VCN 2020 : VMware automatise le réseau jusque dans le cloud
La nouvelle suite de SDN comprend un moteur NSX-T 3.0 plus universel, plus automatisé et bardé de plus de sondes, pour répartir la charge et fiabiliser les échanges en environnement hybride.
VMware met à jour Virtual Cloud Network (VCN), sa suite de logiciels d’infrastructure réseau (SDN) qui comprend le moteur de virtualisation NSX-T, la console de monitoring vRealize Network Insight et le répartiteur de charge VMware SD-WAN. On notera que ce dernier ne semble plus s’appeler ni VeloCloud, ni NSX SD-WAN.
Outre des nouvelles versions de chacun de ces logiciels, cette évolution VCN 2020 intègre à différents niveaux les rachats effectués par VMware depuis un an : Nyansa qui automatise la maintenance des réseaux grâce à son intelligence artificielle, Veriflow qui sait diagnostiquer tout seul les problèmes et AVI Network qui configure lui-même des répartiteurs de charge applicatifs lorsque des containers ou des VMs sont déployés.
« Une entreprise a besoin de la suite VCN 2020 pour bâtir, sécuriser, surveiller et dépanner le réseau d’un environnement applicatif qui, aujourd’hui, sort du datacenter, qui s’étend en cloud mais aussi vers le edge », déclare Pierre Ardichvili, le directeur des ventes pour les produits réseau et sécurité chez VMware France, lors d’une conférence en ligne à laquelle LeMagIT a participé.
Selon ses chiffres, 15 000 entreprises dans le monde seraient déjà clientes de VCN. Parmi elles, on trouverait la plupart des opérateurs télécoms, séduits à la fois par la possibilité de reconfigurer à distance les boîtiers de routage ou d’interconnexions déployés sur le terrain (fonction de VNF), mais aussi par le SD-WAN de VMware, qui leur permettrait de vendre des lignes de communication privées post-MPLS. VCN 2020 doit leur apporter un meilleur monitoring et une maintenance plus fluide.
Le reste des entreprises aurait surtout adopté VCN pour paramétrer de manière centrale la sécurité et la répartition de charge des instances applicatives qu’elles déploient sur n’importe quel cloud. La nouveauté de VCN 2020 est que ces paramétrages seront désormais automatiques.
« La promesse du cloud est l’élasticité. »
Pierre ArdichviliVMware France
« La promesse du cloud est l’élasticité. Dès que la charge augmente sur vos applications, le cloud met automatiquement en route de nouvelles instances pour répondre à vos utilisateurs. Mais l’automatisation n’a de sens que si elle se fait de bout en bout : il ne sert à rien d’avoir des instances virtuelles qui se lancent toutes seules si vous devez configurer sur chacune d’elles des règles réseau à la main », ajoute Pierre Ardichvili.
Automatiser la reconfiguration d’un réseau virtuel en environnement hybride
Dans le détail, VCN 2020 comprend tout d’abord NSX-T 3.0. Le nom est aussi important que le numéro : NSX-T est la déclinaison universelle de NSX, celle qui apporte du réseau à toutes les infrastructures. Alors que NSX tout court ne fonctionnait que par-dessus l’hyperviseur ESXi de VMware, NSX-T est aussi compatible avec Hyper-V de Microsoft, KVM de Linux, des serveurs physiques et – surtout – Kubernetes. Ce système, qui remplace les machines virtuelles par des containers, facilite à ce point le déploiement des applications dans n’importe quel cloud que VMware lui-même en fait le socle de son dernier vSphere, sa suite de virtualisation des serveurs.
La version 3.0 apporte la console d’administration centralisée NSX Federation. Sa fonction est de définir des réseaux privés virtuels par-dessus des réseaux physiques publics ou privés, locaux ou distants, et à cheval entre eux. NSX Federation distribue les adresses IP, délimite des zones étanches et configure des règles de routage, de répartition de charge, ainsi que de firewall.
NSX-T manipule les paramètres réseau de la couche protocolaire Ethernet à la couche applicative. Ainsi, lorsque des instances virtuelles sont répliquées d’un site à l’autre, les règles de NSX Federation peuvent aussi reproduire les mêmes caractéristiques Ethernet pour préserver le fonctionnement du multicast, ou se contenter de router et répartir la charge selon les seuls noms de domaine des machines, si le second site impose des adresses IP différentes du premier.
Par ailleurs, grâce à l’intégration de Veriflow et AVI Network, NSX-T 3.0 est capable de diagnostiquer tout seul un incident sur un segment du réseau, voire sur une zone entière, d’isoler ce segment ou cette zone et de rerouter automatiquement le trafic sur un autre réseau, auquel il attribue des caractéristiques identiques. Selon VMware, cette fonction prend tout son sens lorsque VCN – ou même NSX-T 3.0 seul – est utilisé conjointement avec vSphere 7, ce dernier redéployant les instances virtuelles au bon endroit dès que NSX-T lui dit de le faire. VMware précise que cette remarque s’applique de la même façon à Cloud Foundation 4, sa solution d’infrastructure hyperconvergée, et à tous les services IaaS en cloud privé ou public qui sont compatibles avec vSphere. Citons,VMware Cloud on AWS.
Analyser le trafic de manière plus universelle et plus intuitive
Sur le plan de la sécurité, NSX-T 2.5 disposait déjà d’un module NSX Intelligence qui servait à poser des sondes de détection d’intrusion au niveau de chaque hyperviseur ESXi. Manifestement, son moteur d’intelligence artificielle, qui lui permet de déduire un trafic anormal selon l’historique du trafic habituel, a été amélioré grâce aux technologies héritées de Nyansa. Celui-ci apporte en effet la capacité de lire et d’interpréter le contenu des paquets. Accessoirement, il semble que Nyansa apporte des sondes et des collecteurs de données brutes qui peuvent se greffer sur n’importe quelle infrastructure, dont Kubernetes.
« Sans NSX, vous devriez déployer une solution pour surveiller les machines virtuelles, une autre pour les containers, une autre pour agir au niveau de TCP/IP, etc. »
Ghaleb ZekriVMware Europe
« Le gros intérêt de notre solution est que vous n’avez plus qu’un seul produit pour monitorer et sécuriser le trafic tout au long d’une infrastructure hybride. Sans NSX, vous devriez déployer une solution pour surveiller les machines virtuelles, une autre pour les containers, une autre pour agir au niveau de TCP/IP, une autre pour l’intérieur des paquets, etc. », argumente Ghaleb Zekri, architecte Software-Defined Datacenter chez VMware Europe.
La surveillance de l’ensemble des nouvelles fonctions de NSX-T 3.0 est le propos de la nouvelle console de monitoring vRealize Network Insight 5.2, alias vRNI. Celle-ci tire par ailleurs parti des capacités d’analyse de Nyansa et de Veriflow pour aider les administrateurs à mieux comprendre les problématiques réseau du point de vue des applications. « Cette compréhension est essentielle pour éviter de rajouter de la latence à une application quand on la déplace d’un datacenter à un cloud », indique Arnaud Gaugé, directeur technique de VMware Europe.
Piloter jusqu’au SD-WAN pour donner de la bande passante aux télétravailleurs
L’autre mérite de vRNI 5.2 est qu’il inclut désormais dans ses diagnostics les passerelles de SD-WAN de VMware. « Nous avons pensé cette offre pour qu’elle puisse permettre à des prestataires et des opérateurs de proposer des services par-dessus les prochaines connexions 5 G. L’idée étant, par exemple, de les configurer comme un lien privé haut débit entre deux sites », explique Ghaleb Zekri.
« Mais dans le contexte de confinement actuel, les entreprises se sont servies de VCN pour redistribuer sur leurs SD-WAN les bandes passantes afin d’optimiser les connexions des télétravailleurs », ajoute-t-il. Il précise que, dans ce cas, le SD-WAN de VMware fait office de super VPN : non seulement il connecte les salariés distants sur le réseau privé de l’entreprise, mais il les route aussi de manière sécurisée vers les services en ligne (SaaS) auxquelles a souscrit l’entreprise.
À ce titre, VMware se félicite d’avoir tout juste signé un accord avec Microsoft. Désormais, une appliance SD-WAN de VMware est incluse dans les Azure Edge Zones, ces serveurs physiques qui déportent sur site une sélection des ressources du cloud public Azure. Pour les entreprises, cela signifie qu’il devient possible de régler la qualité de service des applications réseau entre les bureaux et les services en ligne de Microsoft – on pense aux visioconférences de Teams. Les opérateurs, quant à eux, pourront passer par Azure pour déployer des SD-WAN virtuels dans les datacenters.
Pour approfondir sur Virtualisation de réseaux, SDN, Réseau pour conteneurs, NFV
