Skip to main content

Mise en réseau

L'environnement de cloud hybride Equinix permet de créer des réseaux virtuels et des capacités pour permettre la communication entre les VM et les services nécessaires dans le cloud, notamment les composants suivants.

Types de réseaux

  • Réseau isolé – Les réseaux internes sont disponibles dans le VDC source (dédié, flexible ou sur demande), sans acheminement externe vers d'autres services ou VDC.
  • Réseau routé – Les réseaux routables sont disponibles dans le VDC (dédié, flexible ou sur demande) avec un routage par défaut entre les VDC et la communication cloud externe s'ils sont préconfigurés via des règles de pare-feu et des politiques de routage BGP sur les périphériques de l'utilisateur.

Passerelles Edge

Les routeurs internes utilisés pour la communication des réseaux sont routés entre les VDC ou les réseaux infonuagiques externes. Cette fonctionnalité est préconfigurée par Equinix et connectée à un VRF-Tier0 (Virtual Routing and Forwarding) dédié à l'utilisateur et offrant une haute disponibilité, avec un routage BGP pour la communication avec le nuage externe. Sa configuration est réalisée suite à une étude technique des pare-feu ou des services gérés de couche 3, lorsque ces derniers sont souscrits dans le cadre de l'offre Equinix Hybrid Cloud.

En plus des produits matériel réseau L3 disponibles dans le portefeuille standard d'Equinix, vous pouvez opter pour la connexion de passerelles Edge et de VRF-TierO via un environnement existant, si votre équipement répond aux prérequis de prise en charge du protocole BGP et de connexion.

Pare-feu, NAT et réseaux externes

La passerelle Edge (Tier 1) fournit par défaut les fonctionnalités de pare-feu de passerelle (nord-sud - couche 7) et de traduction d'adresses réseau (NAT), fonctionnant en périphérie du VDC. Cela autorise ou interdit la communication entre vos centres de données virtuels et la communication cloud externe.

Les réseaux peuvent être classés comme des ports entrants ou sortants pour les réseaux routés internes. Ils sont préconfigurés par Equinix en fonction de l'étude technique du produit de connectivité sous contrat, et utilisés lorsque le service Nat est activé. Cela masque l'accès d'un réseau routé interne à l'entrée ou à la sortie de la connexion.

remarque

Malgré la fonctionnalité native de pare-feu L4 dans la solution de nuage hybride au niveau de niveau 1, celle-ci ne remplace pas le besoin d'un pare-feu de périphérie avec prise en charge du routage BGP, avec communication disponible avec VRF-TierO et prise en charge des fonctionnalités de sécurité de couche 7, si sous contrat.

Création et modification des règles de pare-feu

Sur la page principale du portail Hybrid Cloud, accédez à Réseau → Passerelles Edge, puis cliquez sur la passerelle Edge associée au VDC souhaité. Confirmez le type de service externe connecté à la passerelle Edge Hybrid Cloud (Services gérés ou Pare-feu géré).

Sur l'écran suivant, sélectionnez Services → Pare-feu et consultez la règle par défaut. Ajoutez ou gérez de nouvelles règles à l'aide du bouton MODIFIER LES RÈGLES.

Dans le menu Sécurité, vous pouvez créer des groupes de sécurité, des adresses IP et des services pour simplifier la gestion des règles.

Microsegmentation – VDC-Group (Fin des ventes)

remarque

Cette fonctionnalité ne sera plus disponible à partir du 29 mai 2024 Elle est réservée aux clients actifs avant cette date. Les clients qui ont souscrit à un abonnement Hybrid Cloud après cette date ne peuvent pas l'utiliser.

Le groupe de centres de données virtuels (VDC-Group) permet de regrouper les VDC et active la fonctionnalité de pare-feu distribué pour la microsegmentation. Il assure la segmentation des machines virtuelles en fonction de leurs noms et attributs et prend en charge le partage de réseaux entre les grappes dédiées, Flex et sur demande.

Le pare-feu distribué est intégré au noyau de l'hyperviseur, offrant visibilité et contrôle des charges de travail et des réseaux virtualisés. Vous pouvez créer des politiques de contrôle d'accès basées sur des objets tels que les noms de machines virtuelles et les réseaux (adresses IP ou plages d'adresses IP). Les règles de pare-feu sont appliquées au niveau de la carte réseau virtuelle (vNIC) de chaque machine virtuelle, garantissant un contrôle d'accès cohérent même lors des migrations vMotion. Ceci prend en charge un modèle de sécurité de microsegmentation permettant d'inspecter le trafic Est-Ouest jusqu'à la couche 7.

important

L'activation du groupe VDC peut être demandée lors de la création d'un nouvel environnement. Pour les environnements existants, veuillez ouvrir un ticket de soutien afin Equinix puisse effectuer une évaluation des besoins et une analyse d'impact avant d'activer la fonctionnalité.

Création et modification de réseaux avec VDC-Group

Après avoir activé la microsegmentation, un nouvel onglet intitulé Groupe de centres de données apparaît, affichant le regroupement des VDC. Pour créer un nouveau réseau, sélectionnez l'option Groupe de centres de données, les réseaux étant alors automatiquement partagés entre les VDC.

Pare-feu distribué – Création et modification des règles

Pour créer des politiques de sécurité dans le pare-feu distribué, accédez à Réseau → Groupes de centres de données dans le portail infonuagique hybride.

Ouvrez le groupe VDC de votre locataire, puis sélectionnez Pare-feu distribué → Modifier les règles.

Création et modification des règles NAT

Le service NAT est facultatif et son utilisation devrait être envisagée en fonction de la topologie de votre environnement. Cas d'utilisation courants:

  • Cas d'utilisation 1: La NAT est effectuée sur le pare-feu périphérique externe, en dehors du nuage hybride, connecté au VRF de niveau 0. Dans ce cas, les fonctionnalités NAT et de réseau externe de la passerelle EdgeGateway de niveau 1 ne sont pas nécessaires.
  • Cas d'utilisation 2: La NAT s'effectue sur l'EdgeGateway-Tier1 du VDC en utilisant une plage d'adresses IP publiques réservées au client.
  • Cas d'utilisation 3: NAT enchaîné: le pare-feu externe effectue une NAT vers VRF-Tier0, puis EdgeGateway-Tier1 effectue une seconde NAT vers un réseau routé interne.

Pour les cas d'utilisation 2 et 3, ajoutez de nouvelles règles NAT (DNAT et SNAT) via Services → NAT, puis cliquez sur NOUVEAU.

Passerelles de périphérie - Topologie de haut niveau

Vient ensuite une topologie de haut niveau qui permet de clarifier les connexions internes et externes au nuage hybride.

  • Passerelle de niveau 0 – Ces routeurs VRF-Edge assurent la liaison BGP avec l'environnement externe vers le nuage hybride, ainsi que le routage interne entre les VDC. Leur configuration est réalisée par Equinix sur la base de l'étude technique des services et solutions de connectivité souscrits.
  • Passerelle de niveau 1 – Classée comme passerelle Edge dans le portail cloud hybride, elle assure la connexion et le routage des réseaux, le DHCP, le pare-feu de passerelle et les services NAT VDC. Initialement configurée par l'équipe d'activation d'Equinix, elle repose sur l'analyse technique des services et solutions de connectivité sous contrat.
  • Segment – Ce segment est classé comme Réseau dans le portail infonuagique hybride et propose les options Réseau interne ou Réseau routé. Sa création et sa configuration peuvent être effectuées par l'utilisateur, puis effacées via les politiques de routage et les règles de pare-feu disponibles en périphérie du cloud.

Créer et modifier des réseaux virtuels

Certains réseaux virtuels sont créés par défaut par l'équipe d'activation d'Equinix, sur la base de l'étude technique du produit de connectivité ou du service professionnel souscrit avec la solution. Toutefois, de nouveaux réseaux peuvent être créés et acheminés à tout moment pour répondre à de nouvelles demandes.

Sur la page d'accueil du portail Equinix Hybrid Cloud, allez à Réseau | Réseaux et cliquez sur Nouveau.

New Organization VDC Network
ScopeSelect the desired VDC and click Next.In this case we can choose to create networks in the Dedicated, Flex or On-Demand Virtual Datacenter.
Network TypeSelect the type of network you want, opting for a routed or isolated connectionEach VDC can contain up to two routers in the routed connection model, one dedicated for connecting to external networks and the Internet and the other specifically for connecting to the Equinix services network, delivering products such as “Backup”, “Intelligent Data” and others.
GeneralEnter a name, CIDR Gateway and Description.For example: LAN01, 192.168.110.1/24
Static IP PoolsEnter a pool of IPs available for automatic allocation when creating new VMsFor example: 192.168.10.100-192.168.110.100
DNSEnter the primary, secondary and Suffix DNS addressesFor example: 8.8.8.8, 8.8.4.4, domain.local
Ready to completeReview options and confirm the creation of the new virtual network.

Par défaut, le routage réseau entre les VDC est interne. Toutefois, pour autoriser l'accès externe et l'accès à Internet, il est nécessaire de revoir les politiques de routage BGP et les règles de pare-feu. Cette configuration supplémentaire peut être demandée à notre équipe de soutien lorsque le pare-feu de périphérie de l'utilisateur est géré, ou configurée par l'utilisateur lui-même lorsque le pare-feu n'est pas géré. Les clients dont le pare-feu n'est pas géré peuvent également, en option, faire appel à notre assistance technique pour la configuration et la mise en place des politiques de routage et de pare-feu.

Créer et modifier des règles de pare-feu

  1. Sur la page d'accueil du portail Equinix Hybrid Cloud, cliquez sur Réseau | Passerelles Edge.

  2. Sélectionnez la passerelle Edge associée au VDC souhaité, en fonction également du type de service externe associé à la périphérie du nuage hybride (services gérés ou pare-feu géré).

  3. Sur l'écran suivant, cliquez sur le menu Services -> Pare-feu et vérifiez la règle d'environnement par défaut. Cliquez sur MODIFIER LES RÈGLES pour ajouter et gérer de nouvelles règles.

  4. Dans le menu Sécurité, créez des groupes de sécurité, des adresses IP et des services pour faciliter la gestion des règles.

    Security GroupsCreate security groups and add the networks used by the VMs in the VDC. For example: SC-LAN-ONDEMAND (Will encompass all VMs connected to that network).
    IP SetsCreate IP groups to identify networks external to the VDC.
    Application Port ProfilesCreate services to identify the applications and ports used.

Créer et modifier des règles NAT

Le service NAT est facultatif et son utilisation doit être envisagée en fonction de la topologie de l'environnement. Voici quelques cas d'utilisation :

  • Cas d'utilisation 1 – Les adresses peuvent être traduites directement au niveau du pare-feu périphérique externe au nuage hybride, connecté au VRF de niveau 0. Ce dernier achemine les communications traduites vers les réseaux routés internes. Dans ce scénario, les fonctionnalités NAT et de réseau externe de la passerelle EdgeGateway de niveau 1 du VDC ne sont pas nécessaires.
  • Cas d'utilisation 2 – Le réseau VDC externe peut contenir une plage d'adresses IP publiques réservées à l'utilisateur. Dans ce cas, la NAT peut être effectuée directement au niveau de la passerelle EdgeGateway du VDC, masquant ainsi un réseau routé interne.
  • Cas d'utilisation 3 – Ce cas d'utilisation se produit lorsqu'un NAT est lié à un autre NAT. Autrement dit, un réseau public connecté à un pare-feu externe au nuage hybride et au VRF-Tier0 effectue une NAT pour un autre réseau externe doté d'adresses IP privées dans l'EdgeGateway-Tier1 du VDC, qui effectue une seconde NAT vers un réseau interne routé.

Dans les cas d'utilisation 2 et 3 énumérés ci-dessus, vous pouvez ajouter de nouvelles règles NAT (DNAT et SNAT) via Services -> NAT, en sélectionnant NOUVEAU.

Cette page vous a-t-elle été utile ?