Rapport Finale
Rapport Finale
Rapport Finale
Présenté
En vue d’obtention du titre d’:
INGENIEUR D’ETAT
Par
Khadija OULAD BEN TAIB
&
Oumayma MANSOURI
Sujet :
Implémentation d’une solution clé en main du modèle IaaS (Infrastructure as a
Service) du Cloud Computing
Encadré par :
A ma mère, qui m’a entourée de toute son affection et tout son amour,
A mon père, qui n’a ménagé aucun effort en faveur de ma réussite,
A mes chers frères, Mouâd et Al Farouk, qui n’ont jamais cessé de
m’encourager,
A mes chères tantes et leurs maris pour leur soutien inconditionné,
A mes amies et amis, qui ont cru en moi,
A tous mes professeurs qui m’ont encadrée tout au long de mon parcours
scolaire,
A toutes les personnes que j’aime et respecte, qui font et ont fait partie de
ma vie,
Je dédie ce modeste travail.
Oumayma MANSOURI
Le présent mémoire est le fruit de notre projet de fin d’études réalisé à la Compagnie Bureautique et
Informatique (CBI) à Casablanca, portant sur le Cloud Computing.
Durant ce stage, nous nous sommes familiarisées avec le monde professionnel, plus précisément
celui des Technologies de l’Information. Et dans cette même optique d’intégration, la CBI nous a
confié l’étude du modèle de service IaaS du Cloud Computing, qu’elle envisage de lancer sur le
marché dans un futur proche.
L’étude que nous avons réalisée dans ce cadre nous a permis de nous positionner du côté
fournisseur du Cloud. Plus précisément, c’est le volet de l’infrastructure du Cloud que nous avons
étudié et développé. Notre mémoire a pour problématique : « Implémentation d’une solution clés
en main du modèle IaaS (Infrastructure as a Service) du Cloud Computing »
Depuis quelque temps, l'informatique dans le nuage « Cloud Computing » est un sujet qui attise
curiosités et papiers blancs chez différents cabinets de consulting et sociétés de services IT. Ce
nouveau paradigme - bien qu'il ne s'agisse pas d'une technologie révolutionnaire, mais d'un modèle
alternatif pour l'application de solutions IT - apparaît régulièrement comme la panacée pour tous les
problèmes IT, tels que la complexité croissante des systèmes, la consommation énergivore des
centres de données informatiques, l'espace occupé par les serveurs, le besoin perpétuel de diminuer
les coûts au sein du département informatique…etc. Quoi qu'il en soit, les avantages pour les
entreprises sont manifestes: la concentration de services et la portée virtualisée des solutions IT
indépendamment du lieu, sont à l'origine d'économies d'échelle et de forts catalyseurs de synergies.
Consciente de l’opportunité qu’offre cette nouvelle tendance, CBI a décidé de lancer le service IaaS
(Infrastructure as a Service), qui met à disposition des entreprises clientes des ressources « brutes »
d’informatique, à savoir serveurs, mémoire RAM, processeurs et espace de stockage, l’utilisation et
la facturation de ces ressources pouvant être effectuées à la demande, ce modèle présente des
avantages que nous pouvons résumer sous la phrase : bannir l’inclusivité des solutions et s’ouvrir
sur un modèle de pay-per-use.
De point de vue client, il est impératif de prendre connaissance des impacts de la solution Cloud
Computing sur la DSI et son écosystème, à savoir la relation DSI/métiers, DSI/départements ou
DSI/partenaires, avant d’opter ou non pour cette solution. Aussi le client devrait-il être soucieux de
l’impact de son activité et de ses choix pour le déploiement de son infrastructure sur
l’environnement, et manifester une implication dans les problématiques Green IT.
CBI se positionne sur les technologies de l’information qui permettent aux administrations et
entreprises d’accroitre leur productivité en leur offrant des équipements informatiques et
bureautiques. Ses pôles d’activité sont la bureautique, l’informatique, l’intégration de
systèmes, les télécommunications, la formation et le service après-vente.
Créée en 1970 sous le nom de Ruche Maroc, l’entreprise a ensuite été rebaptisée CBI. Elle se
positionnait au début sur le matériel informatique et bureautique uniquement. L’entreprise s’est
peu à peu diversifiée pour suivre les mutations du marché des technologies de l’information, et
s’est étendue aux activités de progiciels, télécommunications, intégration de systèmes et prestation
de services (exemple : CBI est distributeur exclusif de Toshiba).
SIEGE
29 / 30 Lot. Attaoufik • Imm. CBI • Sidi Maârouf
20190 Casablanca • Maroc
Tél. 05 22 43 71 71 • Fax 05 22 43 71 87
E-mail : [email protected]
CBI RABAT
18, Av. de France • Agdal Rabat • Maroc
Tél. 05 37 77 50 17 / 45 • Fax 05 37 77 86 47
E-mail : [email protected]
CBI FES
33, Av. Roi Hussein de Jordanie • Fès • Maroc
Tél. 05 35 73 04 28 / 90 • Fax 05 35 73 04 55
E-mail : [email protected]
CBI TANGER
45, Rue El Maârif • Rés. Juliana Angle Rue Al Antaki
Tanger • Maroc
Tél. 05 39 34 13 06 / 33 / 32 • Fax 05 39 34 13 07
E-mail : [email protected]
CBI AGADIR
Av. Kennedy • Agadir • Maroc
Tél. 05 28 82 64 68 • Fax 05 28 82 07 20 • E-mail : [email protected]
CBI MARRAKECH
Bd. Prince My Abdellah, Résidence Taiba, Magasin n°4 • Marrakech • Maroc
Tél. 05 24 31 27 58 • Fax 05 24 93 05 37 • E-mail : [email protected]
CBI SENEGAL
44, Rue Vincens • BP 11769 • Dakar • Sénégal
Tél. +221 821 01 01
Fax +221 821 02 00
Afin de concourir à la réalisation de ces objectifs, divers contrats lient CBI à ses partenaires
fournisseurs :
6. Métiers de la CBI
Informatique mobile : CBI propose les solutions mobiles Toshiba aux administrations,
grandes entreprises et PME, aux professions libérales, aux particuliers ainsi qu’aux
étudiants. CBI est le distributeur exclusif d’ordinateurs portables Toshiba.
C’est dans cet état d’esprit que le Cloud Computing a vu le jour en 2008, défini comme étant un
modèle économique de l’informatique vue comme un service, et ceci à tous les niveaux.
CBI, ne pouvant rester indifférente face à cette nouvelle technologie, a décidé de se lancer dans
cette aventure qui va non seulement rendre service aux clients, mais aussi à la CBI elle-même vu
que sa stratégie consiste en premier lieu à migrer son centre de données traditionnel vers un autre
dédié au Cloud Computing et par la suite en faire profiter les entreprises.
2. Cloud Computing
2.1.Définition
Le Cloud Computing est un concept qui fait référence à l’utilisation de la mémoire, des capacités de
calcul des ordinateurs et des serveurs répartis liés par un réseau tel Internet, sans pour autant se
soucier de l’emplacement de ces ressources. En effet les utilisateurs (le plus souvent des
entreprises) ne sont plus propriétaires de leur infrastructure informatique et peuvent en revanche
accéder de manière évolutive à de nombreux services en ligne sans avoir à gérer l'infrastructure
sous-jacente, souvent complexe.
Ainsi, les applications et les données ne se trouvent plus sur l'ordinateur local, mais –
métaphoriquement parlant – dans un nuage (Cloud) composé d'un certain nombre de serveurs
distants interconnectés. L'accès au service se fait par une application standard facilement disponible,
la plupart du temps un navigateur Internet.
Cette nouvelle technologie nous pousse à mener une réflexion sur ces différents aspects : D’abord
les éléments le constituant, ensuite son apport et sa valeur ajoutée dans les NTIC du futur, ses
différentes architectures, et finalement les limites de cette technologie en vogue.
Un environnement de type Cloud Computing est accessible via le réseau quelque soit le
périphérique utilisé (PC, Tablette, Smartphone...).
L’accès aux ressources se fait sans se soucier du nombre des serveurs, taille des disques, nombre
des processeurs ou bien la capacité totale du stockage.
Elasticité
Il est possible, grâce à cette nouvelle technologie, d’augmenter et de diminuer la taille des
ressources à la demande.
Libre service
L’utilisateur peut consommer les ressources qui lui sont allouées sans demander une intervention
auprès du fournisseur.
Le fournisseur est capable de mesurer de façon précise la consommation des différentes ressources.
Cette infrastructure doit permettre au client de démarrer ou arrêter à la demande des serveurs
virtuels (Linux ou Windows), sans avoir à se soucier des machines physiques sous-jacentes, et des
coûts de gestion qui y sont liés (remplacement de matériel, climatisation, électricité, etc). L’offre
IaaS doit assurer également une transparence vis-à-vis de l’utilisateur dans le cas par exemple d’une
panne d’une ou plusieurs ressources.
Il s’agit de la mise à disposition du client d’un logiciel non pas sous la forme d'un produit qu’il
installe en interne sur ses machines, mais en tant qu'application accessible à distance comme
service, par le biais d'Internet et du Web. Le client ne paie pas pour posséder le logiciel en lui-même
mais plutôt pour l’utiliser.
Les principales applications actuelles de ce modèle sont la gestion de relation client (CRM), la
vidéoconférence, la gestion des ressources humaines, les communications unifiées, le travail
collaboratif et les emails.
Amazon, Google et Microsoft proposent un Cloud public dans lequel n'importe quel particulier ou
n’importe quelle entreprise peut héberger ses applications, ses services ou ses données. Pour les
consommateurs, il n'y a donc aucun investissement initial fixe et à priori, aucune limite de capacité.
En marge des objectifs cités ci-dessus, le présent PFE se veut l’occasion de mettre la problématique
citée auparavant dans un contexte académique : apport de solutions pratiques, sur la base de
connaissances théoriques propres à une formation en Electronique et Télécommunication.
Phase 9 : Décider des critères qui vont aider la CBI à mieux cerner les attentes des Clients
intéressés par ce nouveau service.
Comité de pilotage :
Livrables :
- Présentations au niveau de la CBI devant la DG
- Rapport fin d’étude
- Différents emails avec nos encadrants
Après avoir mis le point sur le concept du Cloud Computing, aborder le concept de la virtualisation
s’avère nécessaire, vu qu’elle joue un rôle de catalyseur pour le Cloud Computing. Dans le chapitre
qui suit, nous allons nous focaliser sur les différentes techniques de la virtualisation, les avantages
de cette approche, ainsi qu’une étude comparative des différentes solutions de virtualisation.
La virtualisation d’applications ;
La virtualisation de services réseau ;
La virtualisation de stockage ;
La virtualisation de serveurs.
La virtualisation des applications a de nombreux avantages : elle permet d’exécuter des applications
qui ont été développées pour d’autres environnements d’exécution, protège le système
d’exploitation hôte en s’assurant que l’application virtualisée ne viendra pas intéragir avec les
Un VLAN ( Virtual Local Area Network) est un réseau local regroupant un ensemble de machines
de façon logique et non physique. Puisqu’un VLAN est une entité logique, sa création et sa
configuration sont réalisées de maniére logicielle et non matérielle.
Les réseaux virtuels de niveau 1, appelés réseaux virtuels basés sur ports (port-based
VLAN): définissent un réseau virtuel en fonction des ports de raccordement sur le
commutateur. Ainsi, chaque port du commutateur est associé à un réseau virtuel,
indépendamment de la machine y étant physiquement raccordée. Le principal inconvénient
d’un VLAN de niveau 1 est sa rigidité : si une station se raccorde physiquement au réseau
par l’intermédiaire d’un autre port du commutateur, alors il est nécessaire de reconfigurer ce
commutateur afin de réintégrer la station dans le bon réseau virtuel ;
Les réseaux virtuels de niveau 2, appelés réseaux virtuels basés sur adresses MAC ( MAC
address-based VLAN): consistent à définir un réseau virtuel sur la base des adresses MAC
des stations. Une adresse MAC est un identifiant unique implémentée dans chaque
adaptateur réseau. Ce type de VLAN est beaucoup plus souple que le précédent car il est
indépendant de la localisation de la machine ;
Les réseaux virtuels de niveau 3. On distingue principalement deux types de VLAN de
niveau 3 ;
Les réseaux virtuels basés sur adresse de sous-réseau (Network address-based
VLAN) : ils déterminent les réseaux virtuels sur base de l’adresse IP source des
segments. Ce type de reseau virtuel est très flexible puisque les commutateurs
Mémoire de fin d’études 2011-2012 Page 28
adaptent automatiquement leur configuration lorsqu’une station est deplacée. En
revanche, une légère dégradation des performances peut se faire resentir puisque les
segments doivent être analysés plus minutieusement.
Les reseaux virtuels basés sur protocole ( Protocol-based VLAN). Dans ce cas, les
réseaux virtuels sont créés sur la base des protocoles utilisées (TCP/IP, IPX,...) et les
stations sont regroupées en réseaux virtuels suivant le protocole qu’elles utilisent.
Les réseaux virtuels offrent plusieurs avantages, tels que la réduction du trafic de diffusion
(broadcast) puisque celui-ci est à présent contenu au sein de chaque réseau virtuel, une sécurité
accrue puisque l’information est encapsulée dans une couche supplémentaire, une meilleure
flexibilité puisqu’une modification de la structure des réseaux peut étre réalisée en modifiant la
configuration du commutateur.
3. Virtualisation du stockage
La virtualisation de stockage est un procédé qui va séparer la représentation logique et la réalité
physique de l’espace de stockage. Son but
est de faire abstraction des périphériques de
stockage utilisés et des interfaces qui leur
sont associées (SATA, SCSI,...) afin de
limiter l’impact des modifications
structurelles de l’architecture de stockage.
La virtualisation des serveurs s’inscrit dans une tendance globale qui tend à
promouvoir la virtualisation au sein des entreprises en faisant notamment
appel à la virtualisation de stockage et à la virtualisation de réseau des
services réseau. Cette tendance est une composante dans le développement
de systèmes autonomes. Un système est dit autonome s’il est capable de
Figure 11: s’auto-gérer sur la base de l’activité qu’il perçoit, sans aucune intervention
Virtualisation des
externe, et en conservant les détails de son implémentation invisibles pour
serveurs
l’utilisateur.
Notion d’hyperviseur
Un hyperviseur est une fine couche logicielle située entre la couche matérielle d'une machine
physique et les machines virtuelles s’exécutant sur cette machine. C’est une plate-forme de
virtualisation permettant de fournir aux machines virtuelles de meilleures performances grâce à la
communication directe avec les ressources matérielles de la machine. Ainsi, chaque machine
virtuelle se verra allouer une quantité de disque dur, de mémoire ou encore de processeur logique en
fonction des ressources matérielles présentes sur la machine physique l’hébérgeant.
Par ailleurs, il est important de savoir qu'il existe 2 types d'hyperviseur, appelés plus communément
hyperviseur de type 1 (natif) et hyperviseur de type 2 (logiciel).
Ainsi, la virtualisation est considérée comme l’étape technique vers le concept du Cloud
Computing, en utilisant la technologie de l’hyperviseur qui permet de virtualiser les serveurs et
Figure 14: Cartographie basée sur une analyse de Gartner en juin 2011
Il est facile de remarquer que trois entreprises sortent du lot : VMware, Microsoft et Citrix Systems.
Solution Cloud de VMware : La solution Cloud VMware est basée sur la plateforme
d’hyperviseur vSphere. Dans le modèle de Cloud VMware, les clients créent des machines
virtuelles sur l’hyperviseur ESXi, ce machines incluent un système d'exploitation et une ou
plusieurs applications, et sont exécutées sur des serveurs VMware vCenter hébergés sur le
Datacenter du fournisseur Cloud.
VMware vCompute : utilise l'hyperviseur ESXi pour virtualiser des ressources serveur et
regrouper ces ressources dans des pools logiques.
VMware vStorage : extrait des ressources de stockage dans le matériel sous-jacent.
VMware vNetwork : fournit des services de réseau pour les machines virtuelles en cloud.
VMware vMotion : permet la migration de machines virtuelles en temps réel d'un hôte ESX
vers un autre.
VMware Storage VMotion : permet la migration du stockage d'un emplacement vers un autre.
VMware High Availability : utilisé pour surveiller les machines virtuelles et les redémarrer sur
un autre hôte si une défaillance est détectée.
VMware Fault Tolerance: fournit une fonction de basculement sans temps d'arrêt pour les
machines virtuelles.
VMware Data Recovery : crée des sauvegardes sur disque des machines virtuelles VMware.
VMware vShield Zones : permet de surveiller, consigner et bloquer le trafic entre des machines
virtuelles.
VMware VMSafe : une API par l'intermédiaire de laquelle des partenaires VMware peuvent
connecter un logiciel de sécurité au niveau de l'hyperviseur.
VMware vCenter Orchestrator : permet de créer des flux de travail qui automatisent les tâches
opérationnelles.
VMware vCenter Chargeback : est utilisé pour le suivi d'imputation des services de Cloud
Computing.
ii. Microsoft:
Présentation : Microsoft Corporation est une multinationale informatique américaine, fondée par
Bill Gates et Paul Allen. Son activité principale consiste à développer et vendre des systèmes
d’exploitation et des logiciels, elle offre en plus un ensemble complet de technologies pour la
création, le provisionnement, la gestion et la sécurité des environnements virtuels et physiques.
Microsoft dispose de toute une série d’applications pour l’expansion future du Cloud privé et
public, destinées tant aux consommateurs individuels qu’aux organisations de toutes tailles.
iii. Citrix
Présentation : Citrix Systems est une entreprise multinationale américaine qui propose différentes
technologies de virtualisation, hébergées en mode SaaS, et des technologies Computing à plus de
230 000 entreprises dans le monde.
Citrix propose des solutions dynamiques de virtualisation et de Cloud Computing pour Clouds
privés, personnels et publics.
Solution Cloud de Citrix Systems : La solution de Citrix Systems concernant le modèle IaaS du
Cloud Computing est Xen. C’est un projet de virtualisation par hyperviseur géré par la société
XenSource. Le projet était à l’origine mené au sein de l’Université de Cambridge, sous le nom de
XenServer. Le but était d’héberger 100 systèmes invités sur une seule machine physique, avec les
meilleures performances possibles.
En 2003, les initiateurs du projet ont fondé la société XenSource et ont lancé le projet Xen en se
basant sur le code source de XenServer. Le rachat en août 2007 de la société XenSource par Citrix
n’a rien changé pour la communauté, la licence du produit libre restant inchangée. Toutefois, les
entreprises pourront être rassurées de voir que XenSource est maintenant soutenue par des moyens
financiers importants.
Citrix XenServer est une plate-forme de virtualisation 64 bits native offrant l'extensibilité exigée par
Microsoft Exchange Server, Microsoft SQL Server ou d'autres applications parmi les plus
stratégiques. Des interfaces en ligne de commande et de programmation ouvertes permettent en
outre l'intégration de XenServer aux processus et outils de gestion existants.
i. Installation
Dans le cas de VMware et XenServer, l’hyperviseur est de type 1, par contre dans le cas de l’Hyper-
V, l’hyperviseur est de type 2 ; Hyper-V doit être installé sur un serveur Windows Server 2008.
Ceci revient à estimer un temps d’installation plus lent que celui de VMware ou Citrix.
Temps
d’installation
Côté stockage Fibre Channel, les solutions sont très différentes. Hyper-V et VMware sont les
produits les plus prometteurs sur ce point. Ils permettent d’assurer la tolérance aux pannes et la
répartition de charge.
Seuls Hyper-V et VMware Infrastructure intègrent le support de TOE (TCP/IP Offload Engine) qui
est une technologie utilisée dans les interfaces réseau, permettant de décharger la gestion de la pile
TCP/IP à cette interface. Cette technologie est proposée comme manière de réduction de la charge
associée à la gestion des protocoles de stockage IP iSCSI ou NFS.
VMware utilise son propre format de disques virtuels, le format VMDK. Citrix utilise le format
VHD de Microsoft. Les spécifications de ces deux formats de disques virtuels sont ouvertes au
public. Il est possible d’utiliser des disques virtuels mais aussi des disques physiques en accès direct
(Raw Device Mapping, Passthrough Disk, etc). En fonction des choix effectués, l’ensemble ou
quelques parties des fonctionnalités apportées à la virtualisation ne seront plus disponibles
(redimensionnement, snapshot, disque de démarrage de la VM, etc).
Il est possible de stocker des machines virtuelles sur des baies SAN mais aussi sur des NAS et
utiliser l’espace au travers de systèmes de fichiers réseau de type CIFS (Microsoft) ou NFS (Citrix
et VMware).
v. Haute disponibilité
Côté sécurisation, Microsoft et VMware proposent toutes les deux des possibilités de mise en
cluster. En cas de dysfonctionnement d’un des nœuds, les nœuds restants ré-instancient les serveurs
virtuels affectés.
Le cluster VMware HA profite de l’utilisation de son système de fichier VMFS qui permet à
plusieurs serveurs VMware d’accéder simultanément à une partition. Le cluster VMware est donc
particulièrement simple à gérer et à mettre en œuvre. Par contre, l’expérience a démontré qu’il
manque encore un peu de robustesse.
De son côté, VMware prend à nouveau de l’avance en offrant aujourd’hui la possibilité de déplacer
l’exécution de la machine virtuelle, aussi bien que son stockage (avec Storage VMotion).
vii. Adoption
De manière plus générale, on peut aussi comparer le degré de maturité de chacune de ces trois
solutions. Autant dire qu’il n’y a aujourd’hui aucun recul sur les produits Microsoft. VMware est
sans conteste la solution la plus aboutie, talonnée par Citrix. Cependant, Hyper-V semble bien
mieux construit que l’hyperviseur Xen
. Il ne manque guère qu’un système de fichiers partagé pour que Microsoft puisse agrémenter son
offre de fonctionnalités lui permettant de répondre à des problématiques d’un centre de données de
taille importante.
De nos jours, la solution VMware fait l’unanimité de choix chez de nombreuses entreprises. Facilité
d’installation, sécurité des données, haute disponibilité, migration facile, sont toutes des
fonctionnalités qui poussent le client à léguer ses données à une entreprise réputée de confiance tel
que la CBI, et qui offre des solutions VMware. Certes, c’est l’une des solutions les plus chères sur
le marché, mais la CBI tire avantage de son statut de partenaire Gold de VMware, ce qui revient à
estimer un coût des solutions très inférieur au coût initial.
Après avoir établi un choix concernant la solution Cloud à adopter (VMware), nous allons détailler
cette solution en se positionnant du côté du fournisseur (CBI) pour voir les possibilités qu’elle offre
en matière de virtualisation du centre de données, de son dimensionnement et de sa préparation à
l’hébergement d’infrastructures à la demande.
Mémoire de fin d’études 2011-2012 Page 37
Chapitre 3 :
Conception, réalisation
et gestion du Cloud
I. VMware vSphere
VMware vSphere est la première plate-forme de virtualisation pour la solution Cloud Computing
de VMware. Elle utilise la puissance de la virtualisation pour transformer les centres de données en
infrastructures de Cloud Computing beaucoup plus simples. Cette solution permet aux équipes
informatiques de fournir de nouveaux services souples et fiables à partir de ressources internes et
externes, de façon sécurisée et quasiment sans risques.
1. Présentation
VMware vSphere est la plate-forme de virtualisation leader pour la création d’infrastructures de
Cloud. Elle permet aux utilisateurs d’exécuter leurs applications métiers stratégiques en toute
sécurité et de répondre plus rapidement aux
besoins de l’activité.
2. Architecture de vSphere 5
Cette plate-forme est indispensable dans la mesure où elle débloque les fonctionnalités de vSphere
5. Elle peut s’installer sur une machine virtuelle comme elle peut s’installer sur un serveur physique
à part.
Il est possible d’avoir plusieurs instances parallèles de vCenter Server, comme il est possible, en se
connectant à l’une de ces instances, de gérer tout le datacenter virtuel VMware.
Pour garantir une protection de vCenter Server contre les pannes potentielles, la famille VMware a
créé la gamme vCenter Server Heartbeat qui développe et étend la disponibilité pour vCenter Server
en répliquant, en continu, les informations sur un serveur de secours passif. Cela permet une
récupération rapide à l’aide d’un canal réseau masqué.
vCenter Server Database : c’est la base de données pour l'infrastructure virtuelle. L’état de
chaque VM, hôte, utilisateur... figure dans la base de données de vCenter Server. Cette base
de données installée et configurée lors de l'installation de vCenter Server peut être locale ou
distante à vCenter Server.
Datastore (banque de données) : est une représentation virtuelle des ressources physiques
du stockage du centre de données. Une banque de données peut contenir les fichiers des
3. Composants de vSphere 5
VSphere 5 est constitué d’un service d’infrastructure et d’un service d’application. Dans ce qui
suit, nous allons décrire le rôle et l’architecture de l’ESXi 5 ainsi que les fonctionnalités clés de
vSphere 5.
3.1. ESXi 5
ESXi est un hyperviseur de type 1. Les machines virtuelles sont vues par l’ESXi comme un
ensemble de fichiers contenus dans un dossier appelé VM Folder. Chaque VM Folder contient
plusieurs fichiers comme le fichier de configuration, le fichier de disque virtuel, le fichier de
paramètres NVRAM (Non Volatile RAM) et le fichier de log.
i. Architecture d’ESXi
VMKernel est le cœur d’ESXi 5. Il permet la gestion des ressources physiques. Ainsi, il a
pour rôle de s’assurer que les machines virtuelles ont accès aux ressources dont elles ont
besoin. Il est responsable de la création des commutateurs virtuels et l’établissement des
services réseau au sein de l’hôte.
i. vMotion
VMotion est un mécanisme qui
permet une migration à chaud des
machines virtuelles d’un serveur
physique vers un autre.
Pré-requis d’installation
Un espace de stockage centralisé (NAS, SAN) où se trouveront les fichiers des machines
virtuelles.
Chaque serveur source et destination doit être configuré avec un VMKernel Port Group
dédié pour vMotion, avec au moins une carte réseau Gigabit Ethernet connectée.
Une compatibilité entre les processeurs des serveurs ESXi. Dans le cas contraire il faut
activer EVC qui permet de masquer certaines différences pour apporter une plus grande
compatibilité entre les serveurs.
Pré-requis d’installation
Les machines virtuelles doivent être désactivées pour faire migrer simultanément l’hôte et la
banque de donnée ;
Il ne faut pas avoir de snapshots en cours ;
Il faut s’assurer qu’il y’a assez d’espace sur la VMFS destination.
Tout ce qui se passe sur la machine virtuelle appelée primaire est copié en miroir dans une machine
virtuelle appelée secondaire grâce à la technologie vLockstep, qui permet de capturer tous les
évènements de la machine primaire active : jeu d’instructions CPU, état mémoire, E/S pour les
envoyer vers la machine secondaire passive sur un autre serveur physique.
L’accès à cette machine secondaire se fait en mode lecture et elle consommera en parallèle les
mêmes ressources que celles de la machine primaire. C’est pour cela que l’administrateur doit faire
attention lors de l’attribution des ressources s’il veut utiliser cette technologie.
Pré-requis d’installation
1 vCPU ;
Disques VMDK en configuration eager-zeroed thick.
1. Considérations préliminaires
Comparaison basique entre vSphere Standard Switch et vSphere Distributed Switch
Les figures qui suivent représentent la différence conceptuelle dans la configuration entre le
Standard Switch et le Distributed Switch.
Alors que Standard Switch (vSS) représente un commutateur Ethernet permettant la mise en réseau
des machines virtuelles au niveau de chaque hôte, vSphere Distributed Switch (vDS) fait office de
commutateur Ethernet unique sur tous les hôtes associés dans un centre de données. Aussi, chaque
vSS requiert-il une configuration séparée à partir d’un panneau de configuration séparé, tandis que
Un réseau virtuel fournit plusieurs services différents à l'hôte et aux machines virtuelles. Un
vSphere Distributed Switch (vDS) a pour fonction d’assurer:
Chaque port distribué de vDS peut être configuré pour se comporter de certaines manières, selon
les besoins de la machine à laquelle il est connecté.
La configuration des ports distribués se fait à travers ce qu’on appelle les dvPort Groups. Ceux-ci
définissent la manière dont une machine virtuelle est connectée au réseau via vDS. Chaque dvPort
Group est identifié par une étiquette réseau qui est unique dans le centre de données actuel.
La liaison entre vDS et le réseau physique extérieur est assurée par des adaptateurs Ethernet
physiques, leur représentation virtuelle est appelée vmnic dans le monde de VMware.
vDS offre un panneau de configuration réseau se basant sur plusieurs paramètres. Nous citons ici les
plus importants.
L’un des paramètres de sécurité que l’on peut configurer dans vDS est la définition de VLANs
(Virtual LANs). Un VLAN est un réseau logique permettant une séparation logique entre des
machines connectées à un même vDS. Les machines appartenant au même VLAN ne peuvent
communiquer qu’entre elles. IEEE 802.1q est le standard fournissant le mécanisme d’encapsulation
des trames permettant de créer des VLANs.
Il existe un autre type de réseau virtuel VLAN privé. Ce dernier permet de gérer les
communications entre ports distribués (machines) appartenant au même VLAN, tel qu’ils ne
peuvent communiquer qu’avec des ports distribués (machines) spécifiques. La figure ci-dessous
illustre les trois configurations de VLANs privés possibles :
Quand il est activé, il permet aux machines de recevoir le trafic avec une adresse MAC différente de
celle configurée dans le fichier *.vmx. La possibilité de désactiver cette option, et donc de
« verrouiller » l’adresse MAC d’une machine dans la configuration du fichier *.vmx, permet de
prévenir le MAC Spoofing et donc l’ARP Poisoning, et procure un niveau de sécurité qui n’existe
pas dans un environnement physique.
Transmission forgée
La transmission forgée est similaire au changement d’adresse MAC, sauf que ce paramètre
concerne le trafic sortant de la machine virtuelle. Ce paramètre aussi augmente la sécurité des
échanges traversant vDS.
Assurant une sécurité matérielle, le NIC teaming a lieu quand deux ou plusieurs cartes réseau
physiques sont agrégées pour constituer une seule liaison logique. Cette technique permet d’:
Dans le monde VMware vSphere, le mode promiscuité équivaut au Port Mirroring, qui permet à
une vNIC placée en mode Promiscuous de recevoir tout le trafic destiné aux autres VMs du même
VLAN.
Alors que la fonction SPAN (Switch Port ANalyser) de Cisco permet de recopier sur un port
distribué donné le trafic destiné à un ou plusieurs autres ports distribués, Netflow exporte les
informations du trafic réseau qui traverse le vDS à un collecteur Netflow spécifique (une machine
virtuelle). Les deux techniques permettent une analyse et une visualisation du trafic, facilitant ainsi
de dépannage des machines virtuelles.
LLDP (Link Layer Discovery Protocol) est un protocole réseau de niveau 2 permettant au vDS la
découverte des topologies réseau de proche en proche, mais il apporte aussi des mécanismes
d'échanges d'informations entre équipements réseaux, et utilisateurs finaux. CDP (Cisco Discovery
Protocol) étant la « version » propriétaire de ce protocole, il offre les mêmes fonctionnalités.
4. Paramètres de QoS
La notion de qualité de service (QoS) introduit la possibilité de partager le plus équitablement
possible une ressource devenant de plus en plus rare, car partagée par un grand nombre de flux
applicatifs qui peuvent interférer les uns avec les autres. Elle introduit également la possibilité
d’introduire différents niveaux de service en fonction de la nature de ce flux (visioconférence, un
transfert de fichiers…etc).
Lorsque le contrôle d'E/S réseau est activé, le trafic du commutateur distribué est divisé dans les
pools de ressources réseau prédéfinis suivants : Trafic de tolérance aux pannes, trafic iSCSI, trafic
vMotion, trafic de gestion, trafic vSphere Replication (VR), trafic NFS et trafic de machine
virtuelle. L'affectation d'une balise de priorité QoS à un pool de ressources réseau applique une
balise 802.1p à tous les paquets sortants associés au pool de ressources réseau.
Lissage de trafic
Le lissage de trafic est le contrôle du volume des échanges sur un réseau informatique dans le but
d’optimiser ou de garantir les performances, une latence plus basse ou d’augmenter la bande
passante utilisable, il est utile aussi dans le cas où on veut limiter le trafic sortant ou entrant à un
groupe de VMs pour les protéger dans un réseau surchargé. Il existe trois paramètres pour le
configurer: le débit garanti (average bandwidth), le débit crête (peak bandwidth) et la taille du burst
(burst size).
Concept nouveau introduit avec vSphere 4, cette fonctionnalité permet de transférer la configuration
du port associé à une machine virtuelle pendant sa migration d’un hôte à l’autre, et de maintenir son
état réseau durant la migration. Ceci rend la surveillance et le dépannage d’une machine virtuelle
indépendants de son emplacement sur vDS. La figure qui suit est une illustration de cette
fonctionnalité :
1. Eléments du stockage :
HBA (Host Bus Adapter) ou contrôleur hôte de bus : c’est une carte d’extension permettant de
connecter un hôte à un bus externe en réseau de stockage.
Une banque de données contient un ou plusieurs disques virtuels ainsi que les images .ISO
présentés comme CD-ROM à la machine virtuelle.
SCSI (Small Computer System Interface): est un standard définissant un bus informatique
permettant de relier un ordinateur à des périphériques de stockage.
Périphériques de stockage
HDD (Hard Drive Disk) : c’est un disque de stockage électromécanique qui utilise un
plateau rigide en rotation couvert d’une bande magnétique où sont stockées les données, et
d’une tête magnétique de lecture/écriture ;
SSD (Solid State Drive) : c’est un disque de stockage qui utilise des circuits intégrés à base
de semi-conducteurs comme mémoire de stockage des données, et ne comporte pas de pièce
mobile. Par conséquent, un disque SSD est plus silencieux et plus résilient. Il présente moins
de temps d’accès et de latence par rapport à un disque HDD, permettant ainsi un débit E/S
très élevé.
Lorsqu'une machine virtuelle communique avec son disque virtuel stocké sur une banque de
données, elle lance des commandes SCSI. Quel que soit le type de périphérique de stockage utilisé
par l’hôte, le disque virtuel apparaît toujours en tant que périphérique SCSI monté pour la machine
virtuelle, qui s’y connecte via des contrôleurs SCSI virtuels tels que BusLogic Parallel, LSI Logic
Parallel, LSI Logic SAS, et VMware Paravirtual.
Étant donné que les banques de données peuvent résider sur plusieurs types de périphériques de
stockage physique, ces commandes sont encapsulées dans d'autres formes, selon la technologie de
stockage adoptée.
L’hôte utilise des disques durs internes ou des systèmes de stockage externes qui lui sont connectés
directement via des protocoles comme SAS (Serial Attached SCSI) ou SATA (Serial Advanced
Technology Attachment).
Le stockage local ne requiert pas de réseau de stockage pour la communication entre l’hôte et le
disque dur. Celle-ci est assurée par l’intermédiaire d’un câble connectant les deux équipements et, si
nécessaire, d'un HBA compatible dans l’hôte.
Dans cet exemple de topologie de stockage local, l'hôte emploie une connexion unique à un disque.
Sur ce disque, on peut créer une banque de données qui peut être utilisée pour stocker les fichiers de
disque de la machine virtuelle.
Les périphériques de stockage local ne prennent pas en charge le partage sur plusieurs hôtes, et par
conséquent, les connexions multiples ne sont pas non plus prises en charge : une banque de données
sur un périphérique de stockage local peut être accédée seulement par un seul hôte. Toutefois ils
prennent en charge un cluster de machines virtuelles sur un seul hôte. Pour ceci, un disque virtuel
partagé est requis.
Bien que cette configuration de stockage soit possible, cette topologie n'est pas recommandée.
L'utilisation de connexions uniques entre des baies de stockage et des hôtes crée des points uniques
de défaillance (SPOF) pouvant causer des interruptions lorsqu'une connexion devient instable ou
échoue.
L’hôte utilise des médias de stockage sur une baie qui lui est connectée via un réseau haut débit
dédié (ou non) au stockage. Les périphériques de stockage en réseau sont partagés. Les banques de
données sur des périphériques de stockage en réseau sont accessibles par plusieurs hôtes
simultanément. Parmi les technologies de stockage en réseau, on retrouve :
Fiber Channel (FC) : c’est un protocole permettant d’acheminer le trafic SCSI entre un
hôte et le système de stockage lui étant connecté via un SAN (Storage Area Network), qui
est un réseau haut débit (de l’ordre du Gigabit par seconde) dédié au stockage par bloc.
Pour se connecter au FC SAN, l’hôte doit être équipé d’un HBA Fibre Channel, et à moins d'utiliser
un stockage de connexion directe Fibre Channel, des commutateurs Fibre Channel sont nécessaires
pour acheminer le trafic de stockage. Si l’hôte contient des adaptateurs FCoE (Fibre Channel over
Ethernet), la connexion aux périphériques Fibre Channel partagés peut être effectuée à l'aide d'un
réseau Ethernet.
ESXi intègre un client NFS qui utilise le protocole NFS v3 pour communiquer avec les serveurs
NAS/NFS. Pour la connectivité réseau, l’hôte requiert un adaptateur réseau Ethernet standard.
2.1. Avantages
L'utilisation d'ESXi avec un SAN signifie plus de souplesse, plus d'efficacité et plus de fiabilité.
Elle prend également en charge la gestion centralisée et les technologies de basculement et
d'équilibrage de charge. On retrouve parmi les avantages de ce choix :
Le stockage des données se fait de manière sécurisée en configurant plusieurs chemins vers
le périphérique de stockage afin d'éliminer tout risque de SPOF, la gestion de multivoie se
fait à l’aide d’API de stockage du VMkernel ;
La reprise d’activité après sinistre est assurée : toutes les applications peuvent être
immédiatement redémarrées dans leur dernier état sur un autre hôte suite à la panne de
l’hôte d’origine, grâce à l’utilisation de VMware High Availability ;
L’équilibrage de charge entre hôtes peut être effectué à l’aide de VMware Storage
Distributed Resource Scheduler par la migration de machines virtuelles d’un hôte à l’autre
sans interruption de service avec VMware vMotion ;
La tolérance aux pannes est possible à l’aide de VMware Fault Tolerance qui permet de
faire une copie de machine virtuelle sur un autre hôte, celle-ci continuant à fonctionner sur
le second hôte après défaillance du premier sans interruption de service ;
Les opérations de maintenance ou de mise à niveau d’un hôte ESXi peuvent être réalisées
de manière transparente aux machines virtuelles en service, avec le cluster VMware DRS
qui permet de les migrer d’un hôte à l’autre ;
La migration de baies et la mise à niveau de stockage sont simplifiées avec l’utilisation de
Storage vMotion, celui-ci permet d’effectuer la migration automatisée en direct des fichiers
de disque d’un emplacement de stockage à un nouveau avec transparence aux machines
virtuelles.
Chaque LUN doit avoir le bon niveau RAID et des caractéristiques de stockage correctes
pour les applications s'exécutant dans les machines virtuelles utilisant la LUN ;
Chaque LUN ne doit contenir qu'une banque de données VMFS ;
Si plusieurs machines virtuelles ont accès au même VMFS, les partages de disque peuvent
être utilisés pour classer les machines virtuelles par ordre de priorité.
Moins de LUNs mais de plus grandes tailles peuvent être préférées pour les raisons suivantes :
Plus de souplesse de création des machines virtuelles sans avoir à demander plus d'espace de
stockage à l'administrateur ;
Plus de souplesse de redimensionnement des disques virtuels ou de prise d’image
(snapshot) ;
Moins de banques de données à gérer.
Par contre, plus de LUNs mais de plus petite taille peuvent être préférées pour les raisons
suivantes :
Gain d’espace ;
Différentes applications pourraient nécessiter des caractéristiques RAID différentes ;
Plus de souplesse grâce à la définition de la règle de gestion de multivoie et des partages de
disque par LUN ;
L'utilisation du service de cluster de Microsoft (Microsoft Cluster Service) exige que chaque
ressource de disque en cluster soit dans sa LUN respective ;
Meilleures performances car un volume unique subit moins de contention.
Le stockage peut être divisé en plusieurs niveaux, selon un certain nombre de facteurs:
Niveau élevé : Offre de hautes performances et une grande disponibilité. Peut offrir des
snapshots intégrés pour faciliter les sauvegardes et les restaurations instantanées. Prend en
Un objectif de temps de restauration doit être inclus pour chaque application lors de la conception
de la stratégie de sauvegarde. C'est-à-dire que le temps et les ressources nécessaires pour effectuer
une sauvegarde doivent être envisagés. Par exemple, si une sauvegarde programmée stocke tant de
données que leur restauration cause un délai considérable, la programmation des sauvegardes doit
être réexaminée. Des sauvegardes plus fréquentes peuvent être effectuées, ce qui résulte en une
diminution de la quantité de données envoyées à la fois, ainsi que le délai de restauration.
Si une application particulière nécessite une restauration dans un délai précis, le processus de
sauvegarde devra fournir un horaire et un traitement des données convenant à ce délai. Une
restauration rapide peut exiger l'utilisation des volumes de sauvegarde dans le stockage en ligne afin
Selon le type de stockage utilisé, les banques de données peuvent être sauvegardées aux formats de
système de fichiers suivants :
Après avoir créé des banques de données, il est possible de les organiser de différentes manières.
Par exemple, les regrouper dans des dossiers en fonction des pratiques professionnelles permet
d'affecter simultanément les mêmes autorisations et alarmes sur les banques de données d'un
groupe.
Il est également possible d’ajouter des banques de données à des clusters de banques de données
avec une interface de gestion partagée. Lorsque le cluster de banques de données est créé, il est
possible d’utiliser Storage DRS pour gérer les ressources de stockage.
A l’aide de vSphere Client, il est possible de configurer une banque de données VMFS à l'avance
sur un périphérique de stockage par blocs que détecte l’hôte ESXi. Celle-ci peut être étendue pour
englober plusieurs extensions de stockage physique, y compris les LUNs du SAN et le stockage
local.
L’augmentation de la capacité d'une banque de données pendant que les machines virtuelles
fonctionnent sur la banque de données est possible. Ainsi, l'espace des banques de données VMFS
peut être augmenté si la machine virtuelle en a besoin.
Les métadonnées sont mises à jour chaque fois que des opérations de gestion de banque de données
ou de machine virtuelles sont réalisées. Exemples de ces opérations:
Lorsque des modifications sont apportées aux métadonnées dans un environnement de stockage
partagé, VMFS utilise des mécanismes de verrouillage spéciaux pour protéger ses données et
empêcher plusieurs hôtes d'écrire simultanément sur les métadonnées.
Réservations SCSI : VMFS les utilise sur les périphériques de stockage non SSD. Lors de la
réalisation d'une opération nécessitant une protection des métadonnées, les réservations
SCSI verrouillent l'intégralité d'un périphérique de stockage. Une fois l'opération terminée,
VMFS libère le périphérique et les autres opérations peuvent se poursuivre. Ce verrouillage
étant exclusif, les réservations SCSI excessives d'un hôte peuvent provoquer une
dégradation de la performance des autres hôtes accédant au même VMFS ;
ATS (Atomic Test and Set) : Pour les périphériques de stockage SSD, VMFS utilise
l'algorithme ATS, également connu sous le nom de verrouillage par assistance matérielle.
Contrairement aux réservations SCSI, ATS prend en charge un verrouillage discret par
secteur de disque.
Avec ESXi, il est possible d’utiliser deux modèles de provisionnement dynamique, au niveau de la
baie et au niveau du disque virtuel.
Lorsqu’une machine virtuelle est créée, une certaine quantité d'espace de stockage sur une banque
de données est allouée aux fichiers du disque virtuel. Par défaut, ESXi offre une méthode de
provisionnement classique d'espace de stockage pour les
machines virtuelles. Cette méthode permet d'estimer la
quantité de stockage dont la machine virtuelle aura besoin
pour tout son cycle de vie. Une quantité fixe d'espace de
stockage est ensuite allouée à son disque virtuel à
l'avance, par exemple, 40 Go, et tout l'espace est alloué au
disque virtuel. Un disque virtuel qui occupe
immédiatement tout l'espace alloué est appelé un disque
statique.
Lorsque le disque virtuel est alloué dynamiquement, il démarre avec une petite taille et grandit au
fur et à mesure que de l'espace disque est nécessaire.
L’hôte ESXi peut effectuer les tâches suivantes en utilisant l'intégration à allocation dynamique :
Surveiller l'utilisation de l'espace sur les LUNs à allocation dynamique pour éviter à
l’administrateur de manquer d'espace physique. Au fur et à mesure que la banque de
données se développe ou si Storage vMotion est utilisé pour migrer des machines virtuelles
1. Sécurité physique
Usurpation
Les risques d’usurpation d’identité sont de deux natures :
L’usurpation du service offert par l’architecture Cloud : il peut s’agir de services
similaires, voire identiques, offerts par d’autres offreurs ou en d’autres points du Cloud
Dans les deux cas, la faiblesse de l’identification et de l’authentification laisserait la porte ouverte à
ces attaques.
Défectuosité au niveau des APIs
Les fournisseurs de services du Cloud proposent un ensemble d’APIs dont les clients se servent
pour gérer leurs infrastructures dans le Cloud. Ainsi, la sécurité et la disponibilité des services du
Cloud dépendent de la sécurité de ces APIs et de la qualité de l’intégration. Etant sensible aux virus,
aux vers et autres logiciels malveillants, toute API implique un risque potentiel menaçant la sécurité
du Cloud. Un dysfonctionnement au niveau de ces interfaces conduirait à une perte totale ou
partielle de service pour le client.
Absence d’étanchéité dans un environnement multi locataires
Les fournisseurs de Cloud hébergent sur une même architecture des serveurs et des données de
clients différents. Ainsi, le système doit s’assurer qu’il n’y ait aucune interférence entre les
différents systèmes d’information hébergés. Il serait donc possible de modifier les données par des
personnes non autorisées ou pire encore, d’accéder à des données sensibles entre clients différents.
L’utilisation d’antivirus au niveau du fournisseur est indispensable pour se prémunir des logiciels
malveillants. Aussi, la mise en place d'équipements de filtrage (pare-feu, proxy, sondes IPS/IDS...)
est-elle nécessaire afin de contrôler la légitimité des requêtes entrantes, une protection contre les
attaques de types déni de service et de spoofing peut être atteinte.
La seconde famille de bonnes pratiques concerne la notion d’isolation : isolation des flux réseaux,
isolation des machines virtuelles par niveau de sécurité, affectation de quotas d’usage des
ressources par les machines virtuelles.
La segmentation réseau des machines virtuelles est une autre mesure pour parer aux risques liés à
la colocation dans le cas d’un Cloud Public. Les machines étant virtuelles, il est plus facile dans ce
contexte de générer des conflits d’adressage.
Pour être efficace et rentable, l’infrastructure du Cloud doit mettre en place les solutions évoquées
précédemment en tenant compte de la virtualisation.
Sachant qu’en matière de sécurité, le niveau 2 représente le maillon le plus faible, il faut donc
veiller à bien le configurer. Le rôle de fournisseur des services sécurité réseau attendus d’un
commutateur physique Cisco est joué par Nexus1000V, commutateur virtuel intégré à
l’hyperviseur. (Pour plus de détails, voir Annexe B)
i. Architecture
Au delà des fondations offertes par le Nexus1000V il est indispensable de pouvoir contrôler le trafic
circulant entre les machines virtuelles afin de créer des zones de sécurité ou tout simplement de
filtrer au sein d'une zone. C’est dans ce sens que Cisco a développé Virtual Security Gateway
(VSG), un élément de filtrage logiciel, reposant sur le Nexus1000V.
VSG permet d’assurer la sécurité intra zone, c’est-à-dire entre les différentes machines virtuelles. Il
offre la possibilité de :
Définir des règles : non pas simplement basées sur les adresses IP et ports TCP mais
également sur des attributs des machines virtuelles (nom, type d'OS,… etc). Ainsi, on peut
par exemple positionner toutes les machines virtuelles dont le nom comprend « web » dans
une zone « serveurs web », et limiter leur communication avec une autre zone ;
Segmenter l’’administration : grâce à l'outil d'administration VNMC (le logiciel
d'administration spécialement créé pour VSG), les équipes sécurité gardent la main sur la
Pour ce qui est de la sécurité interzones, il est souhaitable d’avoir des fonctions de sécurité plus
évoluées, au niveau du filtrage applicatif par exemple. Ainsi, ASA1000V offre une solution de
sécurité plus évoluée que celle de VSG en reprenant les caractéristiques attendues d’un firewall
actuel, adapté aux environnements virtuels. ASA1000V peut être piloté avec le même outil
d’administration (VNMC) que VSG, ou depuis ADSM (l'interface graphique traditionnelle d'ASA).
Fonctionnalités clés :
Pare-feu
Pare-feu de périmètre qui a pour fonction principale d'imposer une limite aux utilisateurs
externes non approuvés.
Pare-feu d’inspection dynamique, avec des règles de contrôle des connexions entrantes et
sortantes basées sur les paramètres suivants :
Transfert des activités de protection contre les virus et les programmes malveillants
vShield Endpoint améliore les performances en utilisant le module vShield Endpoint ESXi
pour transférer les activités d’analyse antivirus vers une appliance virtuelle sécurisée au sein
de laquelle l’analyse antivirus est exécutée.
L’API EPSEC (Endpoint Security) de vShield Endpoint gère la communication entre les
machines virtuelles et l’appliance virtuelle sécurisée, à l’aide d’un processus d’introspection
au niveau de la couche hyperviseur.
La mise à jour du moteur antivirus et des fichiers de signatures s’effectue exclusivement au
niveau de l’appliance virtuelle sécurisée, mais les règles peuvent être appliquées à
l’ensemble des machines virtuelles d’un hôte vSphere.
Actions correctives
vShield Endpoint met en application les règles antivirus qui déterminent si un fichier
malveillant doit être supprimé, mis en quarantaine ou autre.
Un agent léger gère les actions correctives sur les fichiers au sein de la machine virtuelle.
Fonctionnalités clés :
Pare-feu
Cette protection peut être appliquée en fonction du réseau, du port d’application, du type de
protocole (TCP ou UDP) ou du type d’application.
Surveillance du flux
Les administrateurs peuvent observer l’activité réseau entre les machines virtuelles afin de définir
des règles de pare-feu et de les affiner, de détecter les botnets et de sécuriser les processus métiers
grâce à des rapports détaillés sur le trafic applicatif (applications, sessions, octets).
Groupes de sécurité
Fonctionnalités clés :
1. Manipulations effectuées :
Les étapes suivantes décrivent en détail la démarche suivie pour la réalisation:
Une fois nous insérons le CD contenant ESXi 5, nous devons choisir soit un démarrage sur le
disque dur, ou bien un démarrage à partir du CD d’ESXi 5. Dans notre cas, nous avons gravé ESXi
5 sur un CD et nous l’avons inséré dans le lecteur CD du serveur.
Vient par la suite l’étape de la licence « End User License Agreement (EULA) », soit nous somme
d’accord et dans ce cas nous devons presser F11, soit nous ne somme pas d’accord et nous devons
presser la touche ESC.
Après nous devons choisir un login et un mot de passe pour sécuriser l’accès à l’hôte.
Pour pouvoir récupérer le fichier d’installation exécutable de vSphere Client, nous avons tapé
l’adresse IP du serveur ESXi 5 dans le browser.
Le serveur contient deux processeurs avec 6 cœurs chacun. Nous avons donc 12 vCPU, et puisque
la technologie Hyperthreading est activée, nous obtenons dans ce cas le double de la vCPU initiale,
ce qui donne 24 vCPU (processeurs logiques).
Mémoire :
Le serveur possède 49084,7 Mo de RAM, et utilise 241,7 Mo jusqu’à présent, ce qui nous donne
une taille de la mémoire virtuelle qui est de : vRAM= 49084,7-241,7= 48843,0 Mo
Cette fenêtre montre qu’ESXi est installé sur le deuxième datastore, sachant qu’il y’en a quatre.
La capacité totale du stockage disponible pour ESXi est de 135.50 Go, et sachant qu’ESXi nécessite
un espace de 8.49 Go, nous trouvons un espace libre pour le stockage des machines virtuelles qui
est de 135.50-8.49= 127,01 Go.
Adaptateurs de stockage :
Dans cette fenêtre, nous pouvons voir les différents HBA qui sont détectés par ESXi, ainsi que les
différentes informations les concernant.
Cette fenêtre donne une vision sur le commutateur virtuel (vSphere Standard Switch dans cet
exemple), les cartes réseau lui étant connectées (vmnic0), les groupes de port et les VLAN ID qui
leurs sont associés, les différents pools de ressources réseau créés et les configurations d’adresse IP
spécifiques au groupe de port du VMkernel.
Adaptateurs réseau
Cette fenêtre montre que le serveur possède quatre cartes réseau, dont une seule est mappée au
commutateur standard.
Nous avons créé une machine virtuelle avec un clic droit sur l’hôte ESXi 5.
Configuration :
Nom et emplacement :
Nous avons choisis la version 8 de machine virtuelle, car nous travaillons avec ESXi 5.
CPU :
Carte réseau :
Stockage
Nous pouvons créer un disque virtuel, utiliser un disque existant ou bien ne pas créer de
disque.
Nous avons choisi d’allouer à VM1 une taille de 40 Go, et nous avons coché le provisionnement
dynamique puisqu’il est recommandé.
Dans la case « Emplacement » nous avons coché « Stocker avec la machine virtuelle », en effet une
machine virtuelle contient deux types de fichier, un fichier de configuration et un autre de disque
(VMDK), on peut les séparer ou les ressembler comme dans notre cas.
Dans cette étape nous avons chargé et placé l’image ISO de Windows Server 2008 R2 dans le
Datastore.
Avec un clic droit nous accédons au datastore pour importer l’image de l’OS.
Une fois l’installation terminée, nous devons saisir un mot de passe pour l’accès à VM1.
L’installation de vCenter Server se fait soit sur un serveur physique à part ou bien sur une machine
virtuelle, dans notre cas nous avons opté pour la deuxième solution.
De la même manière que pour le cas du système d’exploitation, nous importons l’image ISO de
vSphere 5 sur le Datastore qui contient notre VM1.
Une fois l’importation terminée, nous partons vers le poste de travail de VM1 pour commencer le
téléchargement de vCenter Server.
Concernant la base de données, nous avons deux choix : soit nous allons utiliser une base de
données qui existe déjà, ou bien installer Microsoft SQL Server 2008 Express, c’est une
version gratuite de SQL Server, qui supporte 5 ESXi au maximum.
Nous devons par la suite entrer les ports qui doivent être ouverts par le pare-feu.
Tout d’abord, nous avons assisté à l’accès au datacenter dédié au Cloud, à travers vSphere Client.
La vue d’inventaire du datacenter a été effectuée à partir de vCenter Server.
L’inventaire contient plusieurs serveurs, à savoir les huit lames du Cisco UCS B200-M2 blade
servers.
Les machines virtuelles contenant les différents éléments du Cloud sont toutes regroupées dans une
lame dédiée. Au total, il y avait : une machine pour vCenter Server et vSphere Client, deux pour les
cellules vCloud Director, une pour vCenter Chargeback, une pour vShield Manager, une faisant
office de serveur LDAP et une dernière faisant office de serveur de base de données, nécessaire à
vCenter Server, vCloud Director, et vCenter Chargeback Server.
Ces machines ont accès à une banque de données pour le stockage des différents fichiers de
systèmes d’exploitation et de configuration.
Les machines virtuelles sont interconnectées via Distributed Switch auquel sont mappées les cartes
réseau du serveur, et où sont configurés les dvPort Groups connectées aux machines. Différents
pools de ressources réseau y étaient ajoutés, à savoir : Trafic FT, trafic iSCSI, trafic vMotion, trafic
de gestion, trafic vSphere Replication (VR), trafic NFS et trafic de machines virtuelles.
Ensuite, nous avons assisté à la migration d’une machine virtuelle d’un hôte à l’autre avec vMotion,
après configuration de DRS.
Enfin nous avons pu voir les différentes caractéristiques du système de stockage, à savoir l’espace
disponible dans la baie VNX5300, les adaptateurs de stockage, le type de stockage, les
Après avoir abordé tous les aspects Cloud du point de vue fournisseur, il est maintenant temps de se
positionner au niveau du client. Le chapitre suivant traite la partie accès au Cloud suivants deux
volets :
I. Réseau d’accès
Le principe du Cloud Computing repose sur un accès permanent aux ressources, aux plateformes de
programmation ou encore aux applications à distance, de manière sécurisée et confortable. Dans
cette optique, le client aura besoin d’un lien d’accès bien dimensionné et étudié.
La solution Cloud que compte fournir la CBI inclut deux choix :
Fournir l’infrastructure Cloud sans intervenir dans le dimensionnement des liens d’accès des
clients ;
Fournir l’infrastructure Cloud avec une étude, un dimensionnement et un conseil concernant
les liens d’accès des clients faisant appel à son expertise et son expérience dans ce domaine.
Le choix entre ces deux aspects dépendra uniquement du client et de son équipe DSI/Réseau.
Définition : Le réseau d’accès forme la partie qui relie l’équipement terminal de l’utilisateur et le
réseau de l’opérateur. Cette partie est parfois désignée par l’expression « derniers kilomètres du
réseau ». Dans notre cas, c’est le premier tronçon de réseau que doivent parcourir les flux échangés
entre les entreprises clientes de la CBI et leurs centres de données distants, hébergés chez celle-ci.
Dans un premier temps, nous allons exposer tous les types de réseaux d’accès existants, pour
ensuite choisir lequel sera approprié et éligible pour un environnement Cloud.
Multiples moyens permettent de réaliser un réseau d’accès. Le tableau suivant récapitule ces types :
PON est un réseau points à multipoints car plusieurs lignes optiques d’abonnés se rejoignent au
niveau du splitter pour former une seule ligne qui va vers le backbone.
Du point de vue cœur de réseau, le premier équipement réseau d’un PON est l’OLT (Optical Line
Termination), qui procure au backbone des interfaces Ethernet de n x 1Gbps et n x 10 Gbps et des
interfaces PON à l’abonné, ensuite vient le « splitter », qui est une sorte de multi-miroirs qui
dirigent le signal optique vers l’abonné et vers l’OLT, sans courant électrique (d’où vient la
qualification de passif). Et enfin l’ONT (Optical Network Termination) ou l’ONU (Optical Network
Unit), qui reçoivent le signal optique et le convertit en signal électrique et vice-versa. L’ONU est
installé chez l’abonné alors que l’ONT est en dehors de son bâtiment.
Les types de PON utilisés sont EPON (Ethernet-PON), GPON (Gigabit-PON) ou encore GEPON
(Gigabit-Ethernet-PON). Le standard GPON peut procurer au maximum de 2,4Gbps pour une
portée maximale de 10 km.
AON est un réseau Point à Point (P2P), car chaque abonné possède sa propre ligne de fibre optique
qui se termine au niveau d’un concentrateur optique AN (Access Node). L’AN peut être un
commutateur Ethernet ou un Edge Router du backbone. L’OLT peut aussi être remplacé par un
routeur, commutateur Ethernet ou encore un DSLAM (DSL Access Multiplexer).
Malgré les similitudes apparentes entre les deux technologies, il existe des différences qui affectent
les opérations, les coûts et la valeur qu’elles apportent aux clients et aux opérateurs. Puisque les
technologies AON et PON sont répandues, et que la migration de l’une vers l’autre peut s’avérer
très coûteuse, les opérateurs doivent être conscients des différents faits qui les caractérisent.
Les paires cuivrées sont le support physique le plus ancien et encore le plus utilisé en raison de ses
avantages de coût et de souplesse, même si les supports hertziens et en fibre optique se développent
énormément. Les sections qui suivent se penchent sur la boucle locale cuivrée; les accès xDSL et
les lignes louées.
Les accès xDSL :
Les lignes métalliques ont été utilisées pendant des décennies pour le transport de la parole
téléphonique avec une bande passante de 3200 Hz. On les utilise aujourd’hui pour transporter, en
Famille xDSL : Les technologies xDSL sont divisées en deux familles, celles utilisant
une transmission symétrique et celle utilisant une connexion asymétrique.
Solutions symétriques :
Une solution xDSL symétrique a la même vitesse de transfert en download qu'en upload. Ceci est
primordial pour les applications P2P comme la visioconférence ou la VoIP. Les connexions
symétriques sont surtout utilisées pour remplacer les lignes louées trop chères. Il en existe plusieurs
variantes : HDSL (High data rate DSL), HDSL2, SDSL (Symmetric DSL) ou encore SHDSL
(2 paires)
Asymétrique
ADSL 2+ 128 à 24 16 Kb/s à 1 5,4 Km
Mb/s Mb/s
i. Le Wifi :
Wifi (Wireless Fidelity) est un ensemble de protocoles de communication sans fil régis par les
normes du groupe IEEE 802.11 décrivant les caractéristiques d’un réseau local sans fil WLAN. Les
normes Wi-Fi permettent de mettre en place plusieurs configurations de réseaux :
ii. Le WiMax :
WiMAX (Worldwide Interoperability for Microwave Acces) est un standard de communication
sans fil.
Dans le cadre des réseaux d’accès haut débit, nous nous intéressons ici à IEEE 802.16m, qui est le
standard contenant les spécifications pour la mise en œuvre du Gigabit WiMAX concernant les
systèmes d'accès par liaison sans fil fixe et mobile à large bande de fréquences.
IEEE 802.16m doit permettre la transmission de données par liaison sans fil fixe ou nomade
stationnaire jusqu'à un débit de 1Gbps et 100Mbps par liaison sans fil mobile à grande vitesse. Cette
technologie ouvre la voie du haut débit pour la téléphonie sur IP et la connexion Internet.
Certaines contraintes techniques, inhérentes aux technologies radio, limitent cependant les usages
possibles. La portée, les débits, et surtout la nécessité ou non d'être en ligne de vue de l'antenne
émettrice, dépendent de la bande de fréquence utilisée. Dans la bande 10-66GHz, les connexions se
font en ligne de vue (LOS, Line Of Sight), alors que sur la partie 2-11GHz, le NLOS (Non LOS) est
possible notamment grâce à l'utilisation de la modulation OFDM (Orthogonal Frequency
Division Multiplexing), et la technologie MIMO (Multiple-Input Multiple-Output).
Sécurisé, flexible, le WiMAX, peut mettre en place une QoS pour les applications temps réel ou les
flux transactionnels nécessitant une large bande passante.
Ici aussi, on peut réaliser des liaisons point à point entre le local de CBI et celui d’une entreprise
cliente (distant de quelques kilomètres) en utilisant des antennes directionnelles pour créer un pont
entre les deux bâtiments.
Profitant des progrès réalisés, tel le multiplexage optique (DWDM), la solution LASER permet de
créer une liaison sans fil à très haut débit (100Mbps, 1Gbps et jusqu’à 100Gbps) sur des distances
de plusieurs kilomètres. Cette liaison est sécurisée et cryptée, et se compose de deux boîtiers
fonctionnant impérativement en vision directe (LOS) et généralement en transmission
bidirectionnelle, dite Full duplex. Le système optoélectronique travaille avec des longueurs d'onde
(785 ou 850 nm) voisines de celles des fibres optiques (850, 1 310 ou 1 550 nm). Il peut être doublé
pour assurer une sécurisation parfaite des transmissions. Les équipements de communication
peuvent être télé gérés depuis un PC.
Ce type de solution fournit une alternative aux ponts WIFI ou WIMAX, ou à la mise en place de
liaisons filaires (MIC) de par la facilité de sa mise en œuvre et son prix deux fois moins cher.
Enfin, avantage déterminant : le laser optique n'est soumis à aucune autorisation de l'ANRT. En
plus de son entière transparence pour les protocoles réseaux et la gestion supportée de toutes les
configurations. Les constructeurs proposent des produits d'interface correspondant aux standards du
marché (10 à 100Mbps sur paire torsadée ou fibre optique), Token Ring (4 ou 16Mbps), FDDI (sur
paire torsadée ou fibre optique), ATM 155Mbps (sur paire torsadée ou fibre optique), Fibre
Channel, et liaisons à canaux multiples de 2 Mbps. Ces solutions offrent l'interconnexion de réseaux
locaux informatiques, autrement appelée LANtoLAN, et prouvent aussi leur utilité pour relier le
backbone de l'opérateur au destinataire final. Les principaux constructeurs d'équipements de
communication laser présentent des appareils modulaires qui autorisent une évolution en termes de
débit et de nombre de canaux, ce qui rend cette technologie appropriée aux applications
multimédias temps réel, ou celles nécessitant un débit élevé (transfert de fichiers lourds,
établissement d’une session client serveur… etc).
Les distances de liaisons sont d'environ 2 000 m au maximum dans les zones tempérées, 5 000 m et
plus dans les zones sèches. S’il arrive qu’une grue soit placée entre l’émetteur et le récepteur, dans
notre cas le bâtiment de l’entreprise cliente et la CBI, la coupure de liaison peut durer des mois, ce
qui peut causer un arrêt complet des échanges entre les deux entités. C’est pourquoi il faut effectuer
Après avoir traversé le premier tronçon du réseau, les flux échangés entre la CBI et ses clients
traverseront, dans la majorité des cas, un réseau étendu (WAN). Ce réseau doit aussi répondre aux
exigences du Cloud, en assurant une continuité de qualité du support de transmission. Le traitement
de la partie du réseau étendu est effectué dans l’Annexe A.
vCloud Director (vCD) est une solution d’IaaS qui rassemble les ressources vSphere dans le centre
de données et les livre dans un catalogue au client final, à travers un portail Web, tout en masquant
la complexité de l’infrastructure derrière. C’est un outil élastique qui procure une facturation basée
sur la consommation. vCD peut être considéré comme une couche supplémentaire s’ajoutant à la
couche vSphere pour offrir au client des ressources avec transparence, comme l’illustre la figure
suivante :
De bas en haut, les composants vSphere offrent une abstraction des ressources physiques en les
virtualisant, et maintenant vCD offre un autre niveau d’abstraction de ces ressources en les rendant
plus « spécifiques » ou « propres » à chaque client.
Avant d’entrer dans la matière, prenons du recul pour réfléchir à la philosophie de vCD. La notion
même de Cloud Computing s’articule autour du niveau sans précédent de flexibilité qui peut être
offert aux clients, leur permettant d’effectuer des opérations qui étaient disponibles seulement pour
les administrateurs vCenter. Dans cette perspective, nous pouvons considérer vCD comme une
interface (ou proxy) à l’infrastructure virtuelle. Ceci permet aux administrateurs vCenter de donner
Mémoire de fin d’études 2011-2012 Page 102
aux clients beaucoup plus de flexibilité, mais en même temps de garder un contrôle total des
opérations qu’ils peuvent effectuer.
2. Architecture de vCD
VMware vCloud Director Server: aussi appelée cellule, c’est une entité vCD qui est
installée sur une machine RedHat Enterprise Linux. La cellule gère la connectivité à vCD et
offre une API (vCloud API) et une interface web pour l’utilisateur.
Plusieurs cellules peuvent être installées et mises en pool pour procurer l’équilibrage de charge.
N’importe quel équilibreur de charge qui supporte des connexions SSL persistantes à travers une
connectivité à Internet ou aux services réseau internes peut effectuer l’équilibrage de charge entre
cellules vCD. Un équilibreur de charge partage la charge des sessions entre les différentes cellules
du pool, surveille l’état de santé de ces cellules et ajoute/retire des cellules du pool. Ceci offre aux
clients et administrateurs disponibilité et évolutivité.
Les centres de données virtuels (virtual Data Centers) sont des entités logiques qui présentent des
capacités de traitement, de stockage et de mise en réseau disponibles pour les clients. Ces capacités
sont attribuées à l’organisation par l’administrateur système. Une organisation peut posséder
plusieurs vDCs.
Un centre de données virtuel permet aux administrateurs vCenter de :
Définir les options de sécurité d’accès pour l’ensemble de l’architecture (quotas/baux pour
machines virtuelles en marche et/ou stockées, limites d’opérations dévoreuses de ressources
pour prévenir l’affectation des autres utilisateurs d’une organisation et protéger l’ensemble
du vDC d’attaques de déni de service DoS) ;
Augmenter la vitesse de déploiement : possibilité d’ajout de ressources au vDC à la
demande du client ;
Procurer une haute disponibilité aux clients via un réseau IP haute performance.
Accéder à une infrastructure disponible 24/7/365 via un contrat SLA (Service Level
Agreement) ;
Confier les systèmes critiques à des experts qui supervisent bande passante, ressources
matérielles, capacités énergétiques en 24/7/365 afin d’anticiper tout incident ;
Profiter du Cloud Computing et ses différentes solutions SaaS et IaaS.
Catalogues de services d'infrastructure
Les organisations utilisent des catalogues pour stocker des modèles de vApps et des fichiers de
support. Les membres d'une organisation disposant d'un accès à un catalogue peuvent utiliser les
modèles de vApp préconfigurés du catalogue et les fichiers de support afin de créer leurs propres
vApps.
vCloud Director propose deux types de catalogues : les catalogues d'organisation et les catalogues
publics. Les catalogues d'organisation incluent des modèles de vApp et des fichiers de support
partagés avec les autres utilisateurs de l'organisation. Si un administrateur système autorise une
organisation à publier un catalogue, celui-ci devient public.
Les administrateurs peuvent regrouper les clients en entités pouvant être associées à n'importe quel
ensemble de règles. Chaque entité dispose de ressources virtuelles isolées, d'une procédure
d'authentification LDAP indépendante, de contrôles de règles spécifiques et de catalogues exclusifs.
Ces caractéristiques permettent à un environnement multi-locataires abritant plusieurs clients de
partager la même infrastructure matérielle.
Les utilisateurs de vCloud peuvent accéder aux ressources et les gérer à partir de deux outils :
Console Web : les utilisateurs peuvent accéder directement à leurs centres de données et à leurs
catalogues via un navigateur web après authentification.
vCloud API : procure une autre interface de communication avec les ressources vCD, c’est la
pierre angulaire à la fédération et le support de l’écosystème. Tous les outils actuels de la fédération
parlent à l'environnement vCloud par le biais de l'API vCloud. Par exemple, VMware Service
Manager communique avec vCloud Director utilisant l'API vCloud.
Nous allons expliquer le déroulement de la mise en réseau dans vCD en suivant une certaine
approche : commencer par la perspective de l’administrateur vSphere, décrire le fonctionnement de
la mise en réseau à partir de la couche vSphere allant jusqu’au client final et la manière dont il
effectue la mise en réseau de ses machines virtuelles.
Un réseau externe est toujours créé par l’administrateur vCenter (fournisseur Cloud) et procure la
connectivité externe à vCD, autrement dit, c’est la fenêtre des machines virtuelles sur le monde
extérieur. Un réseau externe peut être un réseau de stockage, Internet ou autre. Chaque organisation
dispose de son propre réseau externe auquel elle peut se connecter. Ce type de réseau est créé par le
biais de commutateur standard, distribué ou Nexus1000V.
Pendant la création d’un réseau externe, l’administrateur doit fournir à vCD des paramètres de
configuration niveau 3 : masque sous réseau, passerelle par défaut, adresse DNS et une plage
d’adresses IP. En remplissant ces champs d’information, l’administrateur « enregistre » le réseau
externe dans vCD, pour que celui-ci utilise ces paramètres lorsque les machines virtuelles seront
connectées à ce réseau directement.
L’organisation est une construction logique qui décrit un locataire (client). Le fournisseur crée
l’organisation, lui affecte des ressources et fournit au client l’URL permettant la connexion à vCD
via la console Web. Chaque organisation compte un ou plusieurs administrateurs qui finalisent la
configuration de l'organisation en ajoutant des membres et en définissant des politiques et des
préférences. Une fois l'organisation configurée, les utilisateurs non-administrateurs peuvent se
connecter pour créer, utiliser et gérer des machines virtuelles et des vApps.
Une organisation peut contenir un nombre arbitraire d'utilisateurs et de groupes. Des utilisateurs
peuvent être créés localement par l'administrateur d'organisation ou importés à partir d'un service
d'annuaire, tel que LDAP. Les groupes doivent être importés à partir du service d'annuaire. Les
autorisations au sein d'une organisation sont contrôlées via l'affectation de droits et de rôles à des
utilisateurs et des groupes.
Un réseau d'organisation se trouve dans une organisation vCD et il est disponible pour l'ensemble
des vApps dans l'organisation. Un réseau d'organisation permet aux vApps au sein d'une
organisation de communiquer entre eux. Seuls les administrateurs système peuvent créer des
Mémoire de fin d’études 2011-2012 Page 106
réseaux d'organisation, mais les administrateurs d'organisation peuvent gérer des réseaux
d'organisation, y compris les services réseau qu'ils fournissent. Ce type de réseau est créé par le
biais de commutateur standard, distribué ou Nexus1000V.
Exemple d’utilisation : les vApps ayant besoin de se connecter aux services réseau (Stockage SAN)
à travers un réseau externe sécurisé peuvent se connecter directement au réseau externe.
Exemple d’utilisation : les vApps ayant besoin de se connecter à un réseau externe non sécurisé
(Internet).
Un vApp est constitué d’une ou plusieurs appliances virtuelles, qui sont des machines virtuelles
contenant des applications tournant sur des systèmes d’exploitation. Exemple de vApp : pour
Un réseau vApp réside dans un vApp et permet aux machines virtuelles contenues dans le vApp de
communiquer entre elles. Il est créé par le client et peut être connecté à un réseau d'organisation
pour autoriser les vApp à communiquer entre eux dans l'organisation, ou en dehors de celle-ci, si le
réseau d'organisation est connecté à un réseau externe. Ce type de réseau est créé par le biais de
commutateur standard, distribué ou Nexus1000V.
Connectivité directe : les machines virtuelles connectées au réseau vApp sont directement
connectées au réseau d’organisation. Du point de vue vSphere, les machines virtuelles se
connectent au groupe de port du réseau d’organisation.
Exemple d’utilisation : des machines virtuelles appartenant à des vApps différents, ayant besoin de
communiquer entre elles avec les mêmes exigences de sécurité.
Exemple d’utilisation : les machines virtuelles appartenant à des vApps différents, ayant besoin de
communiquer mais avec des exigences de sécurité différentes (machines virtuelles de DMZ avec
des machines virtuelles de production).
Exemple d’utilisation : les machines virtuelles dans un même vApp n’ayant besoin de communiquer
entre elles qu’en interne pour le déploiement d’une application n-niveaux en toute sécurité.
La figure suivante récapitule les configurations possibles des différents types de réseaux vCloud :
i. Pools réseau basés sur VLAN : l’administrateur vCenter crée un pool réseau, lui fournit une
plage de VLAN IDs, et doit mettre en place des trunks VLANs sur tous les hôtes ESXi et les
switchs physiques externes. A chaque fois que vCD a besoin d’un pool réseau, vCenter crée
un groupe de port à la volée et lui associe un VLAN ID disponible, et si un réseau est détruit,
son VLAN ID redevient disponible pour réutilisation. L’isolation entre différents pools réseau
se fait suivant la norme IEEE 802.1Q avec format standard de trame. Ce type de pool réseau
peut être utile dans le cas où il n’y a pas besoin d’un grand nombre de VLANs ou de services
VPN/MPLS.
Avantages
Ce type de pool réseau procure les réseaux isolés les plus sécurisés ;
Pas besoin d’intervention manuelle puisque les groupes de port sont créés à la volée ;
Inconvénients
ii. Pools réseau basés sur groupes de port : l’administrateur vCenter crée des groupes de ports
pré-provisionnés, importés dans vCD. A chaque fois que vCD a besoin d’un pool réseau, il n’a
qu’à en saisir un depuis la liste disponible. L’isolation entre différents pools réseau se fait
suivant la norme IEEE 802.1Q avec format standard de trame. Ce type de pool réseau peut être
utilisé dans le cas où il n’y a pas besoin pour les réseaux routés (la sécurisation des réseaux
vApp ou d’organisation n’est pas très critique), le nombre de VLANs disponible est limité ou
la gestion de VLAN est problématique.
Avantages
Inconvénients
Tous les groupes de port doivent être créés manuellement ou a travers orchestration avant
d’être mappés au pool réseau.
iii. Pools réseau basés sur l’isolation réseau vCD : dans ce cas, l’isolation entre les segments
réseau de niveau 2 se fait suivant la technique Mac-in-Mac. Cette technique repose sur l’ajout
de 24 octets à trame Ethernet pour l’encapsuler, ce qui augmente la taille de la trame à 1524
octets. L’encapsulation contient l’adresse MAC source et destination des hôtes ESXi et celui-
ci se charge de la décapsulation de la trame pour acheminer le trafic correctement. Lors de la
création de ce type de pool réseau, l’administrateur doit fournir le nombre de segments qui
doivent exister et c’est fini. A chaque fois que vCD a besoin d’un pool réseau, vCenter crée un
groupe de port à la volée et l’associe à l’un des pools réseau disponible avec un NI-ID.
Avantages
Pas besoin de VLAN Tagging pour l’isolation, seulement le nombre de réseaux dont le
client a besoin est suffisant ;
Pas besoin d’intervention manuelle puisque les P_G sont créés à la volée, tant que les NI-
IDs sont encore disponibles.
Inconvénients
Cette solution n’offre pas le même niveau de sécurité que les VLANs, c’est pourquoi il y a
besoin d’un « VLAN de transport » isolé ;
VMware vCenter Orchestrator est une partie de la plateforme vCenter qui crée une
orchestration technique permettant aux utilisateurs d’automatiser les tâches répétitives en
créant des flux de travail, permettant ainsi une vaste intégration avec des composants
vCloud tiers.
VMware Service Manager est une plateforme ITIL configurable qui dispose d’un « service
desk », d’une configuration et gestion de changement automatisées et de la gestion d’actifs
IT.
vCenter Orchestrator
vCenter Orchestrator (vCO) est un système de rassemblement des flux de travail opérationnels. Le
bénéfice principal de vCO est la possibilité de coordination de plusieurs systèmes pour
l’accomplissement d’une opération composite qui aurait autrement demandé plusieurs opérations
individuelles sur différents systèmes. En général, si une opération utilise un seul système sous-
jacent, vCD permet de fournir un accès direct à ce système pour une grande efficacité et une
réduction de la complexité. Dans un environnement vCloud, vCO permet d'automatiser des tâches
très répétitives afin d'éviter le travail manuel et les erreurs potentielles.
vCO possède un plug-in framework et des plug-ins disponibles pour vCenter Server, vCloud
Director et vCenter Chargeback. Ceci permet à vCO d’orchestrer des flux de travail au niveau des
APIs Chargeback et vCloud.
Exemple : un fournisseur souhaite ajouter un nouveau client. Les étapes essentielles sont l’ajout
d’une organisation, des utilisateurs (possibilité de le faire à partir de LDAP), réseaux, centres de
données virtuels et catalogues. Le fournisseur pourrait aussi souhaiter programmer un rapport
Chargeback récurrent pour facturation et envoyer un email de notification au nouveau locataire
l’informant que son environnement vCloud est prêt.
Un autre exemple : quand un client demande une capacité additionnelle du réseau externe. Le
fournisseur voudra créer une automatisation de la création du réseau, qui comprend la
génération d’un nom, l’identification, allocation d’un VLAN et d’une plage d’adresse IP, la
configuration du commutateur réseau et du pare-feu du périmètre vCloud, création d’un réseau
externe au niveau de vCenter et enfin allocation du réseau externe à l’organisation du locataire.
Exemple : les cas où un administrateur d’organisation veut gérer des mises à jour récurrentes
d’un progiciel ou d’un élément de configuration, à travers multiples machines virtuelles en
effectuant une seule opération. Un flux de travail peut admettre une liste de systèmes en tant que
paramètres, une source pour le logiciel ou la configuration, puis effectuer la mise à jour sur
chaque système.
Opérations d’organisation effectuées par les clients : ce sont des tâches que l’administrateur
d’organisation désire décharger en tant qu’opération self-service. L’exécution de l’opération
en tant que flux de travail vCenter Orchetsrator procure une manière facile d’exposer
l’opération à l’utilisateur via le portail intégré ou un portail personnalisé s’appuyant sur
l’API des services web. Plusieurs opérations dans cette catégorie peuvent être satisfaites
directement via la console web vCloud Director. Cependant, quelques opérations affectent
des systèmes multiples et peuvent être mieux adaptées au portail client (vCenter
Orchestrator Client). Les clients vCloud ne possèdent pas de visibilité concernant les
composants d’orchestration, d’où vient la difficulté ; le fournisseur vCloud doit initier le
Exemples : reconfiguration des mots de passe de comptes utilisateur sur machines virtuelles,
mise en place de services d’équilibrage de charge en mode maintenance (arrêter le service, le
retirer du pool d’équilibrage de charge, désactiver les moniteurs), chargement de certificats dans
des machines virtuelles et déploiement d’instances d’applications personnalisées à partir d’un
catalogue d’organisation.
Ayant abordé les différents outils permettant aussi bien aux administrateurs du Cloud que les
clients d’interagir et de manipuler les différentes composantes du Cloud, il est temps de faire un
inventaire des équipements nécessaires à l’établissement de cette solution, et d’en proposer une
architecture globale.
i. Serveur Chargeback
Le serveur Chargeback est un serveur Apache Tomcat physique ou virtuel et possède les
spécifications recommandées suivantes :
Les serveurs Chargeback peuvent être mis en cluster (jusqu’à trois serveurs) pour une meilleure
performance et disponibilité pour l’interface utilisateur. Une configuration en cluster s’appuie sur
l’équilibreur de charge Apache, livré avec le logiciel Chargeback.
L’équilibrage de charge est actif-actif. Chaque requête que l’utilisateur envoie, à partir de
l’interface ou de l’API, est routée à travers l’équilibreur de charge, celui-ci l’expédie à une instance
Chargeback en se basant sur le nombre de requêtes
servies par chacune des instances à ce moment là.
La charge du reporting est aussi équilibrée en
s’appuyant sur l’ordonnanceur Quartz interne.
Chargeback Data Collector : se connecte à vCenter Server pour recueillir des mesures de
machines virtuelles, ajoute tous les vCenter Servers importés dans vCloud Director à
Chargeback pour voir des détails au niveau des machines virtuelles. Les machines virtuelles
sont absentes dans les hiérarchies vCloud jusqu’à ce que leurs vCenter Servers respectifs
soient enregistrés dans vCenter Chargeback.
vCloud Data Collector : se connecte à la base de données vCloud Director et surveille tous
les évènements de vCD relatifs à Chargeback. Il peuple la base de données Chargeback avec
des informations d’hiérarchies vCloud et d’unité d’allocation.
vShield Manager Data Collector : se connecte aux vShield Managers associés à vCloud
pour collecter des statistiques de réseau inclus dans l’hiérarchie vCloud.
2. Calcul du coût
i. Modèles de coût
L’installation des collecteurs de données vShield Manager et vCloud crée par défaut des modèles de
coût et des politiques de facturation qui s’intègrent avec vShield Manager et vCloud Director. Les
politiques de facturation contrôlent les coûts évalués à partir des ressources utilisées. Les politiques
de facturation par défaut de vCloud sont établies sur la base d’allocation de vCPU, mémoire et
stockage. Les intervalles de temps vont de l’heure à l’année.
Les facteurs de taux (Rate factors) permettent l’évolution des coûts de base pour une entité
spécifique. Par exemple :
o Taux promotionnel : un fournisseur de service offre à un client une remise de 10%. Au lieu
de modifier le taux de base dans le modèle de coût, il applique un facteur de taux de 0.9
pour réduire les coûts de base du client de 10%.
o Taux spécifique à une configuration unique : un fournisseur de service décide de facturer
les clients pour des configurations d’infrastructure spéciale en utilisant des facteurs de taux
pour faire évoluer les coûts.
ii. Reporting
Chargeback peut générer des rapports de coût, d’utilisation et de comparaison pour les hiérarchies
et les entités. Une correspondance entre l’entité ou l’hiérarchie et le modèle de coût approprié doit
être effectuée lors de la génération de rapports.
Chargeback API permet de d’exporter les rapports en format XML. Les développeurs peuvent
utiliser XSLT pour transformer le XML brut dans un format pris en charge par le système de
facturation du client. Les rapports exécutés dans l'interface utilisateur Chargeback sont disponibles
en format PDF et XLS. La création des comptes de services en lecture seule doit avoir lieu pour
exécuter des rapports dans l'interface d’utilisateur ou Chargeback API.
vCloud Connector
i. Architecture
vCloud Connector (vCC) est une appliance virtuelle livrée en tant que plug-in vSphere permettant
aux utilisateurs de se connecter à des instances vCloud basées sur vCloud Directory ou vSphere et
de les gérer à partir d’une seule interface. Via un seul panneau vCloud Connector, les utilisateurs
peuvent voir, copier et manœuvrer des charges de travail à travers des centres de données internes
et des instances vCloud publiques ou privées. VCloud Connector est installé par l’administrateur
vCloud mais peut être accessible par des clients aussi bien que l’administrateur pour voir et gérer
les charges de travail.
vCloud Connector Server qui permet de gérer et de contrôler le vCC, il est ainsi connecté
à plusieurs nœuds et au portail.
vCloud Connector Node qui est hébergé dans différents Clouds et connecté au vSphere
pour faire le test, les différentes migrations se font à ce niveau.
Pour ce qui est de la sécurité, le vCloud server Connector et le vCloud Connector Node
communiquent via le protocole SSL.
L’accès à vCC se fait uniquement à travers vSphere Client. C’est pour ceci que vCC doit
être déployé dans vCenter Server accessible par ce Client en ayant à l’esprit l’attribution
appropriée des rôles vCenter aux utilisateurs de vCC.
Les opérations de transfert de charges de travail utilisent vCC comme intermédiaire, donc
une évaluation de la bande passante et la latence du réseau entre les instances vCloud doit
être effectuée. Dans certains cas d’utilisation, il peut être préférable d’utiliser plusieurs
instances de vCC à travers plusieurs serveurs vCenter pour éviter des malaises de
manipulation.
vSphere<--> vCloud
vSphere<--> vSphere
vCloud<--> vCloud
1. Clustering
Le Clustering est une technique efficace pour assurer une disponibilité élevée. Elle est encore plus
efficace, plus souple et plus rentable lorsqu'il est combiné avec la technologie de virtualisation.
Les clusters virtuels regroupent des machines virtuelles installés sur des serveurs distribués sur un
ou plusieurs clusters physiques. Ces différentes machines virtuelles sont interconnectées
logiquement par un réseau virtuel à travers plusieurs réseaux physiques.
Pour déployer une infrastructure Cloud, un cluster virtuel vCloud (vCloud Management Cluster)
est indispensable. Néanmoins, les machines virtuelles qui le constituent doivent être placées sur un
serveur physique dédié.
Le tableau ci-dessous représente les pré-requis pour les composants du vCloud Management
Cluster :
Il est à noter que vCloud Management Cluster doit contenir au minimum deux cellules vCloud
Director, c'est-à-dire deux vCloud Director Server.
Le défi est donc de trouver un cluster dont les spécifications répondent aux pré-requis cités
précédemment.
C’est un serveur lames contenant au total 8 serveurs UCS B200-M2, dont chaque 4 serveurs sont
reliés à un Cisco UCS 2104 XP Fabric Interconnect.
Les deux UCS 2104XP Fabric Extenders sont intégrés dans chacun des châssis pour amener la
connectivité réseau aux lames.
RAM 48 Go
CPU 2/6 core chacun
Disque dur 2 (164/164) Go
Ports virtuels 256
Tableau 6: Caractéristiques techniques d’une lame UCS B200M3
Chaque lame dans le châssis possède 48 Go de RAM, valeur supérieure à 36 Go du total des
recommandations pour les composants du vCloud Management Cluster.
En outre, la lame possède 2 CPU, chacun avec 6coeurs, ce qui permet de calculer le nombre de
vCPU disponibles, qui est de : 2*6=12 vCPU/ lame, et si on active l’Hyperthreading qui permet de
doubler le nombre de vCPU, on aura au final 2*12= 24 vCPU/ lame > 13 vCPU/ lame.
On conclut donc que le serveur UCS B200 M3, répond aux exigences des composants de vCloud
Management Cluster concernant la mémoire et le nombre de processeur.
Ports 20
Nombre de serveurs supportés 160
Tableau 7: Caractéristiques techniques d’un UCS 2104XP Fabric Extender
Les lames sont équipées de cartes CNA de type UCS M71KR-Q. Ces dernières offrent une
connectivité 10Gbits vers chacun des Fabric Extenders présents dans le châssis. La carte CNA
permet d’interconnecter les lames avec les environnements Ethernet et Fibre Channel. Nous
remarquons alors que pour le networking, le seuil 4GigE est largement dépassé.
Ces « Fabric Interconnects » sont des commutateurs avec des caractéristiques « sans perte », une
très faible latence et une connectivité unifiée 10Gb DCB/FCoE sur l’ensemble du cluster.
Ces deux Fabric Interconnects permettent non-seulement d’avoir une isolation physique entre les
réseaux publics et privés dans le cluster (avec l’utilisation de VLANs privés), mais aussi de gérer
les deux types de réseaux dans le cas peu probable d’une panne.
Ports 20
Nombre de serveurs supportés 160
Tableau 8: Caractéristiques techniques d’un UCS6120 Fabric Interconnect
Caractéristiques techniques :
nombre de ports 48
Consommation électrique 400 Watts
Taux de transfert de
100 Mbit/s
données
Duplex intégral Oui
Protocole de commutation Ethernet
Mémoire interne 64 Mo
Tableau 9: Catalyst 4000G Series Switch
VNX a une plate-forme robuste de consolidation du stockage par blocs, du stockage d’applications
à connexion directe et des serveurs de fichiers. La gamme EMC VNX 5300 contient 4 disques.
(Pour plus de détails, voir Annexe C).
Caractéristiques techniques
En effet, on dispose de 4 blocs, dont chacun contient 360 To d’espace de stockage, ce qui satisfait
pleinement aux caractéristiques de stockage des composants vCloud et aux besoins imminents en
stockage des premiers clients.
Catalyst 4000G
Series Switch
La figure ci-dessus illustre l’architecture globale du Cloud. Nous allons la détailler allant du
fournisseur vers le client :
Application de la QFD
Notre travail consistait donc à élaborer les pièces de cette maison qui sont comme suit :
Pièce 1 :
Nous avons énuméré les besoins et les exigences de l'entreprise cliente.
Ci-dessous les exigences de l’entreprise cliente que nous avons pu déterminer grâce à une enquête
faite sur 110 décideurs ouverts au Cloud Computing.
Maitrise des enjeux sécuritaires: Les plus importants portent sur le contrôle des accès et la gestion
des identités. Il s'agit de mettre en place des contrôles précis afin de filtrer efficacement les
utilisateurs autorisés à utiliser les applications de l'entreprise portées dans le cloud.
Abordabilité au niveau du prix: Le Cloud Computing repose sur un mode de paiement à la carte :
l'entreprise paie uniquement les ressources informatiques qu'elle consomme ce qui revient à un coût
mensuel optimisé et plus faible.
Mise en place de normes: Plusieurs normes sont déjà très utilisées dans le monde du Cloud
Computing. Les normes ISO 27001, SAS 70, SOX, ISO 20000 sont les principales. Elles permettent
avant tout de certifier une organisation sur un périmètre bien précis et de cette manière garantir aux
clients la conformité de l’entreprise par rapport aux normes.
De plus, les normes sont un tremplin et une guise de qualité pour certaines entreprises puisqu’elles
permettent d’être reconnues internationalement et de pouvoir mettre en avant des services validés
par une organisation tierce.
Gestion des risques juridiques: Sur le plan juridique, on se rapproche du cas dans lequel une
entreprise déciderait d’externaliser tout ou une partie de son système d’information. Une démarche
prudente consiste à bien appréhender les risques et à prendre les mesures nécessaires pour garantir
la continuité du service, la sécurité des données, la qualité du service, et la réversibilité.
Délais d’approvisionnement : Il s’agit dans le cas classique du délai que prend une entreprise afin
de s'approvisionner auprès du fournisseurs/revendeurs de matériel informatique ou des intégrateurs
de services. Ce délai varie de trois à quatre semaines.
Dans le cas virtuel: un serveur est créé en moins d’une heure et le fournisseur y installe ce dont le
client a besoin. Ce serveur devient opérationnel à partir du moment de la création.
Qualité de service : C’est l’aptitude d'un service à répondre adéquatement à des exigences,
explicites ou implicites, qui visent à satisfaire ses usagers. Ces exigences peuvent être liées à
plusieurs aspects d'un service : son accessibilité, sa continuité, sa disponibilité, ou sa fiabilité.
Pièce 2 :
Nous avons octroyé à chacune de ces exigences un poids révélant son importance :
Ces degrés d’importance ont été attribués suite à la lecture de nombreux articles et livres discutant
de la vision du client vis-à-vis le Cloud Computing.
Importance
3
3
1
2
1
1
2
1
3
3
Tableau 11: Pièce 2 de la QFD
3 2 3
2 3
3 1
1 3
1
3
3
1 3
3
2 3
Tableau 13: Pièce 4 de la QFD
Pièce 5 :
Nous avons calculé par la suite le poids (algébrique) de chaque spécification technique, en
multipliant la relation (pièce 3) par l'importance (pièce 1) de chaque exigence. Le facteur
d’importance désigne la somme retenue pour chaque spécification.
En conclusion, nous remarquons que la sécurité de l’information, la disponibilité ainsi que le temps
de réponse restent les éléments les plus sollicités par les entreprises clientes. Du coup, une attention
particulière doit être prêtée, dans le marketing de la solution Cloud, à ces deux aspects.
Un éléments et pas des moindres permet de mieux positionner le Cloud Computing, comme étant un
modèle à attitude écologiquement responsable, bénéfique à plus d’un sens.
La multiplication des serveurs et des données stockées quotidiennement mettent les serveurs en
challenge. La moindre donnée implique un espace de stockage supplémentaire et donc une ample
utilisation énergétique pour l’écriture, l’enregistrement, la gestion et le refroidissement.
Pour toute entreprise responsable, le Cloud permet selon plusieurs analystes l’optimisation
opérationnelle et énergétique. Choses qui impactent positivement les émissions à effet de serre.
C’est ainsi que, et depuis moins de 5ans, les professionnels du secteur IT ont commencé à penser
Green IT.
Le Cloud Computing peut générer d’importantes économies d’énergie et de gaz à effet de serre
(GES) partout dans le monde. Il n’est plus à prouver que les différentes offres et services
disponibles suivant le modèle Cloud permettent d’économiser les coûts, d’améliorer l’efficacité et
d’augmenter la flexibilité du business process tout en réduisant les émissions de carbones liées aux
activités informatiques.
Prenant l’exemple des Etats-Unis, les entreprises passant au 100% Cloud pourraient économiser à
hauteur de 12.3 milliards de dollars, l’équivalent de 9 milliards d’euros et réduire de manière
considérable leurs émissions de CO2.
D’après le Carbon Disclosure Project, organisation à but non lucratif de laquelle émane nombre de
rapport sur la responsabilité environnementale des entreprises, cette diminution des dépenses
correspond à l’équivalent de 200 millions de barils de pétrole, soit l’alimentation en essence de 6
millions de véhicules par an!
Son double impact tant sur l’efficacité et la performance des entreprises ainsi que sur
l’environnement, font du Cloud Computing la priorité n°1 en matière d’investissements IT, d’après
Gartner, et deviendra très certainement une part importante de la démarche RSE des entreprises,
PME comme multinationales. Si ces entreprises ne l’ont pas encore adopté, aux vues de la demande
énergétique croissante, des préoccupations environnementales, ne tarderont pas à passer à l’acte.
Cette infographie fournit quelques explications sur les mécanismes par lesquels le Cloud
Computing participe à l’écologie et au développement durable.
Si le caractère « green » du Cloud Computing n’est pas le premier facteur de succès de ce marché, il
n’en demeure pas moins intéressant de savoir qu’en adoptant ces technologies, chacun participe à la
[lente] évolution des usages vers des modes de consommation plus écologiques.
Bien que le Cloud Computing n’ait pas été pensé dans un but écologique - il est avant tout là pour
favoriser une réduction des coûts -, ce nouveau modèle de services a déjà fait ses preuves en matière
d’écologie, et c’est le partage des ressources qui est à l’origine de son image éco-friendly. En effet,
en évitant d’utiliser des serveurs qui leur seraient propres, les entreprises peuvent réduire leurs
dépenses en énergie électrique et ainsi contribuer la réduction de consommation énergétique
globale. Le Cloud Computing semble donc limiter l’impact écologique des entreprises, qualifiées
alors de « citoyennes ».
Pour conclure, nous pouvons dire que nous avons pu répondre aux exigences citées dans le cahier
des charges sur lequel on s’est mis d’accord avec les encadrants externes, et ce dans les délais
souhaités. En effet, nous avons opté, en concordance avec les objectifs de l’entreprise d’incubation
(CBI), pour une étude ayant pour objet le Cloud Computing. Cela nous a amené à considérer des
aspects purement théoriques comme d’autres spécifiquement pratiques.
Pendant cette période de stage, nous avons démarré notre travail par des recherches poussées sur un
domaine qui n’est qu’à ses débuts en opérant une étude théorique sur le Cloud Computing. De fil en
aiguille, et d’articles à rapports, nous avons pu nous forger une idée sérieuse sur les différentes
offres qui existent sur le marché grâce à un benchmark des solutions de Cloud Computing.
Ceci étant fait, il a fallu à un certain moment voir comment concordaient nos recherches avec les
réalités de l’entreprise d’incubation et de son écosystème. Nous avons ainsi, en collaboration avec
nos encadrants d’entreprise, pu déterminer un bilan de l’existant dénommé « étude de l’existant ».
Suite à quoi, nous avons pu tracer une cartographie et faire le lien avec l’offre du marché et l’offre
de la CBI qui sont corrélées positivement. L’étude du modèle de service Cloud choisi nous a permis
d’approfondir nos connaissances comme de délimiter le champ de notre search desk.
Une fois le choix arrêté, nous avons démarré le traitement de la partie stockage vu la sensibilité que
cela comporte pour tout organisme optant pour le Cloud Computing. Une deuxième question non
négligée a fait surface et est relative à la maitrise des enjeux sécuritaires. Ce deuxième aspect est
l’un des plus sensibles vu qu’un malentendu de sécurité peut mettre en péril la totalité de
l’innovation comprise dans ce nouveau mode de gouvernance de l’information.
Ces deux aspects étant bien cernés, nous avons enchaîné avec la discussion dans la partie réseau des
différents types de liens pour lier les clients au système Cloud. Autant l’approche est nouvelle,
autant les recommandations sont différentes selon les applications. Mais ce challenge ne nous a pas
privées de l’installation des modules de virtualisation sur des serveurs, dans le total respect des
normes de sécurité et de confiance numérique de la CBI.
Ces différents aspects cités ci-haut nous ont permis de tracer une architecture complète de
l’infrastructure du Cloud Computing.
MPLS (Multi Protocol Label Switching) est un mécanisme proposé par l’IETF (Internet
Engineering Task Force) dans la RFC 3031. L’idée de l’IETF a été de proposer une norme
commune pour transporter des paquets IP sur des sous-réseaux travaillant en mode commuté. Les
nœuds sont des routeurs-commutateurs capables de remonter soit au niveau IP pour effectuer un
routage, soit au niveau trame pour effectuer une commutation.
Comme son acronyme l'indique, ses caractéristiques sont :
multiprotocol (multi-protocoles) : il est capable de supporter les différents protocoles de
niveau inférieur, au sens OSI (PPP, ATM, Ethernet, Frame Relay...).
label switching (commutation par étiquettes) : il se base sur une étiquette (en anglais : label)
pour la commutation des paquets.
1. La commutation de niveau trame
L’objectif d’une commutation de niveau trame est d’améliorer les performances de la commutation
de niveau paquet, en diminuant le nombre de niveaux de l’architecture à traverser à chaque nœud du
réseau de transport. En plaçant la commutation au niveau trame de l’architecture, la trame ne doit
pas obligatoirement être décapsulée pour retrouver le paquet.
En effet, dans les réseaux IP traditionnels, le routage des paquets s'effectue en fonction de l'adresse
de destination contenue dans l'entête de niveau 3. Chaque routeur attend de recevoir correctement
une trame, avec des retransmissions potentielles, et pour déterminer le prochain saut (next-hop),
décapsule la trame, consulte sa table de routage et détermine l'interface de sortie vers laquelle
envoyer le paquet. Le mécanisme de recherche dans la table de routage est consommateur de temps
CPU, et avec la croissance de la taille des réseaux ces dernières années, les tables de routage des
routeurs ont constamment augmenté. Il était donc nécessaire de trouver une méthode plus efficace
pour le routage des paquets.
2. Objectifs et missions de MPLS :
Le but de MPLS était à l'origine de donner aux routeurs IP une plus grande puissance de
commutation, en basant la décision de routage sur une information de label (ou tag) inséré entre les
entêtes de niveau 2 (couche liaison de données) et de niveau 3 (couche réseau), d’où sa qualification
de protocole de couche 2,5. La transmission des paquets est ainsi réalisée en commutant les paquets
en fonction du label, sans avoir à consulter l'entête de niveau 3 et la table de routage.
Toutefois, avec le développement de techniques de commutation comme CEF (Cisco Express
Forwarding) et la mise au point de nouveaux ASIC (Application Specific Integrated Circuits), les
routeurs IP ont vu leurs performances améliorées sans le recours à MPLS. Depuis, l'aspect
"fonctionnalité" a largement pris le dessus sur l'aspect "performance", avec notamment les
motivations suivantes :
La transmission des données s’effectue sur des chemins nommés LSPs (Label Switched Paths). Un
LSP est une suite de références partant du nœud à l’entrée du nuage MPLS, et allant jusqu’au nœud
de sortie du nuage.
A la frontière d’un domaine MPLS, le paquet IP est pris en charge par un routeur (LER-Label Edge
Router) à qui il ajoute (en entrée) ou retire (en sortie) un label. Les paquets sont ensuite commutés
par des routeurs MPLS (LSR-Label Switch Router) qui ont la possibilité de modifier les labels.
Fonctionnement de MPLS
Emplacement du label
Un label a une signification locale entre 2 LSRs adjacents et mappe le flux de trafic entre le LSR
amont et la LSR aval. A chaque bond le long du LSP, un label est utilisé pour chercher les
informations de routage (next hop, lien de sortie, encapsulation, queueing et scheduling) et les
actions à réaliser sur le label : insérer, changer ou retirer. La figure ci dessous, décrit la mise en
œuvre des labels dans les différentes technologies ATM, Frame Relay, PPP, Ethernet et HDLC.
Pour les réseaux Ethernet, un champ appelé shim a été introduit entre la couche 2 et la couche 3.
Sur 32 bits, il a une signification d'identificateur local d'une FEC. 20 bits contiennent le label, un
champ de 3 bits appelé Classe of Service (CoS) sert actuellement pour la QoS, un bit S pour
indiquer s'il y a empilement de labels et un dernier champ, le TTL sur 8 bits (même signification
que pour IP). L'empilement des labels permet en particulier d'associer plusieurs contrats de service à
un flux au cours de sa traversée du réseau MPLS.
Dans MPLS, le routage s’effectue par l’intermédiaire de classes d’équivalence, appelées FEC. Une
FEC représente un flot ou un ensemble de flots ayant les mêmes propriétés.
Toutes les trames d’une FEC sont traitées de la même manière dans les nœuds du réseau MPLS. Les
trames sont introduites dans une FEC au nœud d’entrée et ne peuvent plus être distinguées des
autres flots à l’intérieur de la classe.
Une FEC peut être bâtie de différentes façons. Elle peut avoir une adresse de destination bien
déterminée, un même préfixe d’adresse IP, une même classe de service, etc. Chaque LSR possède
une table de commutation qui indique les références associées aux FEC. Toutes les trames d’une
même FEC sont transmises sur la même interface de sortie. Cette table de commutation, constituée
par LDP, est appelée LIB (Label Information Base).
Une fois le paquet classifié dans une FEC, une référence est assignée à la trame qui va le
transporter.
Dans le cas des trames classiques, comme LAP-F du relais de trames ou ATM, la référence est
positionnée dans le DLCI ou dans le VPI/VCI.
La signalisation nécessaire pour déposer la valeur des références le long du chemin déterminé pour
une FEC peut être gérée soit à chaque flot (data driven), soit par un environnement de contrôle
indépendant des flots utilisateur (control driven). Cette dernière solution est préférable dans le cas
de grands réseaux du fait de ses capacités de passage à l’échelle.
Mémoire de fin d’études 2011-2012 Page 140
4. Architecture MPLS :
Architecture MPLS
MPLS normalise plusieurs méthodes pour réaliser la distribution des références. La distribution
indique que chaque nœud possède ses propres références et qu’il doit les mettre en correspondance
avec les références de ses voisins.
Deux sortes de protocoles sont utilisées à cette fin : un protocole de routage et un autre de
signalisation.
Protocoles de routage :
Le protocole de routage dissémine les informations relatives à la topologie du réseau pour que la
route d’un LSP puisse être calculée automatiquement. L’IGP utilisé normalement est OSPF ou IS-
IS, quand le nuage MPLS appartient au même AS.
Cependant, ces protocoles de routage ne font que distribuer les informations de topologie du réseau.
Quand on a besoin d’effectuer de l’ingénierie de trafic pour l’établissement de LSPs avec des
caractéristiques de QoS garanties, des extensions de ces protocoles sont utilisés. On retrouve le
OSPF-TE ainsi que le IS-IS-TE.
Protocoles de signalisation :
Le protocole de signalisation informe les commutateurs au long de la route des labels et liens à
utiliser pour chaque LSP. Cette information est utilisée pour programmer la matrice de
commutation.
Dans MPLS et selon l’application, l’un des trois protocoles suivants est utilisé :
LDP (Label Distribution Protocol) quand l’ingénierie de trafic n’est pas requise ;
RSVP-TE ou CR-LDP quand l’ingénierie de trafic est requise ;
MP-BGP (MPLS Border Gateway Protocol) et ses deux variantes : MP-eBGP et MP-iBGP
dans le cas des VPN/MPLS.
Attribut Description
Bande passante Besoins minimaux de bande passante à réserver sur le chemin du LSP
Attribut de Indique si le chemin du LSP doit être spécifié manuellement ou dynamiquement
chemin par l’algorithme CR (Constraint-Based Routing)
Priorité de Le LSP le plus prioritaire se voit allouer une ressource demandée par plusieurs
démarrage LSP.
Priorité de Indique si une ressource d’un LSP peut lui être retirée pour être attribuée à un
préemption autre LSP plus prioritaire.
Affinité ou Exprime des spécifications administratives.
couleur
Adaptabilité Indique si le chemin d’un LSP doit être modifié pour avoir un chemin optimal.
Flexibilité Indique si le LSP doit être re-routé en cas de panne sur le chemin du LSP.
Attributs des chemins LSP dans un réseau MPLS
Définition : La qualité de service (QoS) est la capacité d’un réseau à véhiculer dans de bonnes
conditions un type de trafic donné, en termes de disponibilité, débit, délais de transmission, gigue,
taux de perte de paquets… Elle permet de garantir de bonnes performances aux applications
critiques pour l'organisation et d’offrir aux utilisateurs des débits et des temps de réponse
différenciés par applications suivant les protocoles mis en œuvre au niveau de la structure.
Integrated Services (IntServ) : suppose que pour chaque flux demandant de la QoS, les
ressources nécessaires sont réservées à chaque bond entre l'émetteur et le récepteur, via
RSVP. Intserv garantit donc de la QoS de bout en bout, mais ne convient que pour des
réseaux de taille petite/moyenne puisque le montant des informations d'état qui doivent être
stockées et traitées pour chaque flux de l’application deviendrait ingérable pour les grands
réseaux / backbones, et pour cette raison, est plutôt destiné à être implémenté à l'accès. Ce
chapitre traitant du WAN, le mode de fonctionnement du mode Intserv ne sera pas détaillé
dans ce qui suit.
Une solution plus évolutive a été proposée pour combler les limitations du mode Intserv,
elle est connue sous le nom de Diffserv.
Differential Services (DiffServ) : est davantage destiné à être appliqué en cœur de réseau
opérateur. Les différents flux, classifiés selon des règles prédéfinies, sont agrégés selon un
nombre limité de classes de services, ce qui permet de minimiser la signalisation.
DiffServ utilse les 6 premiers bits du champ TOS de l'entête IP afin de classifier le trafic
dans des classes ou contrats au niveau de l'Ingress-LSR. Ce champ s'appellera DS-Field
dans DiffServ (Voir figures ci-dessus). Au niveau des LSRs, DiffServ définit des PHBs (Per
Hop Behaviors) afin de construire ces LSPs. Ainsi au niveau des Edge LSRs, DiffServ
utilise le champ DS-Field, et à l'intérieur du corps MPLS, il invoque les PHBs.
Ayant discuté de MPLS et de Diffserv, il est facile d’identifier les similarités que présentent les
deux approches :
MPLS et Diffserv sont deux technologies orthogonales et complémentaires. Le mariage de ces deux
derniers peut aboutir à plusieurs avantages tels que :
Les flux pouvant être isolés à l’aide des LSPs/MPLS, ceci peut compléter la QoS procurée
par les mécanismes de Diffserv QoS.
La protection dans MPLS renforce les garanties de QoS, ce qui permet aux Fournisseurs
d’Accès Internet de facturer lourdement des frais supplémentaires.
La préemption dans MPLS peut être utilisée de façon similaire pour donner une haute
priorité aux clients les plus payants ou encore au trafic critique.
D’autre part, la protection et la préemption ajoutent une granularité plus fine de QoS à
Diffserv.
E-LSP, pour lesquels les différentes qualités de service sont différenciées en fonction du
champ expérimental (EXP) de l’entête MPLS (shim).
L-LSP, pour lesquels la différenciation est faite en fonction du label.
Il n’y a pas de protocole de signalisation spécifique pour la qualité de service. Les informations
nécessaires peuvent être transportées par CR-LDP et RSVP-TE, et éventuellement par LDP, si
l’établissement de LSP spécifique pour chaque classe de service DiffServ est automatique. Ces
protocoles qui signalent les informations de qualité de service au moment de l’établissement des
chemins travailleront en collaboration avec les protocoles chargés de transporter les paramètres de
configuration des équipements (COPS : Common Open Policy Service), par exemple la
signification des huit valeurs possibles du champ EXP. De toute manière, quel que soit le type
d’architecture de qualité de service utilisé dans le nuage MPLS, il va de soi que des protocoles
différents peuvent travailler conjointement sans que cela ne complique le fonctionnement de MPLS,
le seul problème étant alors d’arbitrer entre les protocoles l’accès aux ressources des équipements.
En particulier, il n’y a aucune contre-indication à utiliser LDP et BGP4 pour la distribution
automatique et RSVP-TE pour les chemins spécifiques.
du site client vers le VBG (VPN Border Gateway) source : via RIP, OSPF ou en routage
statique
au niveau du VBG source : exportation vers BGP
entre VBG source et VBG destination : via BGP
au niveau du VBG destination : importation à partir de BGP
du VBG destination vers le site client : via RIP, OSPF ou en routage statique
Routage VPN/MPLS
Le VBG source applique 2 labels au paquet de data lorsqu'un VPN est utilisé :
o le premier label (extérieur) identifie le chemin vers le VBG destination, et change à chaque
bond
o le second label (intérieur) spécifie le VPN-ID attribué au VPN et n'est pas modifié entre le
VBG source et le VBG destination
Cette paire de labels permet d'implémenter aisément les mécanismes des VPNs dans MPLS:
En effet il se compose de :
Ces deux composants fonctionnent de manière complémentaire ;VEM qui est intégré dans les
différents hôtes ESX/ESXi représente l’ensemble des ports virtuels, et le VSM qui est installé sur le
vCenter permet de gérer ces ports. Il peut gérer jusqu’à 64 VEM, et le tout peut être administré via
une interface en ligne de commande (CLI).
En cas de panne du vCenter par exemple, le Switch Nexus1000V continuera de fonctionner mais
n’autorisera pas de modifications de configuration.
Il est compatible avec les connectivités iSCSI, FC et FCoE. Ces connectivités sont conçues pour les
applications de type bloc consommatrices de bande Passante ou ne tolérant pas les temps de latence.
NFS (Network File System) est un protocole qui permet à un ordinateur d'accéder à des
fichiers via un réseau. Il fait partie de la couche application du modèle OSI et il est
compatible avec IPv6.
CIFS (Common Internet File System) communément appelé SMB (Server Message Block),
c’est un protocole permettant le partage de ressources (fichiers et imprimantes) sur des réseaux
locaux avec des PC sous Windows.
La gamme VNX prend en charge le stockage basé sur les objets (REST, SOAP, XAM) et permet
aux utilisateurs de gérer leurs applications Web via EMC Unisphere.
REST (Representational State Transfer) est un style d'architecture qui permet de concevoir
des applications ou des services Web, utilisant les standards URL pour adresser les
ressources, HTTP pour fournir toutes les opérations nécessaires et des liens hypermédia
(HTML et XML) pour représenter le contenu des informations.
SOAP (Simple Object Access Protocol) est un protocole de transmission de messages.
XAM (eXtensible Access Method) qui vise à garantir la pérennité d’une donnée en la
rendant indépendante du matériel sur lequel elle s’appuie.
www.vmware.com
www.citrix.fr
www.cisco.com
www.emc.com
social.technet.microsoft.com/Forums/fr-FR/howtoforumfr/thread/a4343172-f3e2-4530-a591-
89f7f97f3b09
www.vitualyzation.com
www.01net.com
www.wikipedia.com
www.youtube.com
www.slideshare.net
www.definelthecloud.net
www.cloudmagazine.fr
www.cloudconsulting.fr
www.codekf.org/img/pdf/codekf-confere-2007.pdf
www.journaldunet.com/solutions/expert/24009/la-virtualisation---huit-approches-passees-au-
crible.shtml
www.wygwam.com/documents/cloud-computing.pdf
www.mplstutorial.com
www.frameip.com
www.networktechnologies.metaswitch.com