NOPE LinkedIn

Catégories:
vmware

Bonnes Pratiques VMWare NSX (Partie 1/3)

Bonnes Pratiques VMWare NSX (Partie 1/3) image

Rubrique: vmware Tag: réseau Tag: passerelles Tag: balises Tag: balise Tag: 1 gateways Tag: segmentation Tag: network segmentation Tag: nsx Tag: hierarchical tagging Tag: tier Tag: zero trust security

note
 Cet article est la partie 1 de notre série “Bonnes Pratiques NSX”. Pour une navigation aisée au sein de cet article, une table des matières est disponible sur le côté droit.

Bonnes Pratiques pour la Segmentation Hiérarchique avec les Passerelles Tier-1 et les Balises NSX

1. Introduction

1.1. Vue d’ensemble et Objectif

Ce rapport détaille les stratégies et les meilleures pratiques pour concevoir et mettre en œuvre une architecture de segmentation réseau hiérarchique au sein de VMware NSX. L’objectif spécifique est d’utiliser les passerelles de Niveau 1 (Tier-1 ou T1) pour délimiter les zones de macro-segmentation (par exemple, Zone 1, Zone 2) et d’employer les balises (Tags) NSX pour affiner cette segmentation en sous-zones et sous-sous-zones (par exemple, Zone 1-1, Zone 1-1-1), conformément à la structure hiérarchique souhaitée par l’utilisateur.

1.2. Contexte de la Segmentation Réseau

Dans les centres de données modernes, la segmentation réseau est une pierre angulaire de la sécurité. Elle permet de réduire la surface d’attaque, de contenir les menaces potentielles et de mettre en œuvre des modèles de sécurité Zero Trust.1 VMware NSX est une plateforme de virtualisation de réseau et de sécurité qui fournit les outils nécessaires pour réaliser une segmentation granulaire, la micro-segmentation étant l’une des raisons principales de son adoption par les entreprises.1

1.3. Viabilité de l’Approche T1 + Balises Hiérarchiques

L’approche consistant à combiner les passerelles T1 pour la segmentation de haut niveau (Zones) et les balises NSX pour une segmentation hiérarchique plus fine (Sous-Zones) est techniquement réalisable dans NSX. Cependant, son succès repose sur une conception méticuleuse, notamment en ce qui concerne les conventions de nommage des balises, la structuration des groupes NSX, la mise en œuvre des politiques de pare-feu distribué (DFW), ainsi qu’une compréhension claire des implications en termes de scalabilité et de gestion opérationnelle.

1.4. Objectif du Rapport

Ce document vise à fournir une analyse approfondie des capacités, des limites, des meilleures pratiques et des défis potentiels associés à ce modèle de conception spécifique T1 + Balises hiérarchiques. Il abordera les huit points d’investigation clés soulevés dans la requête initiale, en s’appuyant sur la documentation officielle et les retours d’expérience pertinents.

2. Comprendre les Balises NSX pour un Contrôle Granulaire (Point 1)

2.1. Fonctionnalité Fondamentale

Les balises NSX sont des métadonnées, des étiquettes que l’on peut appliquer à divers objets de l’inventaire NSX, tels que les machines virtuelles (VM), les segments, les passerelles (T0/T1), les groupes, etc..3 Leur fonction principale est de faciliter l’organisation, la recherche rapide d’objets, le dépannage et, surtout, la création de politiques de sécurité dynamiques et contextuelles.1 Elles sont un élément fondamental de la micro-segmentation basée sur le contexte.1

2.2. Attributs des Balises

Chaque balise NSX est définie par deux attributs principaux :

  • Balise (Nom) : C’est l’identifiant principal de la balise. Cet attribut est obligatoire, sensible à la casse et doit être unique dans l’environnement NSX.3 Sa longueur maximale est de 256 caractères.4
  • Portée (Scope) : C’est un attribut optionnel qui fournit un contexte ou une catégorie pour la balise. Il agit comme une clé, tandis que le nom de la balise agit comme une valeur.3 Des exemples courants de portée incluent OS, Environnement, Application, Zone, Tenant, Criticité. Sa longueur maximale est de 128 caractères.4

2.3. Création et Gestion

Les balises peuvent être créées et gérées via l’interface utilisateur (UI) de NSX Manager ou par API.3 Elles sont généralement assignées lors de la création ou de la modification d’un objet.4 Un point crucial à noter est l’immuabilité des balises une fois créées : ni le nom (Tag) ni la portée (Scope) ne peuvent être modifiés après l’enregistrement initial.3 Il est seulement possible d’assigner ou de désassigner une balise existante à un objet. Cette caractéristique impose une planification rigoureuse de la stratégie de balisage dès le départ. Toute erreur ou changement de conception nécessitera de désassigner la balise incorrecte de tous les objets concernés, de la supprimer, de créer une nouvelle balise correcte, de la réassigner aux objets et potentiellement de mettre à jour les critères d’appartenance des groupes NSX qui référençaient l’ancienne balise. Ce processus peut s’avérer lourd et source d’erreurs, en particulier dans les environnements de grande taille.

2.4. Contraintes sur les Caractères

La documentation NSX fournie n’explicite pas l’ensemble des caractères autorisés pour les noms et les portées des balises.6 Cependant, les meilleures pratiques générales en matière de nommage suggèrent d’utiliser des caractères alphanumériques, des tirets (-) et des traits de soulignement (_). Il est conseillé d’éviter les espaces et les caractères spéciaux qui pourraient poser des problèmes lors de l’utilisation des API ou de l’intégration avec des systèmes externes. Il est important de noter que d’autres systèmes de balisage, même au sein de l’écosystème VMware (comme les balises vSphere 8) ou des produits tiers 9, ont leurs propres contraintes de caractères et de longueur qui sont distinctes de celles des balises NSX.

2.5. Limites de Configuration

Les limites connues pour les balises NSX sont les suivantes :

  • Longueur du Nom (Tag) : 256 caractères.4
  • Longueur de la Portée (Scope) : 128 caractères.4
  • Nombre Maximum de Balises par Objet / Nombre Total de Balises: Les limites officielles précises concernant le nombre maximal de balises qu’un objet peut avoir ou le nombre total de balises supportées dans un environnement NSX ne sont pas explicitement mentionnées dans les extraits fournis. La documentation renvoie systématiquement à l’outil VMware Configuration Maximums pour obtenir ces valeurs.3 Il est impératif de consulter cet outil (ou la documentation officielle de la version NSX déployée) pour connaître les limites applicables, car elles peuvent varier en fonction de la version de NSX. Se fier aux limites d’autres systèmes (comme vSphere 13) ou à des informations non officielles est déconseillé et peut entraîner des problèmes de conception ou de déploiement.

Le tableau suivant résume les contraintes clés des balises NSX :

Tableau 1 : Résumé des Contraintes des Balises NSX

Attribut Longueur Max. Sensible à la Casse Obligatoire Modifiable Post-Création Max par Objet Max Total
Nom (Tag) 256 caractères Oui Oui Non Voir ConfigMax 3 Voir ConfigMax 3
Portée (Scope) 128 caractères Non (implicite) Non Non N/A N/A

3. Les Passerelles NSX Tier-1 comme Frontières de Zone (Point 2)

3.1. Rôle dans l’Architecture NSX

NSX propose un modèle de routage à deux niveaux (Tier-0 et Tier-1), bien que ce modèle soit optionnel.14

  • Passerelle Tier-0 (T0) : Généralement contrôlée par l’administrateur de l’infrastructure (Provider), elle assure la connectivité Nord-Sud (N-S) entre l’environnement virtualisé NSX et le réseau physique externe.14 Elle héberge souvent des services centralisés et gère le routage dynamique avec les routeurs physiques.14
  • Passerelle Tier-1 (T1) : Contrôlée par l’administrateur locataire (Tenant) ou applicatif, elle connecte les segments logiques (où résident les charges de travail) vers le Sud, et se connecte à une passerelle T0 vers le Nord via un lien logique appelé RouterLink.14 Elle représente un domaine de routage isolé, idéal pour matérialiser les “Zones” (par exemple, Zone 1, Zone 2) définies par l’utilisateur.14

3.2. Fonction de Segmentation

Les passerelles T1 fournissent une séparation logique de routage.14 Chaque T1 crée une frontière pour le trafic et l’application des politiques de sécurité, isolant ainsi les charges de travail connectées à ses segments des autres zones ou locataires.14

3.3. Application des Politiques et Services

Les passerelles T1 peuvent héberger des services stateful spécifiques à leur zone/locataire, tels que :

  • Pare-feu de Passerelle (Gateway Firewall - GFW) : Appliqué sur les interfaces de liaison (uplinks) de la T1, il contrôle le trafic N-S entrant ou sortant de la zone T1.15 Cela permet une politique de sécurité périmétrique au niveau de la zone.
  • Services Réseau: NAT (Network Address Translation), serveur ou relais DHCP, VPN.14

3.4. Connectivité

Une T1 est typiquement connectée à une T0 via un RouterLink, qui est automatiquement configuré avec un sous-réseau dédié (par défaut dans l’espace RFC6598 100.64.0.0/10).14 La T0 apprend les routes des segments connectés aux T1 (via des routes statiques configurées automatiquement par le plan de gestion ou via redistribution BGP/OSPF si configuré) et les annonce au réseau physique.14 Le routage inter-T1 (inter-zone) passe généralement par la T0.14

3.5. Composants Distribués et Centralisés

Les passerelles T0 et T1 possèdent deux types de composants :

  • Routeur Distribué (DR - Distributed Router) : S’exécute sur chaque hyperviseur (nœud de transport) où des VM connectées à la passerelle résident. Il optimise le routage Est-Ouest (E-O) au sein du domaine de la passerelle (T0 ou T1) en routant le trafic localement sur l’hyperviseur.14
  • Routeur de Service (SR - Service Router) : S’exécute sur les nœuds NSX Edge. Il gère les services centralisés (NAT, GFW, DHCP, VPN, liaisons montantes T0 vers le physique).14

L’utilisation des T1 pour les zones offre donc une double fonction de segmentation : une limite N-S logique et de politique via le GFW sur le SR, et une optimisation du routage E-O au sein de la zone via le DR.14 Le trafic entre des VM situées sur des segments différents mais connectés à la même passerelle T1 est traité efficacement par le DR local sur l’hyperviseur, sans nécessiter de passer par un nœud Edge, sauf si un service centralisé (comme le GFW T1) est traversé.14

4. Conception de l’Architecture Hiérarchique T1 + Balises (Points 3 & 4)

4.1. Correspondance avec la Structure Utilisateur

Pour réaliser la structure hiérarchique souhaitée (Zone > SousZone1 > SousZone2), la cartographie suivante est recommandée :

  • Zone 1, Zone 2 : Implémenter chaque zone comme une Passerelle Tier-1 distincte.14 Cela établit la frontière principale de routage et de politique N-S.
  • Zone 1-1, Zone 1-2, Zone 2-1 (Niveau SousZone1) : Implémenter en utilisant des Balises NSX avec une portée claire, par exemple : Portée=SubZone1, Balise=Zone1-1.
  • Zone 1-1-1, Zone 1-2-1, Zone 1-2-2 (Niveau SousZone2) : Implémenter également avec des Balises NSX, par exemple : Portée=SubZone2, Balise=Zone1-1-1.

Les charges de travail (VM) appartenant, par exemple, à Zone 1-1-1 résideraient sur un segment NSX connecté à la passerelle T1 Zone 1. Ces VM seraient ensuite marquées avec les balises Portée=SubZone1, Balise=Zone1-1 ET Portée=SubZone2, Balise=Zone1-1-1. Les politiques de sécurité utiliseront ces balises (via les Groupes NSX) pour contrôler le trafic.1

4.2. Conventions de Nommage des Balises pour la Hiérarchie

Deux stratégies principales peuvent être envisagées pour simuler la hiérarchie via les balises :

  • Stratégie 1 : Portée + Balise (Recommandée)
    • Utiliser des Portées distinctes pour chaque niveau de la hiérarchie.
    • Exemples :
      • Portée=Zone, Balise=Zone1
      • Portée=SubZone1, Balise=Zone1-1
      • Portée=SubZone2, Balise=Zone1-1-1
    • Avantages : Séparation logique claire des niveaux, utilisation conforme de l’attribut Portée 3, alignement avec les exemples de la documentation.27 Facilite le filtrage et la création de groupes basés sur un niveau spécifique.
    • Inconvénients : Nécessite de gérer et de documenter plusieurs portées.
  • Stratégie 2 : Délimiteur dans le Nom de la Balise
    • Utiliser un délimiteur cohérent (par exemple, tiret -, deux-points :, point .) directement dans le champ Nom (Tag).
    • Exemples (avec -) :
      • Portée=Hierarchy, Balise=Zone1
      • Portée=Hierarchy, Balise=Zone1-Zone1-1
      • Portée=Hierarchy, Balise=Zone1-Zone1-1-Zone1-1-1
    • Avantages : Une seule portée peut sembler plus simple initialement. La hiérarchie complète est visible dans un seul champ. Des exemples de conventions similaires (notation pointée) existent dans les discussions communautaires.28
    • Inconvénients : Repose uniquement sur une convention de nommage dans un champ unique. Risque de dépasser la limite de 256 caractères 4 avec des hiérarchies profondes ou des noms longs. Plus difficile d’interroger ou de grouper dynamiquement des objets appartenant à un niveau spécifique de la hiérarchie en utilisant les filtres de portée standard. Aucune recommandation officielle de VMware pour cette approche n’a été trouvée dans les documents analysés.

Meilleure Pratique : La Stratégie 1 (Portée + Balise) est préférable pour sa clarté, son alignement avec la conception de l’attribut Portée et sa facilité de gestion via les groupes dynamiques. Si la Stratégie 2 est choisie, il est impératif de maintenir des noms concis, d’établir une norme stricte et documentée, et d’être conscient des limitations de longueur et de filtrage. La cohérence dans la convention choisie est essentielle.29

Le tableau suivant illustre ces deux stratégies :

Tableau 2 : Exemples de Conventions de Nommage Hiérarchique des Balises

Niveau Hiérarchique Nom Utilisateur Exemple Stratégie 1 : Portée Stratégie 1 : Nom Balise Stratégie 2 : Portée Stratégie 2 : Nom Balise (avec ‘-’) Avantages/Inconvénients Clés
Zone Zone 1 Zone Zone1 Hierarchy Zone1 Stratégie 1: Clair, utilise la Portée. Stratégie 2: Simple portée, hiérarchie visible.
SousZone1 Zone 1-1 SubZone1 Zone1-1 Hierarchy Zone1-Zone1-1 Stratégie 1: Facile à filtrer par niveau. Stratégie 2: Risque de longueur, filtrage par niveau moins direct.
SousZone2 Zone 1-1-1 SubZone2 Zone1-1-1 Hierarchy Zone1-Zone1-1-Zone1-1-1 Stratégie 1: Robuste pour groupes dynamiques. Stratégie 2: Peut devenir complexe et long, risque de dépasser 256 caractères.4

4.3. Références des Guides de Conception

Bien que les extraits de blogs 30 et les aperçus généraux des guides de conception NSX 22 ne détaillent pas spécifiquement des exemples de hiérarchie T1 + Balises, ils couvrent largement les composants fondamentaux : les T1 pour la macro-segmentation et les Balises/Groupes pour la micro-segmentation. La combinaison de ces éléments pour créer une hiérarchie profonde est un modèle de conception spécifique que l’utilisateur cherche à mettre en œuvre, s’appuyant sur ces capacités standard de NSX.

Dans la suite de cette série, nous explorerons comment utiliser les Groupes NSX pour une Politique Dynamique, en s’appuyant sur le principe du tagging et des groupes. Lire la suite

by Patrice Le Guyader
tags: réseau passerelles balises balise 1 gateways segmentation network segmentation nsx hierarchical tagging tier zero trust security