Décrire le SDN sur Azure Stack HCI

  • 10 minutes

Avant de commencer à évaluer les fonctionnalités de SDN sur Azure Stack HCI, vous devez passer en revue les principaux concepts de SDN. Vous vous rendez compte que ces concepts forment les connaissances fondamentales pour vous aider à mieux comprendre les aspects plus complexes de la virtualisation de réseau et des services basés sur la virtualisation. En particulier, les équilibreurs de charge logiciels, les pare-feu distribués et les passerelles d’accès à distance.

Qu’est-ce que la virtualisation de réseau ?

Pour comprendre l’objectif de la virtualisation de réseau, il peut être utile de la comparer à la virtualisation de serveur, qui permet d’exécuter simultanément plusieurs instances de système d’exploitation (machines virtuelles) sur un seul hôte physique, chaque instance fonctionnant indépendamment des autres. La virtualisation de réseau offre une fonctionnalité similaire à celle des réseaux virtuels en facilitant leur isolation au sein de la même infrastructure réseau physique, sans compter sur des réseaux locaux virtuels ou des solutions de gestion des adresses IP dédiées. Cette flexibilité permet aux clients de migrer plus facilement leurs charges de travail vers des clouds privés et publics. Elle permet également aux fournisseurs d’hébergement et aux administrateurs de centre de données de gérer leur infrastructure réseau. En outre, ces avantages jouent un rôle significatif dans les initiatives de consolidation des centres de données. Avec Azure Stack HCI, les clients peuvent partager des ressources physiques tout en opérant dans leurs propres environnements isolés. Les équipes de DevOps ont la possibilité de déployer leurs applications sans interruption de service résultant de la modification des attributions d’adresses IP. Pour les propriétaires d’infrastructure, la flexibilité ajoutée simplifie l’allocation dynamique des ressources en faisant abstraction de la corrélation entre le calcul, le stockage et le réseau.

Qu’est-ce que le réseau à définition logicielle (SDN) ?

Le SDN fournit une méthode pour configurer et gérer de manière centralisée des réseaux et des services réseau tels que le basculement, le routage et l’équilibrage de charge dans votre centre de données. SDN utilise la virtualisation des fonctions réseau pour implémenter des fonctions logicielles virtualisées. Ces fonctions remplacent les fonctionnalités traditionnellement déléguées aux périphériques réseau basés sur le matériel.

Qu’est-ce que la virtualisation de fonction réseau ?

Dans les centres de données définis par logiciel, les appliances virtuelles prennent en charge la fourniture des fonctions réseau traditionnellement implémentées par des périphériques matériels. Ces fonctions virtualisées peuvent être regroupées en plusieurs catégories, comme la sécurité et les services de périphérie. Les appliances de sécurité incluent les pare-feu, alors que les appliances de périphérie incluent les passerelles, les routeurs, les commutateurs et les équilibreurs de charge.

Les appliances virtuelles offrent plusieurs avantages par rapport à leurs équivalents physiques, les plus importants étant :

  • Expansion de la capacité transparente et mobilité des charges de travail.
  • Complexité opérationnelle réduite.
  • Simplification de l’approvisionnement et de la gestion.
  • Mobilité accrue.
  • Prise en charge de la mise à l’échelle verticale et horizontale.

SDN dans Azure Stack HCI

Les solutions Azure Stack HCI fournissent une virtualisation intégrée des ressources de calcul et de stockage. En outre, Azure Stack HCI prend en charge la virtualisation de ses ressources réseau en implémentant le SDN. Cette fonctionnalité permet d’implémenter différents scénarios de mise en réseau, allant de l’intégration avec une infrastructure existante basée sur un réseau local virtuel à l’isolation complète des charges de travail Azure Stack HCI.

Le SDN dans Azure Stack HCI contribue à résoudre les problèmes liés aux infrastructures réseau traditionnelles en augmentant l’agilité, en améliorant la sécurité et en optimisant l’efficacité. Il offre les fonctionnalités suivantes :

  • Abstraction des services réseau. Vous pouvez déployer et gérer des services réseau définis par logiciel, abstraits du réseau physique sous-jacent.
  • Centralisation des stratégies réseau. Vous pouvez utiliser des stratégies réseau pour configurer et contrôler de manière centralisée les règles qui régissent le flux de trafic dans et entre les réseaux virtuels et physiques. L’implémentation de stratégies réseau améliore la cohérence et l’évolutivité à mesure que le volume des services réseau augmente.
  • Centralisation de la gestion du réseau. Vous pouvez gérer l’infrastructure réseau virtualisée à l’aide de PowerShell, Windows Admin Center et Microsoft System Center Virtual Machine Manager (VMM).

Ces fonctionnalités de SDN pour Azure Stack HCI sont implémentées à l’aide du contrôleur de réseau. Contrôleur de réseau est un rôle serveur qui fournit une interface de gestion accessible par le biais de l’API (Application Programming Interface) REST (Representational State Transfer). L’interface est utilisée pour le déploiement, la gestion, la configuration, le monitoring et la résolution des problèmes de l’infrastructure SDN et des services basés sur la virtualisation des fonctions réseau.

Les services basés sur la virtualisation des fonctions réseau sont les suivants :

  • L’équilibreur de charge logiciel (SLB), qui facilite la création de solutions hautement disponibles et évolutives en répartissant le trafic réseau entre les ressources du réseau virtuel. En outre, grâce à la traduction d’adresses réseau (NAT), le SLB fournit un accès Internet entrant et sortant aux charges de travail virtualisées. Les stratégies de SLB peuvent être appliquées aux réseaux superposés virtualisés et aux réseaux VLAN traditionnels.

  • Les passerelles RAS (service d’accès à distance) pour SDN, qui permettent d’étendre la connectivité réseau aux réseaux externes par le biais de réseaux privés virtuels (VPN) de site à site (S2S), de tunnels GRE (Generic Routing Encapsulation) de site à site et de transfert de couche 3.

  • Le pare-feu de centre de données, qui permet de protéger les réseaux virtuels et leurs charges de travail contre le trafic non autorisé provenant des réseaux Internet et intranet. Elle fournit un filtrage avec état basé sur une combinaison de cinq paramètres (au plus) de paquets réseau, notamment le protocole du paquet, les numéros de port source et de destination, ainsi que les adresses IP source et de destination. Ces stratégies peuvent être appliquées aux réseaux superposés virtualisés et aux réseaux VLAN traditionnels.

    Notes

    Le pare-feu de centre de données est destiné à compléter les appliances physiques existantes.

  • Les stratégies de qualité de service (QoS), qui peuvent être utilisées pour empêcher une machine virtuelle d’application ou de charge de travail d’utiliser la bande passante entière des nœuds de cluster HCI. Ces stratégies peuvent être appliquées aux réseaux virtualisés et aux réseaux VLAN traditionnels.

  • Des appliances tierces, où les clients peuvent apporter leurs propres appliances virtuelles tierces, comme des pare-feu, des appareils de détection d’intrusion et des équilibreurs de charge, et les attacher à des réseaux virtuels SDN pour des services avancés.

Des réseaux virtuels et des sous-réseaux

Pour implémenter l’isolation des charges de travail virtualisées, SDN utilise des réseaux virtuels basés sur HNV (Hyper-V Network Virtualization). Ces réseaux sont composés d’un ou plusieurs sous-réseaux virtuels, et sont définis indépendamment en tant que superposition par-dessus le réseau physique sous-jacent. Un sous-réseau virtuel émule la fonctionnalité de sous-réseau IP de couche 3 pour les machines virtuelles qui y sont connectées. Chaque réseau virtuel constitue une limite d’isolation dans laquelle les machines virtuelles peuvent uniquement communiquer entre elles. Pour autoriser la communication entre les réseaux virtuels, vous avez la possibilité d’implémenter le peering de réseaux virtuels.

Chaque interface réseau d’une machine virtuelle connectée à un sous-réseau de réseau virtuel est associée à deux adresses IP :

  • Adresse du client. Adresse IP affectée à chaque machine virtuelle par les clients, en fonction de leur modèle d’adressage IP préféré. Cela permet aux clients de conserver leur configuration réseau existante lors de la transition des charges de travail vers un environnement SDN. L’adresse du client est accessible au système d’exploitation dans la machine virtuelle correspondante.
  • Adresse de fournisseur. Adresse IP affectée aux hôtes Hyper-V par les administrateurs Azure Stack HCI, en fonction de leur infrastructure réseau physique. L’adresse du fournisseur est visible sur le réseau physique, mais pas sur les machines virtuelles du client.

Réseaux et sous-réseaux logiques

Pour implémenter la virtualisation de fonction réseau et permettre la segmentation basée sur un réseau local virtuel, le SDN s’appuie sur le concept de réseaux logiques. Chaque réseau logique représente une partition logique d’un réseau physique. Un réseau logique comprend un ensemble de sous-réseaux logiques mappés à des réseaux locaux virtuels clients. Ces réseaux locaux virtuels peuvent héberger des charges de travail clientes, mais il existe également plusieurs réseaux logiques qui hébergent des composants d’infrastructure SDN critiques. Par exemple, une implémentation de SDN sur Azure Stack HCI comprend les réseaux logiques des fournisseurs de gestion et HNV, le dernier servant de réseau d’adresses de fournisseur pour tous les réseaux virtuels. Tous les hôtes Hyper-V qui font partie de cette implémentation doivent être connectés au réseau logique de gestion et au réseau logique du fournisseur HNV.