Réseau : VMware combine le routage de Kubernetes avec celui de NSX
Le nouveau produit Modern App Connectivity réunit les couches de répartition de charge Tanzu Service Mesh pour les containers et NSX Advanced Load Balancer pour les machines virtuelles.
VMware a combiné Tanzu Service Mesh – c’est-à-dire la couche qui répartit les charges applicatives dans son implémentation de Kubernetes – avec les fonctions d’équilibrage de charge de NSX – sa couche réseau historique pour les machines virtuelles. L’enjeu est d’homogénéiser les règles de routage dans ses solutions Tanzu, vSphere, Cloud Foundation qui prétendent désormais incarner le moteur d’exécution de toutes les applications, les traditionnelles en machines virtuelles, comme celles conçues pour le cloud, en containers.
Tanzu Service Mesh applique ses règles de routage et de sécurité entre les containers par le biais d’un ensemble de composants logiciels appelés les Sidecar Proxies. Il crée ce que le fournisseur appelle un namespace global, à savoir un nom de domaine à cheval entre plusieurs clouds qui permet de router les informations entre les instances d’une même application, où que se situent ces instances. En cas de pics d’activité, Tanzu Service Mesh permet de définir vers où doivent partir les requêtes excédentaires, en partant du principe qu’il existe déjà des ressources prêtes à démarrer quelque part, avec une configuration correcte au niveau des infrastructures sous-jacentes.
NSX Advanced Load Balancer, le nom des fonctions d’équilibrage de charge dans NSX, provient de l’acquisition d’AVI Networks par VMware en 2019. Cette couche comprend un équilibreur de charge logiciel, un pare-feu d’application web (WAF) et une passerelle pour les données entrantes des clusters de containers Kubernetes. C’est elle qui configure les infrastructures sous-jacentes, qui y autorise certains accès et en ferme d’autres. Encore faut-il savoir à l’avance pour quelle application configurer et sécuriser les infrastructures sous-jacentes.
Ces deux composants pouvaient déjà être utilisés ensemble, au prix de manipulations compliquées. Il ne faut pas configurer de routage sur les infrastructures sous-jacentes tant que l’on ne sait pas à quoi elles vont servir, mais il faut en revanche les configurer le plus vite possible dès que des applications en ont besoin pour gérer leur pic d’activité.
Combiner les deux technologies dans une nouvelle couche, baptisée VMware Modern App Connectivity, permet de créer automatiquement des règles de routage et de sécurité depuis NSX Advanced Load Balancer à chaque fois que des applications sont déclarées dans Tanzu Service Mesh. Dès lors, chaque pic d’activité déclenchera une règle d’équilibrage de charge dans Tanzu Service Mesh, qui déclenchera une règle d’équilibrage de charge dans NSX.
Éliminer les risques liés aux configurations manuelles
Cette combinaison évite les configurations manuelles, potentiellement sources d’erreur : « avant, vous deviez vous rendre sur le portail SaaS de Tanzu Service Mesh pour y configurer certaines choses, puis aller sur la console locale de NSX pour y configurer d’autres choses… et prier pour que tout fonctionne comme vous le pensiez », explique Pere Monclus, directeur technique de la division Réseau et Sécurité de VMware. « À présent, il suffit de configurer les règles des namespaces globaux et, à mesure que les charges de travail arrivent, la répartition de charge et le WAF se configurent automatiquement. »
« À présent, il suffit de configurer les règles des namespaces globaux et, à mesure que les charges de travail arrivent, la répartition de charge et le WAF se configurent automatiquement. »
Pere MonclusDirecteur technique division Réseau et Sécurité, VMware
Selon lui, l’intégration va au-delà d’une simplification de la configuration : elle est censée fiabiliser la haute disponibilité entre différents clusters et même entre différentes régions logiques. En pratique, cela signifie que Tanzu Mesh Service peut désormais provisionner des clusters Kubernetes vides, prêts à déployer n’importe quels containers quand leurs ressources d’origine sont épuisées.
Accessoirement, combiner Tanzu Service Mesh et NSX devrait permettre de mieux combiner les applications traditionnelles et les containers. « Un namespace global nous permet d’abstraire l’infrastructure, au point où vous n’avez plus à vous soucier des spécificités de telle ou telle technologie », indique Pere Monclus. « En créant un namespace global, votre application devient hautement disponible au travers de différents clouds, avec un chiffrement de bout en bout et un pare-feu applicatif global (le WAF), qui fonctionne à l’échelle du namespace global, alors qu’il est d’ordinaire limité à un cluster de machines spécifiques. »
Les prochaines versions Tanzu Service Mesh prévues cette année développeront davantage les intégrations avec d’autres produits du catalogue VMware. Parmi eux, l’éditeur cite Mesh7, un outil qui applique des filtres de sécurité sur les proxys, notamment pour surveiller les anomalies de configuration et les appels vers des API.
L’enjeu d’exister sur un marché qui ne jure plus que par Kubernetes
Cette annonce de VMware concernant le routage du réseau au travers de plusieurs clouds intervient dans le cadre d’une adoption massive de Kubernetes par les entreprises. Cette plateforme d’orchestration des applications au format container est justement conçue pour exécuter des traitements qu’importe l’infrastructure sous-jacente : elle permet typiquement de développer une application et, ensuite, de choisir sur quel cloud l’exécuter.
Kubernetes est si efficace que les entreprises songent à utiliser ses outils d’administration pour gérer l’ensemble de leurs applications, y compris celles qui ont été conçues par le passé et qui ne fonctionnent que depuis un datacenter.
Problème, Kubernetes est une technologie Open source constituée d’une multitude de composants et les assembler pour obtenir une solution prête à l’emploi reste un chemin de croix. « C’est pour résoudre cette difficulté que des éditeurs comme VMware et Red Hat proposent des solutions déjà packagées, respectivement Tanzu (voire Cloud Foundation qui combine vSphere avec Tanzu) et OpenShift. Ces solutions évitent aux entreprises de devoir faire de la couture », explique Brad Casemore, analyste chez IDC.
Modern App Connectivity ne remplace pour l’heure Tanzu Service Mesh et NSX Advanced Load Balancer que dans le cadre d’une nouvelle licence. Il faudra attendre quelques semaines pour qu’une mise à jour gratuite soit proposée aux clients qui ont déjà acheté une licence de Tanzu Service Mesh. Il est à noter que Modern App Connectivity n’a pas nécessairement besoin de Tanzu : il peut connecter n’importe quelle implémentation de Kubernetes à NSX, dont OpenShift.
Du moins en théorie. Selon Brad Casemore, mélanger les composants de différents fournisseurs ajoute de la complexité. Il indique que si VMware Tanzu et Red Hat OpenShift ont un fonctionnement similaire concernant les containers, leur approche des applications en machines virtuelles diffère radicalement. VMware Tanzu se basera sur NSX pour que les machines virtuelles communiquent avec des containers, alors qu’OpenShift mettra les machines virtuelles dans des containers.
« Le problème de VMware et des autres fournisseurs historiques est que le marché finisse par considérer que les plateformes Kubernetes sont interchangeables. Parce que, si cela devenait le cas, le danger serait que, quitte à exécuter les applications en cloud, les entreprises finiraient par acheter les plateformes Kubernetes vendues par les hébergeurs de cloud eux-mêmes. Elles sont moins chères et nativement intégrées à leurs offres, dont leurs services de haute disponibilité et de routage réseau. »
« VMware donne beaucoup d’importance à la faculté d’interconnecter Kubernetes avec les infrastructures du datacenter, car celles-ci n’existent pas chez les hébergeurs de cloud », conclut Brad Casemore.
Pour approfondir sur Virtualisation de réseaux, SDN, Réseau pour conteneurs, NFV
