Réseau & Sécurité¶
Services réseau et sécurité sur VMware vSphere et NSX.
Virtual Switches¶
VMware propose deux types de commutateurs virtuels pour connecter les VMs au réseau physique :
| Caractéristique | Standard vSwitch (vSS) | Distributed vSwitch (vDS) |
|---|---|---|
| Périmètre | Un seul hôte ESXi | Tous les hôtes du datacenter |
| Configuration | Par hôte, manuelle | Centralisee dans vCenter |
| Port mirroring | Non | Oui |
| LACP | Non | Oui |
| NetFlow / IPFIX | Non | Oui |
| Network I/O Control | Non | Oui (contrôle de bande passante par type) |
| Licence requise | Toutes editions | Enterprise Plus / VCF |
Cas d'usage : vSS pour les petits environnements ou les labs, vDS pour la production et les déploiements multi-hôtes.
Port Groups et VLANs¶
Un port group définit la politique réseau (VLAN, sécurité, teaming) pour un groupe de ports virtuels. Chaque port group est associe a un VLAN ID.
# Lister les reseaux
govc ls /DC1/network
# Creer un port group sur un vDS
govc dvs.portgroup.add -dvs=dvSwitch0 -vlan=100 VLAN-100-Prod
NSX-T Data Center¶
NSX-T (rebaptise NSX depuis la version 4.x) est la plateforme de virtualisation réseau et sécurité de VMware. Elle fonctionne au-dessus de vSphere et fournit un réseau overlay complètement software-defined.
Cas d'usage : micro-segmentation, multi-tenancy, extension réseau entre sites, sécurité zero-trust.
Composants principaux¶
| Composant | Rôle |
|---|---|
| NSX Manager | Plan de gestion (API, interface web) |
| Transport Nodes | Hôtes ESXi ou KVM participant au réseau overlay |
| Segments | Réseaux logiques L2 (équivalent des port groups) |
| Tier-0 Gateway | Routeur logique de périmètre (BGP, Nord-Sud) |
| Tier-1 Gateway | Routeur logique interne (Est-Ouest) |
| Distributed Firewall | Pare-feu distribué au niveau de chaque vNIC |
Micro-segmentation¶
Le Distributed Firewall (DFW) applique des règles de pare-feu directement au niveau de la carte réseau virtuelle de chaque VM. Cela permet une segmentation fine sans modifier le réseau physique.
Exemple de regle DFW :
Source: Group "Web-Servers" -> Dest: Group "DB-Servers" -> Service: TCP 5432 -> Allow
Source: Any -> Dest: Group "DB-Servers" -> Service: Any -> Drop
Groupes dynamiques
NSX permet de créer des groupes bases sur des tags vSphere, des noms de VM ou des segments. Les règles suivent automatiquement les VMs lors des migrations vMotion.
vSphere RBAC¶
Le modèle de sécurité vSphere repose sur trois concepts : rôles, permissions et privileges.
Modèle de permissions¶
| Concept | Description |
|---|---|
| Privilege | Action elementaire (ex: VirtualMachine.Interact.PowerOn) |
| Rôle | Ensemble de privileges (ex: VM Administrator) |
| Permission | Association rôle + utilisateur/groupe + objet inventaire |
| Global Permission | Permission appliquee a tous les vCenters du SSO domain |
Rôles prédéfinies¶
| Rôle | Périmètre |
|---|---|
| Administrator | Tous les privileges |
| Read-Only | Lecture seule sur tout l'inventaire |
| VM Power User | Gestion des VMs (power, console, snapshots) |
| Network Admin | Gestion des réseaux virtuels |
| Datastore Consumer | Allocation d'espace sur les datastores |
Principe du moindre privilege
Créez des rôles personnalises avec uniquement les privileges nécessaires plutôt que d'attribuer le rôle Administrator. Appliquez les permissions au niveau le plus bas possible dans l'arborescence d'inventaire.