Skip to main content

Mise en réseau

L'environnement de cloud hybride Equinix permet de créer des réseaux virtuels et des capacités pour permettre la communication entre les VM et les services nécessaires dans le cloud, notamment les composants suivants.

Types de réseaux

  • Réseau isolé - Les réseaux internes sont disponibles dans le CDV source (Dedicated, Flex ou On-Demand), sans routage externe vers d'autres services ou CDV.
  • Réseau routé - Des réseaux routables sont disponibles dans le CDV (Dedicated, Flex ou On-Demand) avec un routage par défaut entre les CDV et la communication Cloud externe si elle est préconfigurée par des règles de pare-feu et des stratégies de routage BGP sur les périphériques de l'utilisateur.

Passerelles Edge

Les routeurs internes utilisés pour la communication des réseaux sont acheminés entre les CDV ou les réseaux Cloud externes. Cette capacité est préconfigurée par Equinix et connectée à un VRF-TierO (Virtual Routing and Forwarding) dédié à l'utilisateur en haute disponibilité, avec routage BGP pour la communication avec le Cloud externe. Sa configuration est effectuée sur la base d'une étude technique de Firewall ou Managed Solutions L3, lorsqu'elle est contractée avec l'offre Equinix Hybrid Cloud.

En plus des produits Network Hardware L3 disponibles dans le portefeuille standard d'Equinix, vous pouvez opter pour la connexion des Edge Gateways et des VRF-TierO via un environnement existant, si votre équipement répond aux conditions préalables de prise en charge du protocole BGP et de connexion.

Pare-feu, NAT et réseaux externes

La passerelle Edge (Tier-1) fournit par défaut les fonctions de pare-feu de passerelle (couche 7 nord-sud) et de NAT (Network Address Translated), fonctionnant à la périphérie du CDV. Cela permet ou refuse la communication entre vos centres de données virtuels et la communication externe du nuage.

Les réseaux peuvent être classés comme ports entrants ou sortants pour les réseaux routés internes. Ils sont préconfigurés par Equinix sur la base de l'étude technique du produit de connectivité sous contrat, et utilisés lorsque le service Nat est activé. Cela permet de masquer l'accès à un réseau routé interne à l'entrée ou à la sortie de la connexion.

note

Malgré la fonction de pare-feu L4 native de la solution de cloud hybride dans la couche Tier-1, elle ne remplace pas la nécessité d'un pare-feu de périphérie avec prise en charge du routage BGP, avec une communication disponible avec VRF-TierO et une prise en charge des fonctions de sécurité de la couche-7, si elles sont contractées.

Création et modification des règles de pare-feu

Sur la page principale du portail du cloud hybride, accédez à Networking → Edge Gateways, puis cliquez sur la passerelle Edge Gateway associée au CDV souhaité. Confirmez le type de service externe connecté à la périphérie du Cloud hybride (Managed Solutions ou Pare-feu géré).

Sur l'écran suivant, sélectionnez Services → Firewall et vérifiez la règle par défaut. Ajoutez ou gérez de nouvelles règles à l'aide du bouton EDIT RULES.

Dans le menu Security, vous pouvez créer des groupes de sécurité, des IP et des services pour simplifier la gestion des règles.

Microsegmentation - VDC-Group (Fin de la vente)

note

Cette fonctionnalité est arrivée en fin de vente sur 29 mai 2024. Elle n'est disponible que pour les clients actifs avant cette date. Les clients qui ont contracté Hybrid Cloud après cette date ne peuvent pas utiliser cette fonctionnalité.

Le groupe de centres de données virtuels (VDC-Group) permet de regrouper des centres de données virtuels et d'activer la fonctionnalité de pare-feu distribué pour la microsegmentation. Cela permet de segmenter les machines virtuelles sur la base de noms et d'attributs et de prendre en charge le partage de réseaux entre les clusters Dedicated, Flex et On-Demand.

Le pare-feu distribué est intégré au noyau de l'hyperviseur et offre une visibilité et un contrôle des charges de travail et des réseaux virtualisés. Vous pouvez créer des règles de contrôle d'accès basées sur des objets tels que les noms des machines virtuelles et les réseaux (adresses IP ou ensembles d'adresses IP). Les règles de pare-feu sont appliquées au niveau du vNIC de chaque VM, ce qui garantit un contrôle d'accès cohérent, même pendant les migrations vMotion. Ceci supporte un modèle de sécurité de microsegmentation où le trafic Est-Ouest peut être inspecté jusqu'à la couche 7.

important

L'activation du VDC-Group peut être demandée lors de la création d'un nouvel environnement. Pour les environnements existants, ouvrez un ticket d'assistance afin qu'Equinix puisse effectuer une évaluation des besoins et une analyse d'impact avant d'activer la fonction.

Créer et éditer des réseaux avec VDC-Group

Après avoir activé la fonction de microsegmentation, un nouvel onglet intitulé Data Center Group apparaît, montrant le regroupement des VDC. Pour créer un nouveau réseau, sélectionnez l'option Data Center Group, où les réseaux seront automatiquement partagés entre les CDV.

Pare-feu distribué - Création et modification de règles

Pour créer des stratégies de sécurité dans le pare-feu distribué, allez sur Networking → Data Center Groups dans le portail Hybrid Cloud.

Ouvrez le VDC-Group de votre locataire, puis sélectionnez Distributed Firewall → Edit Rules.

Création et modification des règles NAT

Le service NAT est facultatif et doit être envisagé en fonction de la topologie de votre environnement. Cas d'utilisation courants :

  • Cas d'utilisation 1 : NAT se produit sur le pare-feu de périphérie externe au Cloud hybride, connecté au VRF-Tier0. Dans ce cas, les fonctions NAT et Réseau externe dans EdgeGateway-Tier1 ne sont pas nécessaires.
  • Cas d'utilisation 2 : NAT se produit sur la passerelle EdgeGateway-Tier1 du CDV à l'aide d'une gamme d'IP publiques réservées au client.
  • Cas d'utilisation 3 : Chained NAT : un pare-feu externe effectue un NAT vers VRF-Tier0, puis EdgeGateway-Tier1 effectue un second NAT vers un réseau routé interne.

Pour les cas d'utilisation 2 et 3, ajoutez de nouvelles règles NAT (DNAT et SNAT) via Services → NAT, puis cliquez sur NEW.

Passerelles de périphérie - Topologie de haut niveau

Vient ensuite une topologie de haut niveau qui permet de clarifier les connexions internes et externes au nuage hybride.

  • Tier-0 Gateway - Ces routeurs VRF-Edge sont responsables de la liaison BGP avec l'environnement externe au cloud hybride, et du routage interne entre les CDV. Il est configuré par Equinix sur la base de l'étude technique des services et des solutions de connectivité sous contrat.
  • Passerelle de niveau 1 - Classée comme Edge Gateway dans le portail de cloud hybride, elle est responsable de la connexion et du routage des réseaux, du DHCP, du pare-feu de la passerelle et des services VDC Nat. Initialement configurée par l'équipe d'activation d'Equinix, elle est basée sur l'étude technique des services contractés et des solutions de connectivité.
  • Segment - Ce segment est classé comme réseau dans le portail du cloud hybride, avec les options Internal Network ou Routed Network. Sa création et sa configuration peuvent être effectuées par l'utilisateur, puis effacées par les politiques de routage et les règles de pare-feu disponibles à la périphérie du Cloud.

Créer et modifier des réseaux virtuels

Certains réseaux virtuels sont créés par défaut par l'équipe d'activation d'Equinix, sur la base de l'étude technique du produit de connectivité ou du service professionnel souscrit avec la solution. Toutefois, de nouveaux réseaux peuvent être créés et acheminés à tout moment pour répondre à de nouvelles demandes.

Sur la page d'accueil du portail Equinix Hybrid Cloud, accédez à Networking | Networks, puis cliquez sur New.

New Organization VDC Network
ScopeSelect the desired VDC and click Next.In this case we can choose to create networks in the Dedicated, Flex or On-Demand Virtual Datacenter.
Network TypeSelect the type of network you want, opting for a routed or isolated connectionEach VDC can contain up to two routers in the routed connection model, one dedicated for connecting to external networks and the Internet and the other specifically for connecting to the Equinix services network, delivering products such as “Backup”, “Intelligent Data” and others.
GeneralEnter a name, CIDR Gateway and Description.For example: LAN01, 192.168.110.1/24
Static IP PoolsEnter a pool of IPs available for automatic allocation when creating new VMsFor example: 192.168.10.100-192.168.110.100
DNSEnter the primary, secondary and Suffix DNS addressesFor example: 8.8.8.8, 8.8.4.4, domain.local
Ready to completeReview options and confirm the creation of the new virtual network.

:::note Par défaut, les réseaux sont routés en interne entre les CDV. Cependant, les politiques de routage BGP et les règles de pare-feu doivent être revues pour permettre l'accès externe et l'accès à Internet. Cette configuration supplémentaire peut être demandée à notre équipe de support lorsque le pare-feu Edge de l'utilisateur est géré, ou peut être configurée par l'utilisateur lui-même lorsque le pare-feu n'est pas géré. En option, les clients qui ne sont pas gérés peuvent également engager des heures techniques pour clarifier et créer des politiques de routage et de pare-feu. :::

Créer et modifier des règles de pare-feu

  1. Sur la page d'accueil du Equinix Hybrid Cloud Portal, cliquez sur Networking | Edge Gateways.

  2. Sélectionnez la passerelle Edge Gateways liée au CDV souhaité, également en fonction du type de service externe associé à la périphérie du cloud hybride (Managed Solutions ou Managed Firewall).

  3. Sur l'écran suivant, cliquez sur le menu Services -> Firewall, et cochez la règle d'environnement par défaut. Cliquez sur EDIT RULES pour ajouter et gérer de nouvelles règles.

  4. Dans le menu Security, créez des groupes de sécurité, des IP et des services pour faciliter la gestion des règles.

    Security GroupsCreate security groups and add the networks used by the VMs in the VDC. For example: SC-LAN-ONDEMAND (Will encompass all VMs connected to that network).
    IP SetsCreate IP groups to identify networks external to the VDC.
    Application Port ProfilesCreate services to identify the applications and ports used.

Créer et modifier des règles NAT

Le service NAT est facultatif et son utilisation doit être envisagée en fonction de la topologie de l'environnement. Voici quelques cas d'utilisation :

  • Cas d'utilisation 1 - Les adresses peuvent être traduites directement dans le pare-feu périphérique externe au nuage hybride, qui est connecté au VRF-Tier0. Il fournit une communication traduite aux réseaux routés internes. Dans ce scénario, les fonctions NAT et réseau externe de la passerelle EdgeGateway-TierI du CDV ne sont pas nécessaires.
  • Cas d'utilisation 2 - Le réseau du CDV externe peut contenir une série d'adresses IP publiques réservées à l'utilisateur. Dans ce cas, le NAT peut se produire directement dans la passerelle EdgeGateway-Tierl du CDV, masquant un réseau routé interne.
  • Cas d'utilisation 3 - Ce cas d'utilisation se produit lorsqu'un NAT est relié à un autre NAT. Il s'agit d'un réseau public connecté à un pare-feu externe au nuage hybride et au VRF-Tier0. Il effectue un NAT pour un autre réseau externe avec des IP privées dans la passerelle EdgeGateway-Tierl du CDV, qui effectue un second NAT vers un réseau routé interne.

Dans les cas d'utilisation 2 et 3 énumérés ci-dessus, vous pouvez ajouter de nouvelles règles NAT (DNAT et SNAT) via Services -> NAT, en sélectionnant NEW.

Cette page vous a-t-elle été utile ?