre de données
  • Destination vers la plage d'adresses IP de destination du réseau OVDC
• Pour la connexion OVDC au centre de données, configurez:
  • Source à la plage d'adresses IP source du réseau OVDC
  • Destination: la plage d'adresses IP de destination du centre de données ou du réseau VDC

Validation du tunnel

Une fois les deux extrémités du tunnel IPsec configurées, la connexion devrait s'établir automatiquement.

Pour vérifier l'état du tunnel dans la console opérationnelle:

1. Sur la page Edges, sélectionnez le bord à configurer et cliquez sur Configurer les services.
2. Sélectionnez l'onglet Statistiques, puis l'onglet VPN IPsec.
3. Pour chaque tunnel configuré, une coche indique que le tunnel est opérationnel. Si un autre état s'affiche, vérifiez la configuration du tunnel et les règles du pare-feu.
4. Le trafic peut maintenant passer par le VPN.

remarque

Une fois le tunnel établi, l'affichage de la connexion VPN comme active peut prendre jusqu'à deux minutes.

Créer des règles de pare-feu distribué OVDC

Au niveau de l'organisation OVDC, le pare-feu distribué peut être utilisé pour appliquer une micro-segmentation via la console opérationnelle.

remarque

L'utilisation de règles de pare-feu distribuées nécessite l'activation de l'option de service MPC Pare-feu distribué.

Avant de commencer

• Ensemble d'adresses IP: Utilisé comme source ou destination dans une règle. Créez un ensemble d'adresses IP pour l'utiliser dans les règles de pare-feu et la configuration du relais DHCP. Les ensembles d'adresses IP servent généralement à regrouper les ressources externes à l'organisation VCD, comme Internet ou le réseau étendu de l'entreprise. Dans ce cas, on utilise des adresses IP ou des sous-réseaux.
• Groupes statiques: Un groupe statique contient un ou plusieurs réseaux. Lorsqu'un groupe statique est utilisé dans une règle de pare-feu distribuée, la règle s'applique à toutes les machines virtuelles connectées aux réseaux du groupe.
• Groupes dynamiques: Permettent de regrouper les machines virtuelles en fonction de leur nom, de leur étiquette de sécurité ou des deux. Par défaut, un groupe dynamique comprend un critère et une règle. Il peut être étendu à trois critères, chacun associé à un maximum de quatre règles.

Créer des règles de pare-feu distribuées

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez l'OVDC contenant le pare-feu distribué à configurer.
2. Dans le panneau de navigation de gauche, cliquez sur Réseau / Groupes de centres de données / Pare-feu distribué.
3. Cliquez sur + pour ajouter une nouvelle ligne au tableau des règles du pare-feu.
4. Pour la nouvelle règle, veuillez spécifier un nom.
5. Dans les champs Source et Destination, précisez les adresses source et de destination de la règle de pare-feu.

• Groupes de pare-feu

• Ensembles d'adresses IP: Sélectionnez NOUVEAU, puis indiquez un nom, une description et une plage d'adresses IP ou CIDR.

• Groupes statiques: Sélectionnez NOUVEAU, entrez un nom et cliquez sur Enregistrer.

  Sélectionnez Gérer les membres pour ajouter de nouveaux membres.

  Sélectionnez un réseau à ajouter au groupe statique.

  La vue VM associées indique quelles machines virtuelles sont connectées aux réseaux associés.

• Groupes dynamiques: Sélectionnez NOUVEAU, indiquez un nom et sélectionnez le type de critères à utiliser.

• Adresses IP du pare-feu: Ajoutez une adresse IP, un CIDR ou une plage, puis sélectionnez Conserver.

  1. Sélectionnez Action (Autoriser, Laisser tomber ou Refuser).
  2. Sélectionnez le protocole IP (IPv4, IPv6 ou les deux).
  3. Configurez la journalisation, si nécessaire.
  4. Sélectionnez Enregistrer.

Description du service

Options de service

MPC ST offre plusieurs options de service qui peuvent être commandées séparément.

Groupe étiré

L'option de service « Cluster étendu » est offerte dans certaines régions. Une grappe étendue est déployée sur deux centres de données situés dans la même région métropolitaine avec une réplication de stockage synchrone, ce qui permet d’obtenir une configuration RPO = 0.

Le groupe doit avoir un nombre égal d'hôtes dans chaque emplacement. Un emplacement de la région métropolitaine est désigné comme emplacement principal et l'autre comme emplacement secondaire.

Un centre de données virtuel organisationnel (OVDC) fournit un environnement logique doté de vCPU, de Go de RAM, de ressources de stockage et de capacités réseau sur lequel les clients peuvent définir des machines virtuelles. Dans une configuration de grappe étendue, trois types d'OVDC peuvent être sélectionnés:

• Les machines virtuelles s'exécutent à l'emplacement principal lorsqu'il est disponible ; si celui-ci n'est pas disponible, les machines virtuelles sont déplacées vers l'emplacement secondaire.
• Les machines virtuelles fonctionnent toujours à l'emplacement principal ; lorsque l'emplacement principal n'est pas disponible, les machines virtuelles ne sont pas déplacées vers l'emplacement secondaire.
• Les machines virtuelles fonctionnent toujours à l'emplacement secondaire ; lorsque l'emplacement secondaire n'est pas disponible, les machines virtuelles ne sont pas déplacées vers l'emplacement principal.

Les clients peuvent définir un ou plusieurs OVDC dans un environnement MPC ST. Le vCPU est disponible en trois variantes:

• Pleine capacité – un cœur équivaut à un vCPU
• Haute performance – un cœur équivaut à deux vCPU
• Standard – un cœur équivaut à quatre vCPU

Un OVDC peut utiliser un maximum de trois profils de stockage disponibles:

• Ultra Performance
• Haute performance
• Performances standards

Les clients peuvent combiner plusieurs OVDC de différentes configurations et tailles pour répondre à divers besoins. Les politiques de sécurité peuvent être configurées sur les réseaux virtuels et les OVDC peuvent être interconnectés. Pour plus d'informations sur les OVDC, consultez la section Centre de données virtuel.

Les options de connectivité et de réseau du service MPC ST non étendu s'appliquent également au cluster étendu. La mise en réseau et la connectivité nécessaires pour accéder aux charges de travail MPC ST doivent être acquises séparément et ne sont pas incluses dans l'option de service « Cluster étendu ».

Le service comprend:

• Réseau pour la réplication synchrone des données entre le site principal et le site secondaire ; ce réseau ne peut pas être utilisé pour le réseautage des clients.
• Réseau pour la connectivité NSX.
• Un troisième lieu pour le témoin de la disponibilité du lieu principal et du lieu secondaire.

PURCHASE UNIT	BILLING TYPE	UOM	DESCRIPTION
Service option Cluster Stretched Primary	Baseline	Per Cluster	Capability for stretched cluster with synchronous data replication for the primary location
Service option Cluster Stretched Secondary	Baseline	Per Cluster	Capability for stretched cluster with synchronous data replication for the secondary location

Les deux options de service doivent être achetées pour un groupe étendu.

Sauvegarde et restauration

La sauvegarde et la restauration des ressources MPC sont assurées par le service de sauvegarde privée gérée, qui fait l'objet d'une commande séparée. Ce service inclut la sauvegarde des données des machines virtuelles ou des applications.

Licences logicielles

Un catalogue d'images ISO de logiciels pour MPC est disponible sur le portail libre-service. Ce catalogue répertorie les logiciels utilisables dans les machines virtuelles exécutées dans les OVDC et inclut des logiciels libres et des logiciels sous licence. Les logiciels sous licence peuvent être achetés par l'entremise du service de gestion des licences logicielles.

Apportez votre propre permis de conduire

Au lieu d'acheter des licences via le service, les clients peuvent utiliser leurs propres licences logicielles. Dans ce cas, les règles de licence du fournisseur de logiciel doivent être validées. Il incombe au client de respecter toutes les exigences de conformité du fournisseur de logiciel.

Plan de soutien

Le plan d'assistance offre un service optionnel qui couvre les demandes de service supplémentaires et d'autres services tels que le soutien prolongé, les rapports supplémentaires et le soutien à la conception.

Le forfait Premier Support de Managed Solutions est un programme prépayé permettant l'achat de forfaits d'heures de soutien mensuels ou annuels (paiement unique) à prix réduit. Les heures de soutien sont facturées par tranches de quinze (15) minutes.

Sans forfait de soutien prépayé Premier pour les solutions gérées, le soutien est facturé au tarif horaire standard du service de soutien Premier. Les heures de soutien sont calculées par tranches de quinze (15) minutes.

PURCHASE UNIT	TYPE	CHARGE TYPE	UOM	ORDERING AND BILLING
Technical Support Plan	Monthly	Baseline	hour	Monthly reservation of hours for technical support
Technical Support Plan	Annual	Baseline	hour	Yearly reservation of hours for technical support

Ce plan ne concerne pas un produit Managed Solutions spécifique, mais s'applique à tous les produits Managed Solutions achetés.

Si toutes les heures prévues dans le forfait ont été consommées, toute heure supplémentaire sera facturée au taux horaire standard du « Service d'assistance Premier ».

Les heures du forfait d'assistance Premier (mensuelles ou prépayées) ne sont pas reportables et sont perdues si elles ne sont pas utilisées. Toute utilisation dépassant le volume prépayé est facturée au taux horaire standard du service d'assistance Premier, sauf si une mise à niveau est demandée.

Ce plan est propre à chaque pays et ne peut pas être lié à un centre de données IBX particulier.

Aide à la migration

Pour migrer les charges de travail des environnements sur place vers MPC, un outil de migration est fourni afin de permettre une migration en libre-service sans refactorisation des applications. Cet outil prend en charge les charges de travail VMware provenant de vSphere ou de Cloud Director. Pour effectuer la migration, le client reçoit un appareil qu'il installe dans son environnement VMware et qu'il associe à son environnement MPC. L'outil prend en charge la réplication asynchrone.

Par défaut, l'outil de migration prend en charge la migration par Internet. Sur demande, une connexion privée peut être établie via Equinix Fabric ; les coûts de cette connexion sont facturés par Fabric. Pour une migration via Fabric, les circuits virtuels existants ne peuvent pas être utilisés car ils doivent être dédiés à la migration. La migration via Internet prend en charge des débits jusqu'à 250 Mbits/s, tandis que les connexions Fabric prennent en charge des débits jusqu'à 10 Gbit/s. L'utilisation de l'outil de migration est gratuite ; une assistance supplémentaire peut être demandée via le plan de support. Une fois la migration terminée, l'outil sera désactivé.

Connection	Speed	Network Configuration
Internet	Up to 250 Mbps	No
Fabric	Up to 10 Gbps	Yes, setup VLANs

Une fois la migration terminée, les outils de migration sont désactivés.

Démarcation des services et services habilitants

MPC ST est un service géré avec des choix de conception prédéfinis. Par conséquent, toutes les options techniques VMware ne sont pas disponibles dans le service MPC ST. Les sujets suivants sont fréquemment demandés, mais ne sont pas pris en charge.

Accès

• Accès aux fonctions de vSphere ou vCenter autrement que par l'intermédiaire de la console opérationnelle MPC et de l'API de la console opérationnelle

Calculer

• Créez plusieurs clichés

Disques virtuels

• Déplacez les disques virtuels entre les machines virtuelles via la console opérationnelle MPC ou l'API. Pour ce faire, vous devez créer un billet de soutien auprès du service de soutien Equinix.
• Partager un disque virtuel entre plusieurs machines virtuelles
• Utilisation du clustering de basculement Microsoft Windows Server (WSFC) avec des disques partagés

Réseau

• Utilisation de la virtualisation d'E/S à racine unique (SR-IOV) et de l'accès à la carte réseau physique depuis la machine virtuelle
• Utilisation du mode promiscuité sur la carte réseau virtuelle
• Utilisation du trunking dans l'OVDC pour les réseaux connectés à des routeurs appartenant aux clients
• Connectez-vous au MPC au moyen de solutions redondantes de couche 2 comme Metro Connect.

Unités d'achat

Le service MPC est facturé sur la base de valeurs de référence ou de valeurs de référence avec des frais de dépassement.

• Volume de référence - le volume spécifié de l'unité de mesure du service, tel que défini dans la commande.
• Dépassement - la quantité de service consommée par le client qui excède le volume de base contractuel.

Catalogue des unités d'achat

Category	Purchase Unit	UOM	Install Fee	Billing Method	Overage
MPC Service	Connectivity – Routed	Each		Baseline
	Connectivity – Customer Routed	Each		Baseline
	Connectivity – Managed Firewall	Each		Baseline
	Connectivity – Routed Joined	Each		Baseline
MPC Compute	Host	Host	Yes	Baseline
MPC Service Option	Network – Managed Virtual Circuit xx Mbps	Each	Yes	Baseline
	Network – Managed Internet Access xx Mbps	Each		Baseline
	Network – Additional IP space (/24 /25 /26 /27 /28 /29)	Each		Baseline
	Network – External Network	Each	No	Baseline
	Network – Distributed Firewall (per Core)	Core		Baseline
	Disaster Recovery (Gold, Silver, Bronze)	VM	No	Baseline	Yes

Rôles et responsabilités

Lors de la mise en œuvre et de la prestation de services, les responsabilités sont partagées entre Equinix et le client. La section suivante présente un aperçu de ces responsabilités.

Provision des locataires

Activities	Equinix	Customer
Schedule / execute project kickoff meeting	RA	CI
Schedule / execute customer onboarding	RA	CI
Delivery of the hosts in a cluster in accordance with the order	RAC	I1
Delivery of the OVDCs in accordance with design	RAC	I1
Delivery of the agreed storage capacity in accordance with design	RAC	I1
Delivery of the connectivity type in accordance with the order	RAC	I1
Delivery of the Managed Virtual Circuits in accordance with the order	RAC	C
Initiation of Unmanaged Virtual Circuits in Fabric portal	I	RAC
Configuration of customer‑initiated Virtual Circuits	RAC	C
Delivery of the Managed Internet Access in accordance with the order	RAC	C
Delivering the agreed network functionality in accordance with design (optional)	RAC	C
Delivery of the MPC Operational Console	RAC	I1
Delivery of the Admin account for the Operational Console	RAC	I1

Entrée en service

Une fois les activités d'intégration terminées, les activités de test confirment si le produit a été livré avec succès et est prêt pour la facturation.

Activities	Equinix	Customer
Test access to MPC Product page on Managed Solutions Portal	CI	RA
Test access to MPC operational console	CI	RA
Confirm MPC fulfillment based on preview evidence	CI	RA
Set product as enabled for customer on internal systems	RA	I

Opérationnel

Une fois le service de nuage privé géré activé pour les clients, les éléments opérationnels suivants s'appliquent:

Activities	Equinix	Customer
Technical management of the service (overall)	RAC	I¹
Functional management of the customer environment within the service (overall)	I²	RAC
MPC infrastructure monitoring and maintenance	RA	I
Create, import, and manage VMs and vApps	I²	RAC
Scale VMs up and down	I²	RACI
Manage VM snapshots		RACI
Manage access to VMs with console		RACI
Create and manage library with customer-owned ISO/OVA files		RACI
Separate or group VMs for availability or performance	I²	RAC
NFV: Standard firewalling	I²	RAC
NFV: Routing (static)	I²	RAC
NFV: Routing	RAC	I
NFV: NAT	I²	RAC
NFV: DHCP	I²	RAC
NFV: VPN (IPsec)	I²	RAC
Setup and manage scripting and automation capabilities		RACI

RACI signifie Responsable, Comptable, Consulté et Informé.

1. L'information n'est obligatoire que pour les tâches qui ont un impact sur le fonctionnement de l'environnement de l'utilisateur.
2. L'information n'est requise que pour les tâches qui ont un impact sur le fonctionnement et/ou la gestion du service.

Gestion des incidents

La gestion des incidents fait partie intégrante du soutien technique. Tous les incidents sont traités par ordre de priorité. Cette priorité est déterminée après le signalement de l'incident et son évaluation par Equinix, en fonction des informations fournies.

Priority	Impact / Urgency	Description
P1 High	Unforeseen unavailability of a service / environment delivered and managed by Equinix, in accordance with the service description due to a disruption. The user cannot fulfill its obligations towards its users. The user suffers direct demonstrable damage due to the unavailability of this functionality.	The service must be restored immediately; the production environment(s) is/are unavailable, with platform‑wide disruptions.
P2 Medium	The service does not offer full functionality or has partial functionality or reduced performance, because of which the users are impacted. The user suffers direct demonstrable damage due to unavailability of the functionality. The service may be impacted due to limited availability of this functionality.	The service must be repaired the same working day; the environment is not available.
P3 Low	The service functions with limited availability for one or more users and there is a workaround in place.	The moment of repair of the service is determined in consultation with the reporting person.

Remarque: Cette classification ne s’applique pas aux interruptions causées, par exemple, par des applications spécifiques à l’utilisateur, par des actions de l’utilisateur ou par des tiers. Les incidents peuvent être signalés par le portail client, dans la section « Solutions gérées ». Les incidents de niveau 1 doivent être signalés par téléphone.

Demandes de service

Les demandes de service servent à signaler les problèmes de service ou à demander de l'aide pour la mise en œuvre ou les modifications de configuration. Les modifications de configuration standard peuvent être demandées via le portail libre-service MPC sous forme de demande de service. L'assistance est disponible 24 heures sur 24, 7 jours sur 7. Deux types de demandes de service sont disponibles:

• Incluse - Les demandes de service qui relèvent de la portée du service et n'entraînent pas de frais supplémentaires.
• Supplémentaire - Demandes de service qui ne relèvent pas de la portée du service et qui entraînent des frais supplémentaires.

Request Name	Included / Additional
Create a DC Group over multiple OVDCs	Additional
Change external access OVDC API	Additional
Add a user for the Operational Console	Included
Remove a user from the Operational Console	Included
Change permissions for a user	Included

Les modifications non mentionnées ci-dessus peuvent être demandées en sélectionnant Modification dans le module de demande de service. Equinix effectuera une analyse d'impact afin d'en déterminer la faisabilité, le coût et le délai. Les frais liés aux demandes de service sont déduits du solde de votre Plan de soutien Premier. Si le solde est insuffisant, les frais seront facturés au tarif en vigueur. Les demandes ayant un impact sur la capacité de base, les quantités commandées ou toute modification affectant les frais de service mensuels doivent être adressées à l'équipe des ventes d'Equinix.

Rapports

Dans le cadre de ce service, le client recevra un rapport mensuel couvrant les sujets suivants:

• Billets ouverts mesurés par rapport aux paramètres SLA
• Capacité par OVDC

Niveaux de service

L'Accord sur le niveau de service (SLA) définit les niveaux de performance mesurables applicables au service MPC et précise les recours dont dispose le client si Equinix ne respecte pas ces niveaux. Les crédits de service énumérés ci-dessous constituent le seul et unique recours en cas de non-respect des seuils de niveau de service définis dans cette section.

Priority	Response Time¹	Resolution Time²	Execution of Work	SLA³
P1	< 30 min	< 4 hours	24x7	95 %
P2	< 60 min	< 24 hours	24x7	95 %
P3	< 120 min	< 5 days	24x7	95 %

1. Le temps de réponse correspond à la période entre l'envoi des fiches de problème et l'envoi d'une réponse formelle par un spécialiste d'Equinix Managed Services.
2. Le délai de résolution d'un incident correspond au temps écoulé entre l'enregistrement du billet d'incident dans l'outil ITSM ou son annulation, et son transfert au support IBX.
3. L'accord de niveau de service s'applique au temps de réponse. Les détails de l'accord de niveau de service se trouvent dans la politique du produit.

Le niveau de disponibilité du service MPC fait référence à la disponibilité d'un OVDC unique. Le service MPC est considéré comme indisponible lorsqu'une défaillance de l'infrastructure gérée par Equinix entraîne le passage de l'OVDC en état d'erreur et provoque une interruption directe des services du client.

Availability Service Level	Description
99.95%+	Achieved when total OVDC unavailability is less than 22 minutes over a calendar month.

Un régime de crédits de service s'applique au SLA de disponibilité tel que défini dans la Politique Produit. La disponibilité du service MPC n'inclut pas la restauration des données. Il incombe aux clients de restaurer leurs données. Avec un contrat de sauvegarde privée gérée, les données peuvent être restaurées en libre-service via la console opérationnelle de sauvegarde privée gérée. Sans contrat de sauvegarde privée gérée, la restauration des données est à la charge du client.