Aller au contenu

Réseau & Sécurité

Services de réseau et de sécurité sur OVHcloud.

vRack

Le vRack (virtual rack) est le réseau prive d'OVHcloud. Il permet de créer un réseau L2 isole qui s'etend entre plusieurs datacenters et plusieurs types de services (serveurs dédiés, instances Public Cloud, Managed Kubernetes, etc.).

Cas d'usage : isolation réseau entre services, communication privee inter-datacenters, architectures hybrides.

Caractéristiques :

  • Réseau L2 prive entre tous les services OVHcloud
  • Portee multi-datacenter (GRA, SBG, BHS, WAW, etc.)
  • Compatible avec les instances Public Cloud, serveurs dédiés, Managed Kubernetes, Managed Databases
  • VLAN tagging pour segmenter le trafic

Créer un réseau prive dans un projet Public Cloud

openstack network create mon-reseau-prive

openstack subnet create mon-sous-reseau \
    --network mon-reseau-prive \
    --subnet-range 10.0.0.0/24 \
    --gateway 10.0.0.1

vRack multi-services

Le vRack peut interconnecter des serveurs dédiés et des instances Public Cloud dans le même réseau prive. Configurez le vRack via le Manager OVHcloud, puis créez les réseaux OpenStack correspondants.

Load Balancer

Repartiteur de charge manage pour distribuer le trafic entre plusieurs backends. Disponible en mode L4 (TCP/UDP) et L7 (HTTP/HTTPS).

Cas d'usage : haute disponibilité applicative, distribution de trafic web, terminaison SSL.

Mode Couche Protocoles Usage
L4 Transport TCP, UDP Bases de données, services non-HTTP
L7 Application HTTP, HTTPS Applications web, APIs REST

Fonctionnalités :

  • Health checks configurables
  • Sticky sessions (affinite de session)
  • Terminaison SSL/TLS
  • Intégration avec le vRack pour les backends prives

Créer un Load Balancer via OpenStack

openstack loadbalancer create \
    --name mon-lb \
    --vip-subnet-id mon-sous-reseau

Anti-DDoS

Protection automatique contre les attaques par deni de service distribuées (DDoS). L'Anti-DDoS OVHcloud est inclus gratuitement avec tous les services et fonctionne de manière transparente.

Cas d'usage : protection des serveurs web, des APIs et de toute infrastructure exposee sur Internet.

Caractéristiques :

  • Activation automatique lors de la détection d'une attaque
  • Filtrage du trafic malveillant sans interruption du trafic legitime
  • Protection contre les attaques L3/L4 (volumetriques) et L7 (applicatives)
  • Aucune configuration requise

VAC (Vacuum)

Le système Anti-DDoS d'OVHcloud s'appelle VAC (Vacuum). Il aspire le trafic suspect, le nettoie et re-injecte uniquement le trafic legitime vers votre service.

IAM

OVHcloud IAM permet de définir des politiques d'accès fines pour contrôler qui peut faire quoi sur vos ressources. Les politiques sont basées sur des identités, des ressources et des actions.

Cas d'usage : contrôle d'accès multi-utilisateurs, délégation d'administration, respect du principe de moindre privilege.

Concepts :

  • Identité : compte OVHcloud, utilisateur local, service account
  • Politique : ensemble de règles associant identités, ressources et actions autorisees/refusees
  • Ressource : URN identifiant un service ou un groupe de services

Exemple de politique

{
  "name": "read-only-public-cloud",
  "identities": ["urn:v1:eu:identity:user:xx1234-ovh/john"],
  "resources": ["urn:v1:eu:resource:publicCloudProject:abc123"],
  "permissions": {
    "allow": ["publicCloudProject:apiovh:get"]
  }
}

Principe de moindre privilege

Créez des politiques restrictives et ajoutez des permissions au fur et à mesure. Evitez les politiques allow: * en production.