Cloud privé géré - locataire unique

MPC Single Tenant (MPC ST) est la variante de service d'infrastructure dédiée de Managed Private Cloud (MPC) pour les clients qui ont besoin d'une robustesse, d'une isolation et d'une sécurité maximales. Il fournit un environnement entièrement dédié au sein d'un centre de données IBX d'Equinix.

MPC ST est un environnement informatique à locataire unique déployé sous la forme d'un cluster composé de plusieurs hôtes, fournissant des ressources informatiques, de stockage et de réseau dédiées à un seul client, éliminant le modèle de location partagée, et prenant en charge les charges de travail ou les applications qui nécessitent des ressources cohérentes et isolées. Les ressources de calcul, de stockage et de réseau sont gérées par la console opérationnelle MPC.

MPC ST Compute Cluster

Le cluster MPC ST comprend sept hôtes ou plus du même type. Le type de cluster détermine la disponibilité et les caractéristiques SLA du service. Les types de clusters suivants sont pris en charge :

• Un seul cluster, un seul centre de données
• Multi-cluster, multi-datacenter
• Cluster unique, double centre de données (stretched cluster)

Un cluster unique **** , une configuration de centre de données unique convient aux applications nécessitant une haute disponibilité. La reprise après sinistre pour ce type de cluster est principalement assurée par des solutions de sauvegarde. Une configuration multi-clusters **** , multi-centres de données, convient lorsque les applications prennent en charge des mécanismes de basculement intégrés et peuvent récupérer en cas de défaillance.

Hôte

Un environnement MPC ST comprend un minimum de 7 hôtes, dont 6 sont utilisés pour l'exécution de la charge de travail et 1 hôte est réservé comme capacité de réserve (N+1).

MPC ST fournit un catalogue de types d'hôtes **** définis par le CPU, le nombre de cœurs, la RAM et le stockage.

Dimensionnement des clusters

Le dimensionnement des clusters est basé sur la capacité de calcul et la disponibilité requises. Une grappe se compose d'une capacité consommable nette en nombre d'hôtes (N) et comprend une capacité de réserve pour la disponibilité, la récupération et la maintenance. Les besoins en capacité de réserve dépendent de la taille de la grappe.

• La taille minimale d'un cluster est de sept (7) hôtes (N+1).
• Les clusters de plus de quinze (15) hôtes nécessitent un deuxième hôte de réserve (N+2).

Taille des clusters et capacité nette

La capacité des serveurs de réserve est réservée pour maintenir la disponibilité. Les nœuds de réserve ne peuvent pas être utilisés tant que tous les nœuds actifs restent opérationnels, de sorte que leur capacité est exclue des calculs de capacité disponible. L'aperçu ci-dessous montre des exemples de tailles de clusters, y compris les tailles minimales et maximales, et la capacité nette utilisable associée en cœurs de CPU et en Go de RAM.

MPC ST CLUSTER SIZE	HYPERVISOR SERVER MODEL	# SPARE SERVERS	# AVAILABLE CPU CORES	# AVAILABLE GB RAM
7 (6+1) minimum	16C, 512 GB RAM	1	60	1380
	32C, 512 GB RAM	1	90	1380
	32C, 1024 GB RAM	1	90	2850
	64C, 1024 GB RAM	1	180	2850
	64C, 2048 GB RAM	1	180	5700
15 (14+1)	16C, 512 GB RAM	1	210	6440
	32C, 512 GB RAM	1	420	6440
	32C, 1024 GB RAM	1	420	13300
	64C, 1024 GB RAM	1	840	13300
	64C, 2048 GB RAM	1	840	26600
17 (15+2)	16C, 512 GB RAM	2	225	6900
	32C, 512 GB RAM	2	450	6900
	32C, 1024 GB RAM	2	450	13800
	64C, 1024 GB RAM	2	900	13800
	64C, 2048 GB RAM	2	900	27600

Centres de données virtuels organisationnels (OVDC)

Les clients peuvent définir un ou plusieurs OVDC dans un cluster MPC ST afin de prendre en charge une organisation des ressources flexible et évolutive. Un OVDC fournit un environnement logique avec des vCPU, de la RAM, des ressources de stockage et des capacités réseau sur lesquels les clients peuvent définir des VM.

Garantie de performance vCPU

Chaque OVDC dispose d'une réservation de performance vCPU minimale garantie. Une seule garantie de performance peut être appliquée par OVDC. Les options disponibles sont les suivantes :

vCPU Guarantee	Use
FULL	For every 1 vCPU, a full core is reserved
HIGH	For every 2 vCPU, a full core is reserved
OPTIMIZED	For every 8 vCPU, a full core is reserved

Stockage

Dans MPC ST, le stockage est inclus dans le prix de l'hôte. Les clients peuvent diviser et distribuer la capacité de stockage totale entre plusieurs OVDC. Chaque OVDC peut se voir attribuer jusqu'à deux politiques de stockage. Le tableau ci-dessous énumère les politiques de stockage disponibles.

Storage Policy	Use
ULTRA PERFORMANCE	For logs and other workloads with need for the highest IOPS
HIGH PERFORMANCE	Database RDS/SBC, VDI low-latency beneficial workloads
PERFORMANCE	Generic VMs, app / web services, high-performance file services / object storage

Les clients peuvent combiner plusieurs OVDC de différentes variantes et tailles pour différents objectifs afin d'optimiser l'utilisation de la capacité de calcul, de stockage et de performance du cluster. Les politiques de sécurité peuvent être configurées sur des réseaux virtuels et les OVDC peuvent être interconnectés.

Caractéristiques de MPC Storage

• La capacité de stockage est allouée par politique et par OVDC.
• Il est possible d'attribuer jusqu'à deux politiques de stockage différentes par OVDC.
• Le stockage MPC prend en charge le cryptage au repos
• La taille recommandée d'un disque virtuel par VM est comprise entre 40 Go et 8 To.

Capacité de stockage nette prévue

L'espace disque disponible n'est pas égal à la capacité de stockage utilisable en raison de la déduplication, de la compression et de la capacité réservée à la protection et à la gestion. En fonction de la taille du disque, du nombre de disques et du nombre de serveurs dans le cluster, il est possible de déterminer la capacité utilisable minimale et attendue. Lors de l'avant-vente, la capacité requise est déterminée en fonction des besoins du client.

La consommation de stockage par politique est mesurée comme la capacité allouée pour :

• Disques VM
• Fichiers d'échange de VM
• Instantanés
• Fichiers dans la bibliothèque (modèles vApp et ISO)

Licences VMware

Les hôtes MPC ST incluent la licence VMware Cloud Foundation (VCF) dans le prix de l'hôte.

Unités d'achat de calcul

Les unités d'achat de calcul pour MPC ST sont basées sur les types d'hôtes disponibles.

Les différents types d'unités d'achat pour MPC Single Tenant sont décrits dans le tableau ci-dessous.

Purchase Unit	Host Type	Billing Type	Description
AHM-16L05V4#4	Generic Host	Baseline	16C, 512GB RAM, 4×3.84TB NVME
AHM-16L05V6#4	Generic Host	Baseline	16C, 512GB RAM, 6×3.84TB NVME
AHM-32L05V8#4	Generic Host	Baseline	32C, 512GB RAM, 8×3.84TB NVME
AHM-32L05V6#8	Generic Host	Baseline	32C, 512GB RAM, 6×7.68TB NVME
AHM-32L05V8#8	Generic Host	Baseline	32C, 512GB RAM, 8×7.68TB NVME
AHM-32L05V6#15	Generic Host	Baseline	32C, 512GB RAM, 6×3.68TB NVME
AHM-32L10V8#4	Generic Host	Baseline	32C, 1024GB RAM, 4×15.36TB NVME
AHM-32L10V6#8	Generic Host	Baseline	32C, 1024GB RAM, 6×7.68TB NVME
AHM-32L10V8#8	Generic Host	Baseline	32C, 1024GB RAM, 8×7.68TB NVME
AHM-32L10V6#15	Generic Host	Baseline	32C, 1024GB RAM, 6×15.36TB NVME
AHM-64L10V8#8	Generic Host	Baseline	64C, 1024GB RAM, 8×7.68TB NVME
AHM-64L10V6#15	Generic Host	Baseline	64C, 1024GB RAM, 6×15.36TB NVME
AHM-64L20V8#8	Generic Host	Baseline	64C, 2048GB RAM, 8×7.68TB NVME
AHM-64L20V6#15	Generic Host	Baseline	64C, 2048GB RAM, 6×15.36TB NVME
Note : Les hôtes du cluster sont engagés pour toute la durée du contrat.

Utilisation de MPC ST

• Sélectionnez plusieurs hôtes et clusters qui répondent aux besoins en ressources, à condition que chaque cluster ne contienne qu'un seul type d'hôte.
• Mélangez plusieurs garanties de performance vCPU au sein d'un seul cluster MPC Single Tenant en créant des centres de données virtuels organisationnels (OVDC) supplémentaires.
• Utilisez des machines virtuelles de toute taille dans les limites de l'hôte pour les ressources de calcul ; les directives recommandées pour le dimensionnement des machines virtuelles s'appliquent, et l'allocation de ressources au-delà des tailles recommandées n'améliore pas nécessairement les performances.
• Respectez la taille maximale recommandée de 8 vCPU et 64 Go de RAM pour MPC ST.

MPC Connectivity

MPC peut être connecté aux environnements externes suivants :

• Colocation Equinix
• Network Edge d'Equinix
• Fournisseurs de réseaux étendus (WAN)
• Fournisseurs de services en nuage (CSP)
• Environnements MPC dans un autre métro
• Equinix Internet Access (EIA) via Equinix Fabric

La connectivité n'est prise en charge que par Equinix Fabric à l'aide de circuits virtuels. Les autres méthodes de connectivité au MPC ne sont pas prises en charge.

Type de connectivité

Les exigences en matière de réseau déterminent la manière dont le réseau du client se connecte à un centre de données virtuel organisationnel MPC (OVDC). Les types de connectivité suivants sont disponibles :

• Routed - Routage dans MPC fourni par Equinix
• Routed Joined - Option de routage utilisant un routeur partagé entre plusieurs OVDC.
• Customer Routed - Routage fourni par une appliance de routage virtuelle gérée par le client au sein de l'OVDC.
• Managed Private Firewall - Routage fourni par le service Managed Private Firewall.

Plusieurs OVDC

Chaque OVDC a un seul type de connectivité attribué. Lorsque plusieurs OVDC sont utilisés, des combinaisons de types de connectivité sont possibles.

Connectivité acheminée

Ce type de connectivité fournit une connectivité de couche 3 au MPC OVDC. Cette option comprend un moteur de routage intégré configurable via la console opérationnelle. Chaque réseau routé interne MPC créé est automatiquement inclus dans le domaine de routage du client.

Connectivité Client Acheminé

Cette option utilise comme moteur de routage une appliance virtuelle de routage (VM) fournie, installée et gérée par vos soins au sein de MPC. Tous les réseaux externes commandés sont disponibles dans la console opérationnelle en tant que réseaux externes fournis par Equinix. Des réseaux externes supplémentaires peuvent être commandés séparément. Les réseaux externes doivent être connectés à l'appareil de routage virtuel.

Les réseaux internes isolés MPC doivent être connectés à l'appliance de routage. Le client est responsable de la mise en place d'une redondance de couche 3 (BGP) à l'aide de plusieurs connexions virtuelles.

Dans Customer Routed, les VLAN peuvent être regroupés pour le trafic nord-sud, de l'extérieur de MPC à MPC. Pour le trafic est-ouest à l'intérieur du MPC, le trunking n'est pas pris en charge.

note

• Les réseaux internes routés ne sont pas disponibles avec cette option. Seuls les réseaux internes isolés créés en libre-service peuvent être utilisés pour connecter les machines virtuelles à l'appliance de routage virtuelle.
• Les réseaux externes sont nécessaires pour connecter l'appliance de routage virtuelle à la connectivité externe. Deux circuits virtuels (VC) sont nécessaires par connexion pour la redondance.
• Bien que la plateforme MPC offre une haute disponibilité, il est recommandé de déployer une configuration à haute disponibilité en utilisant deux appliances de routage virtuelles.
• L'utilisation d'outils VMware sur les appliances de routage et les VM est recommandée pour prendre en charge la gestion gracieuse.

Connectivité Pare-feu privé géré

Lorsque vous utilisez le Managed Private Firewall (MPF) en tant que service supplémentaire pour la sécurité, y compris le routage et la journalisation, toute la connectivité externe se termine au MPF. MPF est connecté au routage MPC intégré. Dans cette combinaison de routage MPF et MPC, le trafic nord-sud est d'abord traité par MPF, puis par MPC. MPC assure également le routage est-ouest.

Cette option fournit une configuration de routage intégrée composée de deux éléments.

• Routage MPF, configuré par Equinix
• Routage MPC, configurable via la console opérateur

Chaque réseau routé interne MPC créé fait automatiquement partie du domaine de routage du client. Les réseaux internes isolés ne le sont pas.

Mise en réseau avec plusieurs OVDC

Lors de l'utilisation de plusieurs Metro-Connect dans un métro, les clients peuvent utiliser différentes combinaisons de types de connectivité. Comme le type de connectivité est lié à l'OVDC, chaque scénario a des capacités différentes.

Lors de l'utilisation de plusieurs OVDC dans un Metro, un client peut choisir d'utiliser une passerelle dédiée par OVDC ou d'utiliser la même instance de passerelle pour les deux OVDC (routed joined).

Plusieurs OVDC avec connectivité acheminée et acheminée par le client

Lors de l'utilisation de plusieurs OVDC dans un Metro, un client peut choisir une combinaison de Routed pour un OVDC et de Customer Routed pour l'autre. Le client dispose de deux options de mise en œuvre :

1. Les OVDC sont connectés
2. Les OVDC ne sont pas connectés

Lorsque les OVDC sont connectés, un VLAN existe entre la passerelle Customer Routed et la passerelle Routed. Dans ce cas, des réseaux peuvent être créés entre les deux OVDC.

Lorsque les OVDC ne sont pas connectés, chaque OVDC fonctionne comme un environnement autonome.

Options de connexion virtuelle| Connexion | # | Type | Description | | -----------|---|---------------------|-------------| | Equinix Colocation | 1 | VC en libre-service | Connexion créée et gérée par le client. Via Equinix Fabric Portal à l'aide d'un profil de service / jeton de service EMS. | Equinix Network Edge | 2 | VC en libre-service | Connexion créée et gérée par le client. Via Equinix Fabric Portal à l'aide d'un profil de service / jeton de service EMS. | Equinix Network Edge | 3 | Managed VC | Connexion créée et gérée par Equinix. Fait partie de la commande MPC. | Fournisseurs de services cloud (CSP) | 4 | Managed VC | Connexion créée et gérée par Equinix. Fait partie de la commande MPC. | Environnement MPC dans un autre Metro | 5 | Managed VC | Connexion créée et gérée par Equinix. Fait partie de la commande MPC. | Equinix Internet Access (EIA) via Equinix Fabric | 6 | Managed Internet Access | Connexion créée et gérée par Equinix. Fait partie de la commande MPC. |

Avec un VC en libre-service **** , les clients lancent des VC par le biais du portail Equinix Fabric. Equinix Managed Solutions contacte le client pour configurer la connexion côté MPC. Chaque connexion nécessite la commande d'une paire de VC.

Avec un VC géré par **** , le VC fait partie d'une commande MPC dans laquelle Equinix initie la configuration du VC. Pendant l'exécution de la commande, Equinix contacte le client pour recueillir les paramètres nécessaires à la configuration des VC.

Remarque : chaque connexion nécessite deux circuits virtuels pour la redondance, tant pour le Self-Service que pour le Managed Solutions.

Internet Access

Si un accès Internet est nécessaire dans le cadre de l'environnement MPC, il faut commander Managed Internet Access. L'accès Internet géré utilise l'accès Internet Fabric (EIA) et est configuré avec une bande passante fixe, sans options de rafale. L'EIA prend en charge jusqu'à 10 Gbps de bande passante vers MPC. L'espace d'adressage IP doit être commandé séparément.

Pour l'accès Internet, un client peut alternativement contracter un service tiers disponible sur Equinix Fabric. Dans ce cas, le client est responsable de l'engagement du service Internet.

Remarque : si vous utilisez un fournisseur d'accès internet tiers, vous devez commander deux connexions pour assurer la redondance.

MPC Virtual Networking

La plateforme MPC offre des fonctions de réseau virtuel qui peuvent être configurées via la console opérationnelle MPC. Le tableau ci-dessous énumère les fonctions disponibles et indique si elles sont incluses dans le service ou facturées séparément.

Function	Charge Type	Routed and Managed Firewall	Customer Routed
Standard Firewall	Included	Y	N
Distributed or Advanced Firewall	Charged	Y	Y
Routing, IPv4 Static and Dynamic (BGP)	Included	Y	N
Routing IPv6	Included	Y	N
NAT	Included	Y	N
DHCP	Included	Y	N
VPN IPSEC Layer‑3 Site‑to‑Site	Included	Y	N
Route Advertisement	Included	Y	N

Réseaux internes

Les réseaux internes d'un OVDC peuvent être créés en libre-service dans la console opérationnelle MPC. Le service MPC Networking supporte jusqu'à 1000 réseaux internes par OVDC. Les réseaux internes peuvent également être configurés sur plusieurs OVDC au sein du même IBX Equinix lorsque l'OVDC est configuré avec un groupe de centres de données.

Il existe deux types de réseaux internes :

• Routed, permet aux VM de se connecter à un réseau qui utilise la passerelle comme routeur et fournit un accès au réseau étendu, à la colocation, aux CSP ou à Internet. Les réseaux routés sont disponibles pour toutes les VM et vApps au sein de l'OVDC.
• Isolés, ces réseaux ne sont pas connectés à des réseaux ayant accès au WAN, à la colocation, aux CSP ou à Internet, sauf s'ils sont rattachés à un routeur autogéré.

Les réseaux routés ne sont disponibles que pour le type de connectivité "Routed".

Groupe Datacenter

Lorsque plusieurs OVDC sont utilisés, un groupe de centres de données crée un réseau unifié à travers les OVDC, ce qui permet d'utiliser le même réseau dans plusieurs OVDC. Un groupe de centres de données est nécessaire pour utiliser la fonctionnalité de pare-feu distribué. Si un groupe de centres de données n'est pas disponible, une demande de service peut être soumise pour le configurer.

Réseaux inter-sites

Lors de l'utilisation de MPC dans différents métros, deux sites MPC dans différents centres de données peuvent être connectés en demandant un circuit virtuel géré entre les sites. La configuration du réseau dépend du type de connectivité sélectionné. La connectivité entre deux centres de données est facturée comme un circuit virtuel géré.

La connectivité entre plus de deux centres de données est prise en charge, mais nécessite un Fabric Cloud Router (FCR), Equinix Fabric IP-WAN et deux connexions virtuelles entre la zone MPC et le Fabric Cloud Router.

Remarque : la commande et la configuration du Fabric Cloud Router et de l'IP-WAN n'entrent pas dans le cadre des Managed Solutions.

Unités d'achat Connectivité - Unités par OVDC unique

Purchase Item	UOM	Calculation Type	Description
Connectivity Type	ONCE	Baseline	Routing instance per OVDC: • Routed • Routed Joined • Customer Routed • Managed Firewall
Managed Virtual Circuit	VC	Baseline	Available bandwidth: 10 / 50 / 200 / 500 Mbps or 1, 2, 5, 10 Gbps Two (2) VCs needed per connection for redundancy
Managed Internet Access	Each	Baseline	Internet access available in 10 / 50 / 100 / 200 / 500 Mbps and 1, 2, 5, and 10 Gbps Managed Virtual Circuits are included in Managed Internet Access
Allocated IP‑space	block	Baseline	Supported IPv4 /24 to /29 and IPv6 Mandatory when Managed Internet Access is procured
Distributed Firewall (DFW)	Per Core	Baseline / Overage	Additional functionality to offer micro‑segmentation

Console opérationnelle MPC

La console opérationnelle MPC offre des outils d'automatisation et une API pour gérer vos ressources MPC.

• Gestion des OVDC dans plusieurs centres de données Equinix
• Création, importation et gestion des VM et vApps
• Dimensionnement des machines virtuelles (augmentation et diminution de l'échelle)
• Créer un instantané de VM, limité à 1 instantané
• Accès à la console de la VM
• Statistiques de performance
• Création et remplissage de la "bibliothèque" avec vos fichiers ISO/OVA
• Accès direct au portail libre-service MPC et à la console VM via un navigateur web sans solution VPN complexe
• Options étendues pour l'écriture de scripts et l'automatisation (API)
• Séparer ou regrouper des machines virtuelles pour des raisons de disponibilité ou de performance
• Gérer les règles de pare-feu et la micro segmentation
• Créer et gérer des règles de routage statique pour IPv4
• Créer et gérer des règles de routage statique pour IPv6
• Créez et gérez NAT, DHCP
• Créez et gérez des VPN IPSec layer 3 basés sur des "tunnels" de site à site.
• Créez et gérez le routage et le transfert virtuels (VRF).

Accéder à MPC ST

Pour accéder à Managed Private Cloud (MPC), rendez-vous sur le portail client **** . De là, vous pouvez accéder aux éléments suivants :

• Managed Solutions Portal (MSP) - utilisé pour créer des tickets, soumettre des demandes de service et afficher des informations sur l'utilisation du MPC.
• Operational Console - utilisée pour gérer et exploiter les ressources MPC.

Régions

La console opérationnelle permet d'accéder aux ressources MPC dans une région spécifique. MPC est disponible dans quatre régions : Amérique du Sud, Amérique du Nord, Europe et Asie.

Chaque instance MPC est associée à une région. Lorsqu'une instance existe dans une région, vous pouvez ouvrir la console opérationnelle correspondante en sélectionnant l'option régionale dans la zone Managed Solutions du portail client.

Une fois que vous vous êtes connecté à la console régionale appropriée, votre accès aux ressources est organisé par organisation et par centre de données virtuel organisationnel (OVDC).

Organisation

Une organisation (Org) représente le client dans la console opérationnelle. L'Org peut être considérée comme un conteneur pour toutes les ressources MPC dans cette région, y compris les centres de données virtuels, les utilisateurs et les bibliothèques de contenu. Le nom de l'organisation est requis lors de la connexion à la console opérationnelle MPC.

Centre de données virtuel organisationnel (OVDC)

Un centre de données virtuel organisationnel (OVDC) regroupe les ressources de calcul, de stockage et de réseau que vous utilisez pour exécuter des charges de travail. Un seul Org peut contenir plusieurs OVDC, qui peuvent différer selon l'emplacement de l'IBX (par exemple, Amsterdam, Londres ou Ashburn) ou selon le profil de performance de calcul. Si vous avez besoin d'une capacité supplémentaire ou d'un OVDC supplémentaire, contactez le Service Delivery Manager ou l'Account Manager qui vous a été attribué pour en faire la demande.

Rôles des locataires

note

Les rôles de locataire suivants s'appliquent uniquement aux variantes Managed Private Cloud Single Tenant et Managed Private Cloud FLEX.

Les rôles des locataires définissent les autorisations et les actions disponibles pour les utilisateurs au sein d'un locataire MPC. Les rôles sont attribués aux utilisateurs après qu'ils aient été ajoutés via le portail client. Les rôles déterminent les actions que les utilisateurs peuvent effectuer dans la console opérationnelle et les capacités API auxquelles ils ont accès.

Lors du déploiement initial d'un nouvel environnement MPC, Equinix crée le premier compte administrateur client dans le cadre du processus d'intégration. Ce compte est créé à l'aide du nom et de l'adresse électronique fournis par le client, et se voit automatiquement attribuer le rôle Tenant Admin, qui donne un accès complet à la console opérationnelle MPC, y compris aux fonctions d'administration et de configuration au niveau du locataire.

Les rôles suivants sont pris en charge :

Tenant Admin - Le rôle Tenant Admin fournit un accès administratif complet à un locataire MPC. Les utilisateurs auxquels ce rôle est attribué peuvent gérer la configuration du locataire, l'accès des utilisateurs et les capacités d'automatisation dans l'environnement. Les permissions de l'administrateur locataire comprennent

• Accéder à la console VM
• Créer et supprimer des instantanés
• Créez et supprimez des jetons API personnels
• Créez, modifiez et supprimez des comptes de service à l'échelle de l'organisation.
• Créez, modifiez et supprimez des machines virtuelles dans le périmètre du locataire.
• Créez, modifiez et supprimez des vApps dans le périmètre du locataire.
• Créez, modifiez et supprimez des réseaux dans le périmètre du locataire.
• Créez, modifiez et supprimez les bibliothèques de contenu et le contenu des bibliothèques dans le périmètre du locataire.
• Configurez les passerelles de périphérie dans le périmètre du locataire.
• Configurer les règles d'affinité
• Visualisez les tâches et les journaux d'événements dans le périmètre du locataire.

Tenant User - Le rôle de Tenant User permet aux utilisateurs de créer et de gérer des charges de travail et des ressources sélectionnées au sein d'un locataire MPC, sans avoir accès aux paramètres administratifs de l'ensemble du locataire. Les permissions de l'utilisateur locataire comprennent

• Accédez à la console des machines virtuelles
• Créer et supprimer des instantanés
• Créez et supprimez des jetons API personnels
• Démarrer et arrêter des machines virtuelles dans le périmètre du locataire
• Démarrer et arrêter des vApps dans le périmètre du locataire
• Mettre à jour les outils VM dans le périmètre du locataire
• Visualisez les tâches et les journaux d'événements dans le périmètre du locataire.

Tenant Viewer - Le rôle de Tenant Viewer fournit un accès en lecture seule à la configuration du locataire et à l'état des ressources. Les utilisateurs auxquels ce rôle est attribué peuvent consulter les mêmes ressources et informations que celles disponibles pour le rôle d'utilisateur locataire, avec les restrictions suivantes :

• Pas d'autorisations de création, modification ou suppression (CRUD) pour les machines virtuelles ou les vApps.
• Pas d'accès à la console

Gestion des MPC ST

Gestion des utilisateurs

Les utilisateurs de la console opérationnelle sont gérés via le portail client. Voir Gestion des utilisateurs et des mots de passe. Une fois les utilisateurs ajoutés, une demande de service doit être soumise pour attribuer le rôle de locataire MPC à l'utilisateur.

Pour utiliser une source d'identité différente, la fédération d'identité peut être configurée dans le portail client pour s'intégrer à un fournisseur d'identité externe. Cela permet aux utilisateurs de se connecter à l'aide des informations d'identification de leur entreprise.

Accès à l'API

L'accès à l'API de la console opérationnelle de Managed Private Cloud (MPC) est destiné à l'accès programmatique et à l'automatisation. Les outils d'automatisation courants comprennent Terraform, Ansible, Python et les appels d'API basés sur XML ou JSON. L'authentification à l'API nécessite la génération de jetons d'accès dans la console opérationnelle. Deux méthodes d'accès sont prises en charge, chacune étant conçue pour un cas d'utilisation différent.

Method	Details
API tokens	• API access to the Operational Console on behalf of the Customer Portal or federated user accounts for individual programmatic access. • Can be configured by all Customer Portal or federated user accounts.
Service accounts	• API access to the Operational Console using standalone accounts intended for organization-wide automation and third-party tools or applications. • Can be configured only by users with the Tenant Admin role. • Can be assigned one of the supported roles. • Supports API access only.

Terraform Automation

Terraform est un outil d'infrastructure en tant que code qui permet de définir des ressources en nuage et sur site à l'aide de fichiers de configuration lisibles par l'homme. Ces fichiers peuvent être modifiés, réutilisés et partagés, ce qui permet de mettre en place un flux de travail cohérent pour l'approvisionnement et la gestion de l'infrastructure tout au long de son cycle de vie.

Terraform peut être utilisé pour gérer des ressources de bas niveau telles que le calcul, le stockage et le réseau. La plupart des fonctionnalités de la console opérationnelle sont disponibles via l'API ou Terraform. Pour plus d'informations, consultez la [documentation du fournisseur Terraform] (https://www.terraform.io/docs/providers/vcd/index.html).

Jetons API

Les jetons API peuvent être créés par le portail client ou le compte d'utilisateur fédéré dans la console opérationnelle et sont utilisés pour l'accès programmatique personnel. Voici comment créer un jeton API :

1. Connectez-vous à la console opérationnelle. Ouvrez Préférences de l'utilisateur dans le menu en haut à droite.
2. Allez dans la section API Tokens et sélectionnez New.
3. Saisissez un nom pour le jeton et sélectionnez Create.
4. Copiez et conservez le jeton généré dans un endroit sûr. Le jeton n'est affiché qu'une seule fois et ne peut plus être visualisé après avoir fermé cet écran. Si vous perdez le jeton, vous devez en générer un nouveau.
5. Après sa création, le jeton apparaît dans la liste des jetons API et peut être révoqué lorsqu'il n'est plus nécessaire.

Comptes de services

Les comptes de service ne peuvent être créés, consultés et supprimés que par les utilisateurs ayant le rôle d'administrateur de locataire, en raison de la nature sensible de ces comptes. Voici comment créer un compte de service :

note

Un compte de service est le propriétaire de tous les objets qu'il crée dans la console d'exploitation.

1. Connectez-vous à la console opérationnelle. Ouvrez Administration, puis sélectionnez Comptes de service et choisissez Nouveau.
2. Saisissez un nom pour le compte de service, attribuez un rôle et utilisez la baguette magique pour générer un identifiant unique. Sélectionnez Next pour continuer.
3. (Facultatif) Attribuez une ou plusieurs limites de quota au compte de service.
4. Sélectionnez Terminez pour créer le compte de service.
5. Après la création, la clé API est affichée dans le champ Client ID lorsque vous consultez les propriétés du compte de service. La plupart des paramètres du compte de service peuvent être modifiés ultérieurement en sélectionnant Edit.

Explorateur API

L'explorateur d'API fournit une interface graphique pour visualiser, tester et exécuter des appels d'API et est accessible via la console d'exploitation.

1. Dans la console opérationnelle, ouvrez le menu en haut à droite et sélectionnez Help > API Explorer.
2. L'explorateur d'API expose l'API JSON basée sur Swagger et permet d'exécuter des appels d'API au nom du compte utilisateur actuellement connecté.

Console opérationnelle

Lorsqu'un utilisateur est connecté au portail client, il peut accéder à la console opérationnelle en naviguant vers le portail Managed Solutions, en sélectionnant Managed Private Cloud, puis en sélectionnant la région souhaitée.

Si la console opérationnelle est accessible directement via son URL et que l'option Sign In est sélectionnée, l'utilisateur est redirigé vers le portail client pour s'authentifier à l'aide des informations d'identification du portail client. Le portail client prend également en charge la configuration de la fédération basée sur SAML avec le fournisseur d'identité d'une organisation, ce qui permet aux utilisateurs d'accéder à la console opérationnelle à l'aide des informations d'identification de leur entreprise.

La console opérationnelle permet de créer des machines virtuelles, des réseaux et des règles de sécurité.

vApp

Un vApp est un groupe de machines virtuelles au sein d'un centre de données virtuel, représentant par exemple un paysage d'applications. Les machines virtuelles peuvent être gérées en tant que groupe, par exemple en prenant un instantané ou en les redémarrant, et les machines virtuelles individuelles peuvent également être gérées séparément au sein d'un vApp. Les machines virtuelles et les vApps peuvent se voir attribuer une période de location, au terme de laquelle ils sont automatiquement supprimés. Par défaut, le bail est défini comme n'expirant jamais.

Un vApp peut être créé avec ou sans machines virtuelles. La création d'un vApp sans machines virtuelles peut s'avérer utile pour configurer le réseau vApp avant de créer les machines virtuelles.

Créer un nouveau vApp

1. Accédez à la page principale sous Applications > vApps, sélectionnez Build New vApp, donnez un nom et une description, puis sélectionnez Build. Attendez la fin du processus.
2. Options dans la fenêtre vApp :
   • Sélectionnez Power pour mettre le vApp sous tension, l'arrêter, le redémarrer ou le mettre en pause. Ces actions ne sont disponibles que si le vApp contient une machine virtuelle.
   • Sélectionnez More pour ajouter ou supprimer une machine virtuelle du vApp.
   • Sélectionnez Details pour afficher ou modifier des informations supplémentaires.

Machines virtuelles

Les machines virtuelles peuvent être créées soit dans le cadre d'un vApp, soit en tant que machines virtuelles autonomes. Il est recommandé de créer des machines virtuelles au sein d'un vApp. Un vApp peut contenir jusqu'à 100 machines virtuelles et les machines virtuelles peuvent être déplacées entre les vApp. Des réseaux peuvent également être créés entre les machines virtuelles qui résident dans différents vApp.

La création de machines virtuelles dans le cadre d'un vApp offre plusieurs avantages, tels que le regroupement des machines virtuelles par tâche, fonction ou exigences de conservation, la configuration de l'ordre de démarrage et d'arrêt, l'amélioration de la visibilité de la configuration du réseau grâce au diagramme de réseau vApp et la gestion déléguée grâce à l'accès basé sur les rôles.

Les ressources de stockage allouées et les Go de RAM alloués sont comptés comme du stockage utilisé dans le cadre de la stratégie de stockage attribuée. Lorsqu'une machine virtuelle est démarrée, les ressources de calcul sont déduites du quota de calcul du centre de données virtuel de l'organisation (OVDC).

La méthode d'installation du système d'exploitation la plus courante pour une nouvelle machine virtuelle consiste à sélectionner un fichier ISO dans le catalogue privé ou partagé d'Equinix, ce qui permet à la machine virtuelle de démarrer à partir du fichier ISO lorsqu'elle est mise sous tension et de commencer le processus d'installation. Une autre option consiste à créer une nouvelle machine virtuelle et un vApp à partir d'un fichier OVF ou OVA sur le poste de travail de l'administrateur pendant le processus de création.

Créer une machine virtuelle

1. Allez sur Applications > Virtual Machines et sélectionnez Create VM, ou sélectionnez More on a vApp and choose Add VM.
2. Suivez les étapes de la boîte de dialogue de création, puis sélectionnez OK et attendez que la machine virtuelle soit créée.
   1. Entrez un nom et un nom d'ordinateur.
   2. Sélectionnez New pour le type.
   3. Choisissez si la machine virtuelle doit démarrer automatiquement après sa création.
   4. Sélectionnez la famille de systèmes d'exploitation, le système d'exploitation invité et l'image de démarrage.
   5. Configurez les options de démarrage, y compris EFI Secure Boot et la configuration du démarrage.
   6. Configurez les paramètres du module de plateforme de confiance (TPM), si nécessaire.
   7. Configurez les ressources informatiques, y compris le CPU, les cœurs et la mémoire.
   8. Configurez le stockage, y compris la politique de stockage et la taille du disque.
   9. Configurez les paramètres de mise en réseau.
3. Dans l'écran Virtual Machines:
   1. Sélectionnez Power pour allumer ou éteindre la machine virtuelle, la redémarrer ou la mettre en pause.
   2. Sélectionnez Plus pour monter le support d'installation, gérer les instantanés, ouvrir la console ou supprimer la machine virtuelle.
   3. Sélectionnez View pour afficher ou modifier les détails de la configuration et les paramètres supplémentaires.

Lier les supports d'installation du catalogue à une VM

Si un catalogue est déjà disponible et que le média d'installation a été téléchargé, il peut être attaché à la machine virtuelle.

1. Localisez la machine virtuelle et sélectionnez More.
2. Sélectionnez Insert Media et choisissez le fichier d'installation. Le fichier est connecté en tant que CD-ROM virtuel.
3. Une fois le travail terminé, il est recommandé de détacher le fichier d'installation en sélectionnant Eject Media.

Console VM

Une machine virtuelle peut être gérée via la console opérationnelle. Deux types de console sont disponibles :

• Web Console qui fonctionne à partir de votre navigateur.
• VM Remote Console qui nécessite l'installation d'un plug-in.

Les supports d'installation (ISO) ne peuvent pas être utilisés directement à partir d'un appareil local. Le support doit être téléchargé dans un catalogue avant de pouvoir être monté sur une machine virtuelle.

Le plug-in VM Remote Console pour les appareils Windows est disponible dans le catalogue partagé. Pour macOS et Linux (y compris Windows via Workstation), la fonctionnalité VMRC est incluse dans VMware Fusion Pro et VMware Workstation Pro. Ces applications nécessitent une licence distincte et ne sont pas incluses dans MPC ni fournies par Equinix.

1. Localisez la machine virtuelle à partir du vApp ou de la vue d'ensemble de Virtual Machines.
2. Sélectionnez More et choisissez le type de console souhaité : Web Console (aucun plug-in requis) ou VM Remote Console (plug-in requis).

Instantanés

Un snapshot capture l'état d'une machine virtuelle complète ou d'un vApp avant qu'une action ne soit effectuée. La console opérationnelle n'autorise qu'un seul instantané à la fois, avec ou sans l'état de la mémoire active. La prise d'un instantané double temporairement l'utilisation du stockage de la machine virtuelle ou du vApp. Les instantanés peuvent affecter les performances de la machine virtuelle. Il est recommandé de conserver les instantanés pendant 2 à 3 jours au maximum ; les instantanés datant de plus d'une semaine sont supprimés automatiquement. Pour une conservation à plus long terme de l'état d'une machine virtuelle, créez un clone ou effectuez une sauvegarde de la machine virtuelle ou du vApp.

1. Localisez la machine virtuelle ou le vApp, sélectionnez Actions > Snapshot, et choisissez Create Snapshot, puis confirmez.
2. Pour restaurer la machine virtuelle à l'état d'instantané, sélectionnez Revert to Snapshot et confirmez.
3. Pour supprimer l'instantané, sélectionnez Remove Snapshot et confirmez.

note

Lorsqu'un nouveau snapshot est créé à partir d'une VM avec un snapshot existant, l'ancien snapshot est supprimé. Pour avoir accès à toutes les options de snapshot, VMware Tools doit être installé sur la VM.

Catalogues

Le catalogue de la console d'exploitation stocke les vApps, les machines virtuelles et les fichiers multimédias (tels que les images ISO). Equinix fournit un catalogue partagé avec un ensemble de fichiers ISO. Le catalogue partagé est associé à l'OVDC, en particulier au métro de l'environnement.

Un catalogue privé peut également être créé pour stocker des supports d'installation ou des modèles. Les fichiers peuvent être téléchargés directement ou des modèles peuvent être créés à partir de machines virtuelles ou de vApps existants. Les fichiers stockés dans le catalogue privé sont pris en compte dans le quota de stockage OVDC. Tous les logiciels téléchargés doivent être conformes aux exigences de licence du fournisseur et aux politiques d'Equinix. Le catalogue ne peut être utilisé que pour les fichiers ISO et OVF.

Créer un catalogue

Pour stocker des supports d'installation ou des modèles, il faut d'abord créer un catalogue.

1. Sur l'écran d'accueil, sélectionnez l'icône de menu (trois lignes horizontales).
2. Dans l'écran Content Hub, sélectionnez Catalogues, puis Nouveau.
3. Saisissez un nom et une description pour le catalogue. Les catalogues peuvent être stockés sur n'importe quel profil de stockage disponible. Par défaut, le profil le plus rapide est sélectionné. Pour choisir un profil de stockage spécifique, activez Pre-provision on a specific storage policy, sélectionnez ORGOVDC, et choisissez la politique de stockage requise.

Ajouter un support d'installation

Lorsque le catalogue est disponible, les supports d'installation peuvent y être téléchargés.

1. Allez sur Content Libraries > Media & Other et sélectionnez Add.
2. Dans le nouvel écran, sélectionnez le catalogue, cliquez sur l'icône de téléchargement (flèche pointant vers le haut) pour ouvrir le navigateur de fichiers. Sélectionnez le fichier d'installation et confirmez avec OK.
3. Modifiez le nom si nécessaire et sélectionnez OK pour lancer le téléchargement. Dans la vue d'ensemble de Media & Other, un indicateur rotatif apparaît lorsque le téléchargement est en cours. Une coche verte apparaît lorsque le téléchargement est terminé. Le fichier est alors prêt à être utilisé.
4. En sélectionnant les trois points à côté du nom du fichier, vous avez la possibilité de supprimer le fichier ou de le télécharger sur le poste de travail.

Créer un modèle de vApp

Un modèle de vApp peut être créé en téléchargeant un fichier à partir d'un poste de travail local ou en utilisant un vApp existant. Un modèle pour une seule machine virtuelle basée sur un vApp ne peut être créé que si le vApp contient exactement une machine virtuelle.

1. Localisez le vApp à utiliser comme source, sélectionnez More, et choisissez Add to Catalog. Sélectionnez le catalogue de destination et saisissez un nom. Une copie exacte peut être créée ou les paramètres de la machine virtuelle peuvent être ajustés si les outils VMware sont installés avant la création du modèle.
2. Pour accéder au modèle vApp, allez sur Content Hub > Catalogs et ouvrez le catalogue correspondant. Une fois disponible, le modèle peut être utilisé pour déployer de nouvelles machines virtuelles.

Catalogues partagés

Equinix fournit un catalogue partagé (OS-CATALOG-1) par métro MPC qui contient un ensemble de variantes de systèmes d'exploitation. Sélectionnez le catalogue associé au métro où la machine virtuelle sera déployée. Le catalogue partagé est associé à la variante MPC (FLEX ou ST) dans ce métro. Si MPC FLEX et MPC ST sont utilisés dans le même métro, deux catalogues seront visibles pour ce métro.

Connectivité et réseaux

La console opérationnelle offre plusieurs options de connexion et d'accès aux services au sein de l'organisation ou à l'extérieur. En fonction du modèle de connectivité sélectionné, un OVDC est créé avec un Bridging (MPC Connectivity Customer Routed dans la commande) ou un Routing (MPC Connectivity Routed dans la commande).

Les fonctions réseau disponibles dans la console opérationnelle varient selon que la connectivité acheminée par le client ou acheminée est sélectionnée.

Dans la console opérationnelle, deux types de réseaux peuvent être créés en libre-service :

• Réseau isolé (connecté en interne): Un réseau isolé n'existe que pour les machines virtuelles au sein de l'OVDC.
• Réseau routé (connecté à l'extérieur): Un réseau routé permet d'accéder à des réseaux externes à l'OVDC par l'intermédiaire de la passerelle de périphérie.

MPC Connectivity Type	Isolated	Routed
Bridging	Yes	No
Routing	Yes	Yes

Architecture du pare-feu de la passerelle MPC

MPC utilise une architecture de pare-feu de passerelle en couches qui combine des contrôles au niveau du périmètre et de la charge de travail pour sécuriser le trafic nord-sud et est-ouest. La conception du pare-feu MPC comprend deux types principaux ou couches de pare-feu :

• Pare-feu de passerelle (nord-sud): Protègent le périmètre du MPC et gèrent le trafic entrant ou sortant de l'environnement.

• Pare-feu distribué (Est-Ouest): Protégez les charges de travail au niveau du vNIC et fournissez une micro-segmentation au sein de l'OVDC.

Créez un réseau OVDC isolé

Un réseau de centres de données virtuels d'entreprise (OVDC) permet aux machines virtuelles (VM) de communiquer entre elles et, éventuellement, avec des réseaux externes. Un seul OVDC peut contenir plusieurs réseaux.

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez le centre de données virtuel où le réseau sera créé.
2. Dans le panneau de navigation de gauche, sélectionnez Networks.
3. Cliquez sur Nouveau.
4. Sous Scope, sélectionnez l'OVDC actuel pour le réseau isolé.
5. Dans la page Type de réseau de la boîte de dialogue Nouveau réseau de CDV de l'organisation, sélectionnez Isolé, puis cliquez sur Suivant.
6. Dans la page Général, entrez un Nom et une Description pour le réseau.
7. Dans le champ Gateway CIDR, sélectionnez l'espace IP du réseau dans la liste déroulante. Cette liste est pré-remplie par Equinix en fonction des informations fournies par le client lors du déploiement.
8. La double pile peut être activée lorsque l'IPv6 est requis.
9. Guest VLAN Allowed peut être activé pour autoriser plusieurs VLAN dans les machines virtuelles connectées.
10. Cliquez sur Suivant.
11. (Facultatif) Dans Static IP Pools, entrez une plage d'adresses IP pour les VM sur ce réseau et cliquez sur Add. Cela permet à la console opérationnelle d'attribuer automatiquement des adresses IP lors de la création des machines virtuelles. Si elle n'est pas configurée, l'attribution des adresses IP doit être effectuée manuellement lors de la création des machines virtuelles. Exemple : Si l'adresse de la passerelle est 192.168.1.1/24, un pool IP statique de 192.168.1.10-192.168.1.100 fournit 91 adresses IP utilisables. Des plages supplémentaires peuvent être ajoutées ultérieurement si nécessaire.
12. Lorsque vous avez terminé, cliquez sur Next.
13. (Facultatif) Dans la page DNS, entrez les informations DNS, puis cliquez sur Next. En cas d'omission, les paramètres DNS doivent être saisis manuellement lors de la création de machines virtuelles.
14. Sur la page Ready to Complete, vérifiez tous les paramètres et cliquez sur Finish.

Créer un réseau OVDC routé

Un réseau OVDC routé permet aux machines virtuelles (VM) de communiquer entre elles et avec les réseaux externes en utilisant le routage de la couche 3 (L3). Un seul OVDC peut contenir plusieurs réseaux routés. Le processus de création diffère selon que la fonctionnalité de pare-feu distribué est utilisée ou non.

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez le centre de données virtuel où le réseau sera créé.
2. Dans le panneau de navigation de gauche, sélectionnez Networks, puis cliquez sur New.
3. Sous Scope, sélectionnez Current Organization Virtual Data Center si Distributed Firewall n'est pas utilisé.
4. Dans la page Network Type de la boîte de dialogue New OVDC Network, sélectionnez Routed, puis cliquez sur Next.
5. Sous Edge Connection, sélectionnez la Edge Gateway à laquelle le segment routé se connectera.
6. Dans la page General, entrez un Name et Description pour le réseau.
7. Dans le champ Gateway CIDR, sélectionnez l'espace IP du réseau dans la liste déroulante. Cette liste est pré-remplie par Equinix en fonction des données fournies par le client lors du déploiement.
8. Activez la double pile si vous avez besoin d'IPv6.
9. Activez Guest VLAN Allowed pour autoriser plusieurs VLAN dans les machines virtuelles connectées.
10. Cliquez sur Suivant.
11. (Facultatif) Dans la page DNS, entrez les paramètres DNS, puis cliquez sur Next. Si elles ne sont pas configurées ici, les informations DNS doivent être ajoutées manuellement lors de la création de la VM.
12. Sur la page Ready to Complete (Prêt à terminer), passez en revue les sélections, puis cliquez sur Finish (Terminer). Une fois le réseau créé et connecté à l'OVDC, la Edge Gateway peut être configurée pour contrôler le trafic autorisé à entrer et à sortir de l'OVDC.

Lorsque vous utilisez un réseau routé distribué :

• Le trafic entre les réseaux distribués est protégé par un pare-feu à l'aide du pare-feu distribué car il ne traverse pas la passerelle Edge Gateways.
• Le trafic entrant ou sortant de l'environnement passe par la Edge Gateway, où s'applique le pare-feu de la passerelle.
• Le pare-feu distribué nécessite l'option de service MPC pour le pare-feu distribué, qui doit être commandée dans le cadre du contrat MPC.

note

Si le routage distribué est activé, les pare-feu de passerelle ne sont pas disponibles pour ce réseau et le pare-feu distribué (DFW) doit être utilisé. Le pare-feu nord-sud reste disponible. Si le routage distribué est désactivé, seuls les pare-feu de passerelle sont disponibles pour ce réseau routé.

VLAN invité autorisé

L'activation de cette option permet de configurer des balises VLAN (802.1Q TAG) sur les interfaces réseau des machines virtuelles. Cela permet d'exploiter plusieurs VLAN sur le même segment de réseau routé ou isolé.

Créer des règles de pare-feu pour la passerelle

La console opérationnelle fournit un pare-feu de couche 4 complet pour contrôler le trafic traversant les frontières de sécurité - à la fois Nord-Sud (trafic entre OVDC et les réseaux externes) et Est-Ouest (trafic à l'intérieur et entre les réseaux OVDC). Lorsque vous spécifiez des réseaux ou des adresses IP pour les règles de pare-feu, les formats suivants sont pris en charge :

• Une seule adresse IP
• Plages IP (par exemple, 192.168.1.10-192.168.1.50)
• Notation CIDR (par exemple, 192.168.2.0/24)
• Mots clés : interne, externe ou autre

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez l'OVDC contenant la passerelle Edge Gateways où les règles de pare-feu seront créées.
2. Dans le panneau de navigation de gauche, cliquez sur Edges. Les passerelles Edge Gateways disponibles apparaîtront sur la droite.
3. Sélectionnez la Edge Gateway à configurer, puis ouvrez l'onglet Firewall.
4. Dans l'onglet Pare-feu, vous pouvez créer et gérer des règles de pare-feu.
5. Cliquez sur New pour ajouter une nouvelle règle. Pour la nouvelle règle, spécifiez les champs suivants :
   • Nom
   • Applications
   • Contexte
   • Source (adresse IP, jeux d'IP, groupes statiques)
   • Destination (adresse IP, jeux d'IP, groupes statiques)
   • Action (Autoriser, Abandonner, Rejeter)
   • Protocole (IPv4, IPv6 ou les deux)
   • Enregistrement
   • Commentaires
6. Dans les champs Source et Destination, définissez les adresses de la règle. Pour spécifier une IP ou une plage, cliquez sur IP et entrez la valeur, puis cliquez sur Keep. Pour réutiliser des groupes d'IP, allez dans Grouping Objects et cliquez sur + pour créer un IP Set. Cet ensemble d'adresses IP peut ensuite être sélectionné pour plusieurs règles.
7. Dans le champ Application, cliquez sur + puis, dans la boîte de dialogue Ajouter un service, indiquez le protocole, le port source et le port de destination. Vous pouvez également définir une combinaison protocole/port personnalisée. Lorsque vous avez terminé, cliquez sur Keep. Des applications personnalisées peuvent également être créées à l'avance et appliquées à des règles de pare-feu.
8. Choisissez si l'action de la règle est Accepter (Allow) ou Refuser (Drop/Reject). Si un serveur syslog est configuré, sélectionnez Enable logging.
9. Cliquez sur Save changes pour finaliser la règle.

Un exemple de règle de pare-feu consiste à autoriser le trafic HTTPS en provenance de l'internet. Cet exemple utilise des adresses IP publiques attribuées. La source est quelconque (toute adresse IP au sein de l'OVDC). Le port source est également quelconque. La destination est une adresse IP privée et le port de destination est 443 pour HTTPS. Pour que cela fonctionne, vous avez besoin d'une configuration DNAT.

Créer des règles NAT

La traduction d'adresses de réseau (NAT) permet de modifier l'adresse IP source ou de destination afin que le trafic puisse passer par un routeur ou une passerelle. Les types de NAT les plus courants sur la Edge Gateway sont :

• Destination NAT (DNAT) - modifie l'adresse IP de destination du paquet.
• Source NAT (SNAT) - modifie l'adresse IP source du paquet.

D'autres options sont disponibles :

• NO DNAT
• NO SNAT
• REFLEXIVE

Pour qu'une machine virtuelle (VM) puisse accéder à une ressource réseau externe à partir de son OVDC, le NAT peut être nécessaire dans certains cas d'utilisation. Dans ce cas, utilisez l'une des options suivantes :

• Adresses IP publiques fournies par Equinix.
• Réseaux privés via MPC Connect.

note

• Cette fonctionnalité s'applique principalement lorsque la passerelle Edge Gateways est configurée avec des adresses IP publiques et que les VM utilisent des adresses IP privées.
• Les règles NAT ne fonctionnent que lorsque le pare-feu est activé. Le pare-feu doit rester activé en permanence.

La DNAT modifie l'adresse IP de destination d'un paquet et effectue l'opération inverse pour le trafic de réponse. Le DNAT peut être utilisé pour exposer un service fonctionnant sur un réseau privé à travers une adresse IP publique.

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez l'OVDC qui contient la passerelle Edge Gateways où la règle DNAT est créée.
2. Dans le panneau de navigation de gauche, cliquez sur Edge. Sélectionnez l'onglet NAT et ajoutez une nouvelle règle NAT.
3. Dans la section NAT, cliquez sur + DNAT Rule.
4. Dans NAT Action, sélectionnez le type de règle NAT.
5. Saisissez une IP externe (par exemple, 10.30.40.95).
6. Entrez un Port externe (par exemple, 443).
7. Saisissez une Internal IP (par exemple, 192.168.1.10).
8. Paramètres avancés
   • State - active ou désactive la règle
   • Logging_ - enregistre la règle
   • Priorité_ - les valeurs inférieures signifient une priorité plus élevée, tandis que 0 est la valeur par défaut.
   • Le pare-feu
     • Adresse interne
     • Correspondance avec l'adresse externe
     • Contourner
   • Applied To_ - leave blank
9. Si un serveur syslog est configuré, sélectionnez Enable logging.
10. Lorsque vous avez terminé, cliquez sur Keep, puis sur Save changes.

Créer des règles SNAT

Le SNAT modifie l'adresse IP source d'un paquet et effectue l'opération inverse pour le trafic de réponse. Lors de l'accès à des réseaux externes, tels qu'Internet, une règle SNAT est nécessaire pour traduire les adresses IP internes en une adresse disponible sur le réseau externe.

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez le centre de données virtuel qui contient la passerelle Edge Gateways où la règle SNAT est créée.
2. Dans le panneau de navigation de gauche, cliquez sur Edge. Sélectionnez l'onglet NAT et ajoutez une nouvelle règle NAT.
3. Dans la section NAT, cliquez sur + SNAT Rule.
4. Dans NAT Action, sélectionnez SNAT.
5. IP externe - le réseau externe (généralement appelé VCD_CUSTOMER_WAN).
6. Internal IP - le réseau ou l'adresse IP traduite pour l'accès à internet.
7. Paramètres avancés
   • State - active ou désactive la règle
   • Logging_ - enregistre la règle
   • Priorité_ - les valeurs inférieures signifient une priorité plus élevée, tandis que 0 est la valeur par défaut.
   • Le pare-feu
     • Adresse interne
     • Correspondance avec l'adresse externe
     • Contourner
   • Applied To_ - leave blank
8. Lorsque vous avez terminé, cliquez sur Keep, puis sur Save changes.

Créez des règles NO SNAT

Les règles NO SNAT annulent les règles SNAT existantes. Une règle NO SNAT peut être créée pour contourner le SNAT pour le trafic destiné à une adresse IP spécifique. Pour garantir un ordre de traitement correct, la règle NO SNAT doit se voir attribuer une priorité plus élevée (valeur numérique inférieure) que la règle SNAT. La priorité par défaut est 0, c'est-à-dire la priorité la plus élevée.

1. Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez le centre de données virtuel qui contient la passerelle Edge Gateways où la règle NO SNAT est créée.
2. Dans le panneau de navigation de gauche, cliquez sur Edge. Sélectionnez l'onglet NAT et ajoutez une nouvelle règle NAT.
3. Dans la section NAT, cliquez sur + No SNAT Rule.

Configurer le VPN IPsec

La console opérationnelle prend en charge les types de connexions VPN site à site suivants :

• Une Edge Gateway au sein de la même organisation
• Une Edge Gateways dans une autre organisation (Equinix ou un autre fournisseur de services vCloud).
• Un réseau distant qui fournit un point d'extrémité VPN IPsec, tel qu'un fournisseur de services en nuage ou un environnement de colocation.

Selon le type de connexion, l'adressage IP doit être configuré pour les deux points d'extrémité, ainsi qu'un secret partagé. Les réseaux OVDC autorisés à communiquer via la connexion VPN doivent également être spécifiés.

Avant de configurer les paramètres du VPN IPsec, prenez note de l'adresse IP de la passerelle Edge Gateways qui sera utilisée comme point d'extrémité du tunnel.

• Dans le tableau de bord des centres de données virtuels de la console opérationnelle, sélectionnez le centre de données virtuel qui contient la passerelle Edge Gateways à configurer.
• Dans le panneau de navigation de gauche, cliquez sur Edge.
• Sur la page Edges, sélectionnez la passerelle Edge Gateway.
• Dans l'onglet Services, localisez l'option IPsec VPN et cliquez sur New pour créer une nouvelle configuration IPsec VPN.

Configurez les paramètres VPN IPsec de la passerelle Edge Gateways

1. Configurez un nom, activez l'option Login pour afficher les journaux et laissez les autres options à leurs valeurs par défaut.
2. Mode d'authentification par les pairs

• Clé prépartagée : Le secret partagé utilisé pour authentifier et crypter la connexion. Il doit s'agir d'une chaîne alphanumérique de 32 à 128 caractères comprenant au moins une lettre majuscule, une lettre minuscule et un chiffre. Cette valeur doit être la même sur les deux sites.
• Certificat : Pour utiliser un certificat, téléchargez le certificat et le certificat de l'autorité de certification.

3. Configuration des points d'extrémité

   Point final local

   • Adresse IP : L'adresse IP externe de la passerelle de périphérie.
   • Réseaux : Entrez les réseaux de l'organisation qui peuvent accéder au VPN. Séparez plusieurs sous-réseaux locaux par des virgules.

   Point de terminaison distant

   • Adresse IP : L'adresse IP externe du site distant, du pare-feu sur site ou de la passerelle de périphérie où le VPN est configuré.
   • Réseaux : Le sous-réseau du réseau sur site qui doit être accessible depuis l'OVDC. Par exemple, si les réseaux sur site utilisent la plage 172.20.0.0/16, entrez 172.20.0.0/16, ou un sous-réseau plus petit tel que 172.20.0.0/25.
   • ID distant :
     • Cette valeur identifie de manière unique le site homologue et dépend du mode d'authentification du tunnel. Si elle n'est pas spécifiée, l'ID distant est par défaut l'adresse IP distante.
     • Clé pré-partagée : L'ID distant dépend de la configuration du NAT. Si NAT est configuré sur l'ID distant, entrez l'adresse IP privée du site distant. Sinon, utilisez l'adresse IP publique de l'appareil distant qui termine le tunnel VPN.
     • Certificat : L'ID distant doit correspondre au SAN (Subject Alternative Name) du certificat du point de terminaison distant, s'il existe. Si le certificat distant n'inclut pas de SAN, l'ID distant doit correspondre au nom distinctif du certificat utilisé pour sécuriser le point de terminaison distant.

4. Une fois la configuration terminée, cliquez sur Keep pour créer l'extrémité Edge du tunnel VPN, puis cliquez sur Save changes.

Créer la deuxième passerelle VPN

Si ce point d'extrémité se trouve dans un autre OVDC, répétez les étapes pour créer le tunnel. Une fois le tunnel créé, mettez à jour les paramètres du pare-feu et validez la connexion. Si vous vous connectez à un centre de données externe, configurez le tunnel dans ces locaux.

IKE Phase 1 et Phase 2

IKE (Internet Key Exchange) est un mécanisme standard permettant d'établir des communications sécurisées et authentifiées. Vous trouverez ci-dessous la liste des paramètres de configuration pris en charge pour la phase 1 et la phase 2.

Paramètres de la phase 1

La phase 1 établit l'authentification des pairs, négocie les paramètres cryptographiques et génère les clés de session. Les paramètres de la phase 1 pris en charge sont les suivants

• Mode principal
• AES/AES256/AES-GCM (configurable par l'utilisateur)
• Groupe Diffie-Hellman
• Secret pré-partagé (configurable par l'utilisateur)
• Durée de vie de la SA de 28800 secondes (huit heures), sans recomposition des clés en kbytes.
• Mode agressif ISAKMP désactivé

Paramètres de la phase 2

La phase 2 de l'IKE négocie le tunnel IPsec en générant des clés, soit en les dérivant des clés de la phase 1, soit en procédant à un nouvel échange de clés. Les paramètres de phase 2 pris en charge sont les suivants :

• AES/AES256/AES-GCM (correspond au réglage de la phase 1)
• Mode tunnel ESP
• Groupe Diffie-Hellman
• Perfect forward secrecy for rekeying (uniquement si activé sur les deux points d'extrémité)
• Durée de vie de l'AS de 3600 secondes (une heure), sans recomposition des clés en kbytes.
• Sélecteurs pour tous les protocoles IP et tous les ports entre les deux réseaux, en utilisant les sous-réseaux IPv4

Configurez le pare-feu de la passerelle Edge Gateways pour le VPN

Une fois le tunnel VPN établi, créez des règles de pare-feu sur la passerelle Edge Gateways pour le trafic passant par le tunnel.

• Créez des règles de pare-feu pour les deux directions du trafic : centre de données vers OVDC et OVDC vers centre de données.
• Pour un centre de données vers OVDC, définissez :
  • Source vers la plage IP source de l'OVDC externe ou du réseau du centre de données
  • Destination vers la plage IP de destination du réseau OVDC
• Pour l'OVDC vers le centre de données, définissez :
  • Source vers la plage IP source du réseau OVDC
  • Destination vers la plage IP de destination du centre de données ou du réseau VDC

Valider le tunnel

Une fois les deux extrémités du tunnel IPsec configurées, la connexion devrait s'établir automatiquement.

Pour vérifier l'état du tunnel dans la console opérationnelle :

1. Sur la page Edges, sélectionnez l'Edge à configurer et cliquez sur Configure Services.
2. Sélectionnez l'onglet Statistiques, puis l'onglet IPsec VPN.
3. Pour chaque tunnel configuré, une coche indique que le tunnel est opérationnel. Si l'état affiché est différent, vérifiez la configuration du tunnel et les règles du pare-feu.
4. Le trafic peut maintenant être envoyé via le VPN.

note

Une fois le tunnel établi, il peut s'écouler jusqu'à deux minutes avant que la connexion VPN n'apparaisse comme active.

Créer des règles de pare-feu distribué OVDC

Au niveau de l'Org OVDC, le pare-feu distribué peut être utilisé pour appliquer une micro-segmentation via la console opérationnelle.

note

L'utilisation des règles de pare-feu distribué nécessite l'activation de l'option de service MPC Distributed Firewall.

Avant de commencer

• IP Set: Utilisé comme source ou destination dans une règle. Créez un jeu d'adresses IP à utiliser dans les règles de pare-feu et la configuration du relais DHCP. Les ensembles d'adresses IP sont généralement utilisés pour regrouper des ressources extérieures à l'organisation VCD, telles qu'Internet ou un réseau étendu d'entreprise. Dans ces cas, des adresses IP ou des sous-réseaux sont utilisés.
• Groupes statiques: Un groupe statique contient un ou plusieurs réseaux. Lorsqu'un groupe statique est utilisé dans une règle de pare-feu distribué, la règle s'applique à toutes les machines virtuelles connectées aux réseaux du groupe.
• Groupes dynamiques: Utilisés pour regrouper des machines virtuelles en fonction de leur nom, de leur balise de sécurité ou des deux. Par défaut, un groupe dynamique contient un critère et une règle. Il peut être étendu jusqu'à trois critères, avec jusqu'à quatre règles chacun.

Créez des règles de pare-feu distribuées

1. Dans le tableau de bord Operational Console Virtual Datacenters, sélectionnez l'OVDC qui contient le pare-feu distribué à configurer.
2. Dans le panneau de navigation de gauche, cliquez sur Networking / Datacenter Groups / Distributed Firewall.
3. Cliquez sur + pour ajouter une nouvelle ligne au tableau des règles de pare-feu.
4. Pour la nouvelle règle **** , spécifiez un nom **** .
5. Dans les champs Source et Destination, indiquez les adresses source et destination de la règle de pare-feu.

• Groupes de pare-feu

• IP Sets: Sélectionnez NEW, puis fournissez un nom, une description et une plage IP ou CIDR.

• Groupes statiques: Sélectionnez NOUVEAU, donnez un nom et cliquez sur Enregistrer.

  Sélectionnez Manage members pour ajouter de nouveaux membres.

  Sélectionnez un réseau à ajouter au groupe statique.

  La vue Associated VMs montre quelles VM sont connectées aux réseaux attachés.

• Groupes dynamiques: Sélectionnez NOUVEAU, donnez un nom et sélectionnez le type de critère à utiliser.

• Adresses IP du pare-feu: Ajoutez une adresse IP, un CIDR ou une plage, puis sélectionnez Conservez.

  1. Sélectionnez Action (Allow, Drop ou Reject).
  2. Sélectionnez Protocole IP (IPv4, IPv6 ou les deux).
  3. Configurez Logging, si nécessaire.
  4. Sélectionnez Enregistrez.

Description du service

Options de service

MPC ST comprend plusieurs options de service qui peuvent être commandées séparément.

Cluster étendu

L'option de service "Stretched Cluster" est disponible dans certains endroits. Un cluster étendu est déployé sur deux centres de données dans le même métro avec une réplication de stockage synchrone, ce qui donne une configuration RPO=0.

La grappe doit avoir un nombre égal d'hôtes dans chaque site. L'un des emplacements du métro est désigné comme emplacement principal et l'autre comme emplacement secondaire.

Un centre de données virtuel organisationnel (OVDC) **** fournit un environnement logique avec des vCPU, des Go de RAM, des ressources de stockage et des capacités réseau sur lesquels les clients peuvent définir des VM. Dans une configuration de cluster étiré, trois types d'OVDC peuvent être sélectionnés :

• Les machines virtuelles s'exécutent sur le site principal lorsqu'elles sont disponibles ; si elles ne le sont pas, elles sont déplacées vers le site secondaire.
• Les VM s'exécutent toujours sur l'emplacement principal ; lorsque l'emplacement principal n'est pas disponible, les VM ne sont pas déplacées vers l'emplacement secondaire.
• Les VM s'exécutent toujours sur l'emplacement secondaire ; lorsque l'emplacement secondaire n'est pas disponible, les VM ne sont pas déplacées vers l'emplacement primaire.

Les clients peuvent définir un ou plusieurs OVDC dans un environnement MPC ST. Le vCPU est disponible en trois variantes :

• Complet - un cœur équivaut à une vCPU
• Élevé - un cœur équivaut à deux vCPU
• Standard - un cœur équivaut à quatre vCPU

Un OVDC peut utiliser au maximum trois profils de stockage disponibles :

• Ultra Performance
• Haute performance
• Performance standard

Les clients peuvent combiner plusieurs OVDC de différentes variantes et tailles pour différents objectifs. Les politiques de sécurité peuvent être configurées sur les réseaux virtuels et les OVDC peuvent être interconnectés. Pour plus d'informations sur les OVDC, voir Centre de données virtuel.

Les options de connectivité et de réseau **** du service MPC ST non étiré s'appliquent également au cluster étiré. La mise en réseau et la connectivité pour accéder aux charges de travail MPC ST doivent être achetées dans le cadre de la connectivité et ne sont pas incluses dans l'option de service Stretched Cluster.

Inclus dans le service :

• Réseau pour la réplication synchrone des données entre le site primaire et le site secondaire ; ce réseau ne peut pas être utilisé pour la mise en réseau des clients.
• Réseau pour la connectivité NSX.
• Un troisième site pour témoigner de la disponibilité du site principal et du site secondaire.

PURCHASE UNIT	BILLING TYPE	UOM	DESCRIPTION
Service option Cluster Stretched Primary	Baseline	Per Cluster	Capability for stretched cluster with synchronous data replication for the primary location
Service option Cluster Stretched Secondary	Baseline	Per Cluster	Capability for stretched cluster with synchronous data replication for the secondary location

Les deux options de service doivent être achetées pour un cluster étendu.

Sauvegarde et restauration

La sauvegarde et la restauration des ressources MPC sont assurées par le service Managed Solutions Backup, qui est commandé séparément. Ce service comprend la sauvegarde des données des machines virtuelles ou des données d'application.

Licences de logiciels

Un catalogue de logiciels ISO pour MPC est disponible dans le portail en libre-service. Ce catalogue répertorie les logiciels qui peuvent être utilisés dans les machines virtuelles fonctionnant dans les OVDC et comprend à la fois des logiciels libres et des logiciels sous licence. Les logiciels sous licence peuvent être achetés via le produit Software Licensing.

Apportez votre propre licence

Au lieu d'acheter des licences par l'intermédiaire du service, les clients peuvent apporter leurs propres licences logicielles. Dans ce cas, les règles de licence du fournisseur du logiciel doivent être validées. Le client est responsable du respect de toutes les exigences de conformité des fournisseurs de logiciels.

Plan de soutien

Le plan d'assistance est un service optionnel qui couvre les demandes de service supplémentaires et d'autres services tels que l'assistance étendue, les rapports supplémentaires et l'assistance à la conception.

Le Managed Solutions Premier Support Plan est un programme prépayé qui permet d'acheter des blocs mensuels ou annuels (paiement unique) d'heures de support à prix réduit. Les heures de support sont consommées par tranches de quinze (15) minutes.

Sans un plan de support prépayé Managed Solutions Premier Support Plan, le support est facturé au tarif horaire standard dans le cadre du Premier Support Service par heure (tarif horaire standard). Les heures de support sont calculées par tranches de quinze (15) minutes.

PURCHASE UNIT	TYPE	CHARGE TYPE	UOM	ORDERING AND BILLING
Technical Support Plan	Monthly	Baseline	hour	Monthly reservation of hours for technical support
Technical Support Plan	Annual	Baseline	hour	Yearly reservation of hours for technical support

Le plan n'est pas désigné à un produit Managed Solutions spécifique mais s'applique à tous les produits Managed Solutions achetés.

Si toutes les heures du plan ont été consommées, toute heure supplémentaire sera facturée au taux horaire standard sous le "Premier Support Service".

Les heures mensuelles ou prépayées du Managed Solutions Premier Support Plan ne sont pas reportées et sont perdues si elles ne sont pas utilisées. L'utilisation au-delà du montant préacheté est facturée au taux horaire normal du "Premier Support Service", à moins qu'une mise à niveau ne soit demandée.

Le plan est spécifique à un pays et ne peut pas être lié à un centre de données IBX spécifique.

Aide à la migration

Pour migrer les charges de travail des environnements sur site vers MPC, un outil de migration est fourni pour prendre en charge la migration des charges de travail en libre-service sans remaniement de l'application. Cet outil prend en charge les charges de travail VMware à partir de vSphere ou de Cloud Director. Pour permettre la migration, le client reçoit une appliance qui peut être installée dans l'environnement VMware du client et associée à l'environnement MPC du client. L'outil prend en charge la réplication asynchrone.

Par défaut, l'outil de migration prend en charge la migration via l'internet. Sur demande, une connexion privée peut être créée sur Equinix Fabric ; les coûts de la connexion Fabric sont facturés par l'intermédiaire de Fabric. Pour la migration sur la Fabric, les circuits virtuels existants ne peuvent pas être utilisés car ils doivent être dédiés à la migration. La migration sur Internet prend en charge des vitesses allant jusqu'à 250 Mbps, tandis que les connexions Fabric prennent en charge des vitesses allant jusqu'à 10 Gbps. L'utilisation de l'outil de migration est gratuite ; une assistance supplémentaire peut être demandée dans le cadre du plan d'assistance. Une fois la migration terminée, l'outil est désactivé.

Connection	Speed	Network Configuration
Internet	Up to 250 Mbps	No
Fabric	Up to 10 Gbps	Yes, setup VLANs

Une fois la migration terminée, l'outil de migration est désactivé.

Démarcation des services et services habilitants

MPC ST est un service Managed Solutions avec des choix de conception prédéfinis. Par conséquent, toutes les options techniques VMware ne sont pas disponibles dans le service MPC ST. Les sujets suivants sont couramment demandés mais ne sont pas pris en charge.

Accès

• Accès aux fonctions vSphere ou vCenter autrement que par la console opérationnelle MPC et l'API de la console opérationnelle.

Calcul

• Créez plusieurs instantanés

Disques virtuels

• Déplacez des disques virtuels entre des machines virtuelles via la console opérationnelle MPC ou l'API. Pour déplacer des disques virtuels entre des machines virtuelles, vous devez créer un ticket d'assistance auprès du service d'assistance d'Equinix.
• Partagez un disque virtuel entre plusieurs machines virtuelles
• Utilisation de Microsoft Windows Server Failover Clustering (WSFC) avec des disques partagés

Réseau

• Utilisation de la virtualisation d'E/S à racine unique (SR-IOV) et de l'accès physique au NIC à partir de la VM
• Utilisation du mode promiscuous sur le vNIC
• Utilisation de trunking dans l'OVDC pour les réseaux connectés à des routeurs appartenant au client
• Connectez-vous au MPC par le biais de solutions redondantes de niveau 2 telles que Metro-Connect.

Unités d'achat

Le service MPC est facturé sur la base de valeurs de référence ou de valeurs de référence avec des types de frais supplémentaires.

• Baseline - le volume spécifié de l'unité de mesure pour le service, tel que défini dans la commande.
• Overage - la quantité de service consommée par le client qui dépasse le volume de base contractuel.

Catalogue des unités d'achat

Category	Purchase Unit	UOM	Install Fee	Billing Method	Overage
MPC Service	Connectivity – Routed	Each		Baseline
	Connectivity – Customer Routed	Each		Baseline
	Connectivity – Managed Firewall	Each		Baseline
	Connectivity – Routed Joined	Each		Baseline
MPC Compute	Host	Host	Yes	Baseline
MPC Service Option	Network – Managed Virtual Circuit xx Mbps	Each	Yes	Baseline
	Network – Managed Internet Access xx Mbps	Each		Baseline
	Network – Additional IP space (/24 /25 /26 /27 /28 /29)	Each		Baseline
	Network – External Network	Each	No	Baseline
	Network – Distributed Firewall (per Core)	Core		Baseline
	Disaster Recovery (Gold, Silver, Bronze)	VM	No	Baseline	Yes

Rôles et responsabilités

Lors de l'exécution et de la livraison des services, les responsabilités sont partagées entre Equinix et le client. La section suivante donne un aperçu de ces responsabilités.

Provisionnement des locataires

Activities	Equinix	Customer
Schedule / execute project kickoff meeting	RA	CI
Schedule / execute customer onboarding	RA	CI
Delivery of the hosts in a cluster in accordance with the order	RAC	I1
Delivery of the OVDCs in accordance with design	RAC	I1
Delivery of the agreed storage capacity in accordance with design	RAC	I1
Delivery of the connectivity type in accordance with the order	RAC	I1
Delivery of the Managed Virtual Circuits in accordance with the order	RAC	C
Initiation of Unmanaged Virtual Circuits in Fabric portal	I	RAC
Configuration of customer‑initiated Virtual Circuits	RAC	C
Delivery of the Managed Internet Access in accordance with the order	RAC	C
Delivering the agreed network functionality in accordance with design (optional)	RAC	C
Delivery of the MPC Operational Console	RAC	I1
Delivery of the Admin account for the Operational Console	RAC	I1

Acceptation en service

Une fois les activités d'intégration terminées, les activités de test confirment que le produit a été livré avec succès et qu'il est prêt à être facturé.

Activities	Equinix	Customer
Test access to MPC Product page on Managed Solutions Portal	CI	RA
Test access to MPC operational console	CI	RA
Confirm MPC fulfillment based on preview evidence	CI	RA
Set product as enabled for customer on internal systems	RA	I

Opérationnel

Une fois que le service Managed Private Cloud est activé pour les clients, les éléments opérationnels suivants s'appliquent :

Activities	Equinix	Customer
Technical management of the service (overall)	RAC	I¹
Functional management of the customer environment within the service (overall)	I²	RAC
MPC infrastructure monitoring and maintenance	RA	I
Create, import, and manage VMs and vApps	I²	RAC
Scale VMs up and down	I²	RACI
Manage VM snapshots		RACI
Manage access to VMs with console		RACI
Create and manage library with customer-owned ISO/OVA files		RACI
Separate or group VMs for availability or performance	I²	RAC
NFV: Standard firewalling	I²	RAC
NFV: Routing (static)	I²	RAC
NFV: Routing	RAC	I
NFV: NAT	I²	RAC
NFV: DHCP	I²	RAC
NFV: VPN (IPsec)	I²	RAC
Setup and manage scripting and automation capabilities		RACI

RACI est l'abréviation de Responsible, Accountable, Consulted, and Informed (responsable, responsable, consulté et informé).

1. L'information n'est obligatoire que pour les tâches qui ont un impact sur le fonctionnement de l'environnement de l'utilisateur.
2. L'information n'est requise que pour les tâches qui ont un impact sur le fonctionnement et/ou la gestion du service.

Gestion des incidents

La gestion des incidents est incluse dans le service d'assistance. Tous les incidents sont traités en fonction de leur priorité. La priorité est déterminée après que l'incident a été signalé et évalué par Equinix sur la base des informations fournies.

Priority	Impact / Urgency	Description
P1 High	Unforeseen unavailability of a service / environment delivered and managed by Equinix, in accordance with the service description due to a disruption. The user cannot fulfill its obligations towards its users. The user suffers direct demonstrable damage due to the unavailability of this functionality.	The service must be restored immediately; the production environment(s) is/are unavailable, with platform‑wide disruptions.
P2 Medium	The service does not offer full functionality or has partial functionality or reduced performance, because of which the users are impacted. The user suffers direct demonstrable damage due to unavailability of the functionality. The service may be impacted due to limited availability of this functionality.	The service must be repaired the same working day; the environment is not available.
P3 Low	The service functions with limited availability for one or more users and there is a workaround in place.	The moment of repair of the service is determined in consultation with the reporting person.

Note: Cette classification ne s'applique pas aux perturbations qui sont, par exemple, causées par des applications spécifiques à l'utilisateur, des actions de l'utilisateur, ou qui dépendent de tiers. Les incidents peuvent être soumis via le portail client sous Managed Solutions. Les incidents P1 doivent être soumis par téléphone.

Demandes de service

Les demandes de service sont utilisées pour signaler des problèmes de service ou pour demander de l'aide pour la mise en œuvre ou les changements de configuration. Les changements de configuration standard peuvent être demandés via le portail libre-service MPC en tant que demande de service. Le support est disponible 24×7×365. Deux types de demandes de service sont disponibles :

• Inclus - Demandes de service qui entrent dans le cadre du service et n'entraînent pas de frais supplémentaires.
• Additional - Demandes de service qui sortent du cadre du service et entraînent des frais supplémentaires.

Request Name	Included / Additional
Create a DC Group over multiple OVDCs	Additional
Change external access OVDC API	Additional
Add a user for the Operational Console	Included
Remove a user from the Operational Console	Included
Change permissions for a user	Included

Les changements qui ne figurent pas dans la liste ci-dessus peuvent être demandés en sélectionnant Change dans le module de demande de service. Equinix effectuera une analyse d'impact pour déterminer la faisabilité, le coût et le délai d'exécution. Les frais liés aux demandes de service sont déduits du solde du Premier Support Plan. Si le solde est insuffisant, les frais sont facturés au tarif en vigueur. Les demandes ayant un impact sur la capacité de base, les quantités commandées ou tout changement ayant une incidence sur les frais de service mensuels doivent être demandées par l'intermédiaire de l'équipe commerciale d'Equinix.

Rapports

Dans le cadre du service, le client recevra un rapport mensuel sur les services couvrant les sujets suivants :

• Tickets soulevés mesurés par rapport aux paramètres SLA
• Capacité par OVDC

Niveaux de service

L'accord de niveau de service (SLA) définit les niveaux de performance mesurables applicables au service MPC et précise les recours dont dispose le client si Equinix ne respecte pas ces niveaux. Les crédits de service énumérés ci-dessous constituent le seul et unique recours en cas de non-respect des seuils de niveau de service définis dans la présente section.

Priority	Response Time¹	Resolution Time²	Execution of Work	SLA³
P1	< 30 min	< 4 hours	24x7	95 %
P2	< 60 min	< 24 hours	24x7	95 %
P3	< 120 min	< 5 days	24x7	95 %

1. Le temps de réponse correspond à la période entre l'envoi des fiches de problème et l'envoi d'une réponse formelle par un spécialiste d'Equinix Managed Services.
2. Le temps de résolution d'un cas est compris entre l'enregistrement et la résolution ou l'annulation du ticket d'incident dans l'outil ITSM ou le transfert à IBX Support.
3. L'accord de niveau de service s'applique au temps de réponse. Les détails de l'accord de niveau de service se trouvent dans la politique du produit.

Le niveau de disponibilité **** du service MPC se réfère à la disponibilité d'un seul OVDC. Le service MPC est considéré comme indisponible lorsqu'une défaillance de l'infrastructure gérée par Equinix fait entrer l'OVDC dans un état d'erreur et entraîne directement une interruption des services du client.

Availability Service Level	Description
99.95%+	Achieved when total OVDC unavailability is less than 22 minutes over a calendar month.

Un régime de crédit de service s'applique à l'ANS de disponibilité tel que défini dans la politique produit. La disponibilité du service MPC n'inclut pas la restauration des données. Les clients sont responsables de la restauration de leurs données. Lorsque Managed Private Backup est sous contrat, les données peuvent être restaurées en libre-service à l'aide de la console opérationnelle de Managed Private Backup. Si Managed Private Backup n'est pas sous contrat, la restauration des données est de la responsabilité du client.