capture-de28099ecran-2010-04-30-a-083859Virtualiser ses DMZ est une opération à risque, si l’on en croit mon précédent billet et les mises en garde du Gartner. Pourtant, je me suis souvenu que le Groupe Agrica, groupe de prévoyance et de retraite dédié au monde agricole, a choisi délibérément de virtualiser ses deux DMZ pour gagner en sécurité, en visibilité et en contrôle. Le switch virtuel nexus 1000 v de Cisco y est pour beaucoup.

Le Groupe Agrica, qui a virtualisé 99 % de ses serveurs, critiques ou non, fait tourner aujourd’hui environ 200 machines virtuelles sur une vingtaine de serveurs vSphere (ESX 4.0), qui hébergent des applications comme Oracle, Business Objects ou Lotus Domino, sans aucun problème. Mais si la virtualisation lui a apporté d’énormes bénéfices, elle a aussi perturbé les habitudes des équipes réseau et sécurité. Si elle a su radicalement transformer les infrastructures, si elle a su changer la vie des administrateurs système, les équipes réseau ne l’ont pas vue arriver d’un si bon oeil. En guise de serveurs, elles ne voyaient plus que des boîtes noires.

Rendre la vue aux administrateurs réseau

Dans le monde physique, lorsqu’un serveur est installé sur un commutateur, il est aisé pour un administrateur réseau de paramétrer les ports réseau selon ses besoins : qualité de service, numéro de VLAN, trafic shaping, entrées/sorties, adresses MACs… Dans le monde virtuel, tout bascule. Ces fonctionnalités ne sont en effet pas disponibles pour les machines virtuelles. Seule la machine hôte, qui supporte les autres machines virtuelles de l’infrastructure, est paramétrable. La virtualisation est donc source de frustation pour ces administrateurs, qui perdent la main sur leur réseau. “Pire, Une partie de la configuration réseau était faite par les administrateurs système, ce qui n’était pas du tout leur rôle et échappait totalement au contrôle de l’équipe réseau.’ se souvient Julien Mousqueton, Architecte dans le Groupe Agrica. La sortie du switch virtuel Nexus 1000v de Cisco change la donne. Beta-testeur, le Groupe Agrica se rend vite compte de ses avantages. Les équipes réseaux peuvent de nouveau intervenir dans les configurations des machines virtuelles tout comme elles le faisaient pour les machines physiques. De plus, il devient possible pour elles d’implémenter de la QoS au niveau réseau afin de respecter les SLAs. “Le Nexus 1000v permet de définir des profils au niveau de la machine virtuelle. Quand celle-ci est déplacée grâce à VMotion de VMware, la configuration réseau suit, ce qui n’était pas le cas avant” précise Julien Mousqueton.

-->la suite sur le blog:

http://www.speedfirenetwork.net/virtuanews/?p=1523