Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

virtualisation et consolisation réseau - un peu HS

14 réponses
Avatar
Glennie Vignarajah
Salut,
Bon, on est pas vendredi et le topic est un peu HS, mais je me lance quand=
=20
m=EAme: actuellement, on fait des =E9tudes pour virtualiser les nos serveur=
s (cela=20
doit inclure la PRA). Notre r=E9seau comprend plusieurs DMZ=20
* internet qui h=E9berge les des serveurs web, relais mails DNS etc
* db : des serveurs de bases donn=E9es, accessibles uniquement depuis les=
=20
machines de la DMZ internet et des autres DMZs
* applis1 et applis2 h=E9bergeant des applicaions web. L'acc=E8s =E0 ces D=
MZ n'est=20
possibles que depuis la DMZ internet et uniquement par des reverses proxies.

* Le dernier segment r=E9seau est notre intranet.

L'acc=E8s =E0 chaque DMZ est filtr=E9 par des firewalls avec au moins 2 i=
nterfaces=20
r=E9seaux et chaque DMZ comprend plusieurs machines


Dans le projet, on nous propose de:
* Consolider sur paire de machines virtuelles la DMZ internet.
* Sur paire de machines virtuelles les X firewalls et les reverse-proxies.
* Sur 3 machines tous les autres DMZs (y compris les machines de l'intrane=
t).
* R=E9organiser les =E9l=E9ments r=E9seau par 2 switchs et utiliser des vl=
ans pour=20
isoler les DMZ.

Y-a-t-il un risque si les firewalls/reverse-proxies sont sur une machine=20
virtuelles? Les VLANS sont-ils assez =E9tanches pour proposer le m=EAme niv=
eau=20
d'=E9chantit=E9 des flus r=E9seaux qu'actuellement?

Avez-vous des retours d'exp=E9riences sur une architecture identique?

Merci de vos r=E9ponses et encore d=E9sol=E9 pour le HS!

=2D-=20
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai=
l.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

10 réponses

1 2
Avatar
Daniel Huhardeaux
Glennie Vignarajah a écrit :
Salut,



Bonsoir
[...]
Y-a-t-il un risque si les firewalls/reverse-proxies sont sur une machine
virtuelles? Les VLANS sont-ils assez étanches pour proposer le même niveau
d'échantité des flus réseaux qu'actuellement?

Avez-vous des retours d'expériences sur une architecture identique?



firewall/reverse-proxy/... sur une machine virtuelle, pas top pour moi.
Tu ne dis pas quel est le nombre de machines réelles et combien de
machines virtuelles tournent sur chaque machine réelle.

Une solution est d'utiliser un transparent/proxy, soit en façade de
*tout* le réseau, soit en façade d'une partie du réseau. Cela permet de
rediriger des flux vers des IP privées donc inaccessibles de l' extérieur.

De même, des machines réelles peuvent accueillir les flux de certains
services (derrière ou en parallèle du transparent/proxy) et les
forwarder à des VM (hôtes ou distantes).

Dans tous les cas de figures, ne serait ce que par simplification de
maintenance, je ne ferai tourner le firewall _que_ sur la/les machine(s)
hote(s), les VM étant protégées de par leur IP privée, uniquement
vulnérables via les services fournis.

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Glennie Vignarajah
Le 18/11/2009 vers 21:35, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux <n o-
) a écrit:

Bonsoir



Bonjour,
Merci pour la réponse.

firewall/reverse-proxy/... sur une machine virtuelle, pas top pour moi.



OK.

Tu ne dis pas quel est le nombre de machines réelles et combien de
machines virtuelles tournent sur chaque machine réelle.



En fait, une étude d'analyse de perf est en cours. La répartition sera
décidée à l'issue de cette étude.


Une solution est d'utiliser un transparent/proxy, soit en façade de
*tout* le réseau, soit en façade d'une partie du réseau. Cela perme t de
rediriger des flux vers des IP privées donc inaccessibles de l' extér ieur.



OK.

Dans tous les cas de figures, ne serait ce que par simplification de
maintenance, je ne ferai tourner le firewall _que_ sur la/les machine(s)
hote(s),



Noté.

Que pensez-vous de l'utilisation des Vlans pour séparer les flux résea ux de
chaque DMZ au lieu d'éléments réseau dédiés?
Merci.
--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai l.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Antoine Benkemoun
--000e0cdfdb1e483ebf0478b4c533
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,

Afin de pouvoir mettre en place des DMZ, il me parait indispensable de
mettre en place des VLAN. Je ne vois pas comment tu peux cloisonner tes
équipements autrement... Je mettrais donc un cluster de firewall afin de
pouvoir router entre les VLAN et assurer l'étanchéité interne. Puis u n autre
firewall pour gérer les entrées/sorties vers et depuis Internet ainsi q ue
l'éventuel NAT. Cette organisation permet de dissocier firewall interne e t
externe ce qui n'est pas sans intérêt je pense.

Mettre des machines de plusieurs DMZ différentes sur une même plateform e de
virtualisation peut paraitre un peu contradictoire. Le principe d'une DMZ
est de cloisonner niveau réseau des machines donc toutes les mettre sur l e
même serveur de virtualisation est un peu contradictoire. Il est cependan t
tout à fait possible de placer des VM dans différents réseaux via une
interface réseau 802.1Q (trunk chez Cisco).

Ce que je te conseille de faire c'est d'avoir une paire de serveurs de
virtualisation redondants pour tes machines de DMZ et une paire de serveurs
redondants pour tes machines non-DMZ. Ainsi, tu assures un cloisonnement
applicatif physique. Pour moi une machine DMZ est une machine à laquelle on
accède directement à partir d'Internet.

Quant à mettre des firewalls ou des reverse proxy sur des machines
virtuelles, celà ne me choque pas trop. Je pense cependant que mettre des
firewalls sur des machines de virtualisation n'est pas idéal. Mettre sur une
même machine physique l'équipement qui protège et celui à protége r, ca me
chagrine. Ca marchera cependant bien au détail près que la bande passan te de
ton interface réseau sera mutualisé pour toutes les VM, n'oublies pas. Rien
ne t'empêches d'en mettre plusieurs ceci dit.

En espérant t'avoir aidé,

Antoine

2009/11/19 Glennie Vignarajah

Le 18/11/2009 vers 21:35, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux <no-
) a écrit:

> Bonsoir

Bonjour,
Merci pour la réponse.

> firewall/reverse-proxy/... sur une machine virtuelle, pas top pour moi.

OK.

> Tu ne dis pas quel est le nombre de machines réelles et combien de
> machines virtuelles tournent sur chaque machine réelle.

En fait, une étude d'analyse de perf est en cours. La réparti tion
sera
décidée à l'issue de cette étude.


> Une solution est d'utiliser un transparent/proxy, soit en façade de
> *tout* le réseau, soit en façade d'une partie du réseau. Cela per met de
> rediriger des flux vers des IP privées donc inaccessibles de l'
extérieur.

OK.

> Dans tous les cas de figures, ne serait ce que par simplification de
> maintenance, je ne ferai tourner le firewall _que_ sur la/les machine(s )
> hote(s),

Noté.

Que pensez-vous de l'utilisation des Vlans pour séparer les flux
réseaux de
chaque DMZ au lieu d'éléments réseau dédiés?
Merci.
--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a
nail.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS





--000e0cdfdb1e483ebf0478b4c533
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Bonjour,<br><br>Afin de pouvoir mettre en place des DMZ, il me parait indis pensable de mettre en place des VLAN. Je ne vois pas comment tu peux cloiso nner tes équipements autrement... Je mettrais donc un cluster de firewall afin de pouvoir router entre les VLAN et assurer l&#39;étanchéité in terne. Puis un autre firewall pour gérer les entrées/sorties vers et de puis Internet ainsi que l&#39;éventuel NAT. Cette organisation permet de dissocier firewall interne et externe ce qui n&#39;est pas sans intérêt je pense.<br>

<br>Mettre des machines de plusieurs DMZ différentes sur une même plate forme de virtualisation peut paraitre un peu contradictoire. Le principe d& #39;une DMZ est de cloisonner niveau réseau des machines donc toutes les mettre sur le même serveur de virtualisation est un peu contradictoire. I l est cependant tout à fait possible de placer des VM dans différents r éseaux via une interface réseau 802.1Q (trunk chez Cisco). <br>

<br>Ce que je te conseille de faire c&#39;est d&#39;avoir une paire de serv eurs de virtualisation redondants pour tes machines de DMZ et une paire de serveurs redondants pour tes machines non-DMZ. Ainsi, tu assures un cloison nement applicatif physique. Pour moi une machine DMZ est une machine à la quelle on accède directement à partir d&#39;Internet.<br>

<br>Quant à mettre des firewalls ou des reverse proxy sur des machines vi rtuelles, celà ne me choque pas trop. Je pense cependant que mettre des f irewalls sur des machines de virtualisation n&#39;est pas idéal. Mettre s ur une même machine physique l&#39;équipement qui protège et celui à protéger, ca me chagrine. Ca marchera cependant bien au détail pr ès que la bande passante de ton interface réseau sera mutualisé pour toutes les VM, n&#39;oublies pas. Rien ne t&#39;empêches d&#39;en mettre plusieurs ceci dit.<br>

<br>En espérant t&#39;avoir aidé,<br><br>Antoine<br><br><div class="g mail_quote">2009/11/19 Glennie Vignarajah <span dir="ltr">&lt;<a href=" mailto:"></a>&gt;</span><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">

Le 18/11/2009 vers 21:35, dans le message intitulé &quot;Re: virtualisati on et<br>
consolisation réseau - un peu HS&quot;, Daniel Huhardeaux(Daniel Huhardea ux &lt;no-<br>
<a href="mailto:"></a>&gt;) a écrit:<br>
<br>
&gt; Bonsoir<br>
<br>
Bonjour,<br>
Merci pour la réponse.<br>
<div class="im"><br>
&gt; firewall/reverse-proxy/... sur une machine virtuelle, pas top pour moi .<br>
<br>
</div>OK.<br>
<div class="im"><br>
&gt; Tu ne dis pas quel est le nombre de machines réelles et combien de<b r>
&gt; machines virtuelles tournent sur chaque machine réelle.<br>
<br>
</div>        En fait, une étude d&#39;analyse de perf est en cou rs. La répartition sera<br>
décidée à l&#39;issue de cette étude.<br>
<div class="im"><br>
<br>
&gt; Une solution est d&#39;utiliser un transparent/proxy, soit en façade de<br>
&gt; *tout* le réseau, soit en façade d&#39;une partie du réseau. Cel a permet de<br>
&gt; rediriger des flux vers des IP privées donc inaccessibles de l&#39; extérieur.<br>
<br>
</div>OK.<br>
<div class="im"><br>
&gt; Dans tous les cas de figures, ne serait ce que par simplification de<b r>
&gt; maintenance, je ne ferai tourner le firewall _que_ sur la/les machine( s)<br>
&gt; hote(s),<br>
<br>
</div>Noté.<br>
<br>
       Que pensez-vous de l&#39;utilisation des Vlans pour sépar er les flux réseaux de<br>
chaque DMZ au lieu d&#39;éléments réseau dédiés?<br>
Merci.<br>
<div class="im">--<br>
<a href="http://www.glennie.fr" target="_blank">http://www.glennie.fr</ a><br>
If the only tool you have is hammer, you tend to see every problem as a nai l.<br>
<br>
--<br>
</div><div><div></div><div class="h5">Lisez la FAQ de la liste avant de p oser une question :<br>
<a href="http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists" target="_blank">http:// wiki.debian.org/fr/FrenchLists</a> Vous pouvez aussi ajouter le mot<br>
``spam&#39;&#39; dans vos champs &quot;From&quot; et &quot;Reply-To:&quot;< br>
<br>
Pour vous DESABONNER, envoyez un message avec comme objet &quot;unsubscribe &quot;<br>
vers <a href="mailto:">debian- </a><br>
En cas de soucis, contactez EN ANGLAIS <a href="mailto: ebian.org"></a><br>
<br>
</div></div></blockquote></div><br>

--000e0cdfdb1e483ebf0478b4c533--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists" target="_blank" class="text-blue hover:opacity-90 " style="word-break: break-all;" rel="noopener nofollow">http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Daniel Huhardeaux
Glennie Vignarajah a écrit :
[...]

Que pensez-vous de l'utilisation des Vlans pour séparer les flux réseaux de
chaque DMZ au lieu d'éléments réseau dédiés?



Faut il cloisonner le flux ou l'equipement? Le vlan n'est pas une
mauvaise idée mais pas forcément nécessaire. Le matériel utilisé et la
BP disponible jouent également leur rôle.

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
David DUPONT
Simple question, mais qu'elle système de virtualisation est prévu ?
VMWare ? Virtual Server ?
Qu'elle est le nombre de machine environ par DMZ ?

Il existe effectivement plusieurs solution.

Tu peux avoir un Cluster VMWare avec différent VLan pour séparer tes DMZ
et tu gardes la possibilité d'administrer toutes tes machines à partir
d'un point. Le problème c'est qu'après tout doit bien être documenté
pour ne pas avoir à chercher une information pendant 10 ans : )

Tu as aussi la possibilité de faire plusieurs switch virtuel sur VMWare.
C'est plus à l'appréciation de la personne qui va être en charge de
l'administration de la ferme VMware.

Si tu créé plusieurs ferme virtuel avec tes différentes DMZ dessus, il
te faudra quand même les reliés physiquement entre elle par un switch /
firewall

Que cherche tu ? La sécurité ? la facilité d'administration ? la
performance ?

Cordialement

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Glennie Vignarajah
Le 19/11/2009 vers 09:46, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux < no-
) a écrit:

Bonjour,

Faut il cloisonner le flux ou l'equipement?



Le but étant remplacer tous nos switchs par 2 switchs et séparer les f lux de
chaque DMZ par des VLANS.
Intuitivement, je pense que l'utilisation des vlans pour séparer des DMZ rend
l'architecture complexe et utiliser le même équipement physique mélan geant des
réseaux dont le niveau de sécurité est différent créé un "flou" . C'est pour ça
que je souhaiterais avoir un retour d'expérience sur ce point.
A+

--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai l.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Glennie Vignarajah
Le 19/11/2009 vers 09:01, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Antoine Benkemoun(Antoine Benkemoun
) a écrit:

Bonjour,



Bonjour,
Merci pour la réponse!

Afin de pouvoir mettre en place des DMZ, il me parait indispensable de
mettre en place des VLAN. Je ne vois pas comment tu peux cloisonner tes
équipements autrement... Je mettrais donc un cluster de firewall afin de
pouvoir router entre les VLAN et assurer l'étanchéité interne.




Donc, faire transiter tous les flux des DMZs et de l'intranet par le mêm e
équipement en les séparant par des VLANS ne pose pas de problème?

Mettre des machines de plusieurs DMZ différentes sur une même platefo rme de
virtualisation peut paraitre un peu contradictoire. Le principe d'une DMZ
est de cloisonner niveau réseau des machines donc toutes les mettre sur le
même serveur de virtualisation est un peu contradictoire. Il est cepend ant
tout à fait possible de placer des VM dans différents réseaux via u ne
interface réseau 802.1Q (trunk chez Cisco).



C'est effectivement ce qui est proposé et c'est cette contraction qui me
gêne. C'est pourquoi, je souhaiterais savoir si quelqu'un a mis ça en p lace et
le niveau satisfaction par rapport des hyperviseurs sur chaque DMZ sépar és par
éléments physiques.
A+
--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai l.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Daniel Huhardeaux
Glennie Vignarajah a écrit :
Le 19/11/2009 vers 09:46, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux <no-
) a écrit:

Bonjour,


Faut il cloisonner le flux ou l'equipement?




Le but étant remplacer tous nos switchs par 2 switchs et séparer les flux de
chaque DMZ par des VLANS.
Intuitivement, je pense que l'utilisation des vlans pour séparer des DMZ rend
l'architecture complexe et utiliser le même équipement physique mélangeant des
réseaux dont le niveau de sécurité est différent créé un "flou". C'est pour ça
que je souhaiterais avoir un retour d'expérience sur ce point.



J'utilise des vlan pour différentes applications, cela ne créé pas de
soucis. Cependant, cette utilisation n'est pas systématique et a
effectivement contre elle cette complexité, mais ceci ne doit pas être
un frein à son utilisation car les vlans rendent de grands services.


--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Glennie Vignarajah
Le 19/11/2009 vers 10:56, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", David DUPONT(David DUPONT
) a écrit:

Simple question, mais qu'elle système de virtualisation est prévu ?
VMWare ? Virtual Server ?
Qu'elle est le nombre de machine environ par DMZ ?



Vmware ou KVM selon l'état de KVM au moment du choix.

Tu peux avoir un Cluster VMWare avec différent VLan pour séparer tes DMZ
et tu gardes la possibilité d'administrer toutes tes machines à partir
d'un point. Le problème c'est qu'après tout doit bien être document é
pour ne pas avoir à chercher une information pendant 10 ans : )



OK.


Tu as aussi la possibilité de faire plusieurs switch virtuel sur VMWare.
C'est plus à l'appréciation de la personne qui va être en charge de
l'administration de la ferme VMware.



OK.

Que cherche tu ? La sécurité ? la facilité d'administration ? la
performance ?



1/ La sécurité
2/ L'admin

Pour la perf, je suppose qu'on peut faire varier le nombre de machines h ôtes
et la qualité des éléments réseaux...
A+
--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai l.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Glennie Vignarajah
Le 19/11/2009 vers 12:08, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux < no-
) a écrit:

J'utilise des vlan pour différentes applications, cela ne créé pas de
soucis. Cependant, cette utilisation n'est pas systématique et a
effectivement contre elle cette complexité, mais ceci ne doit pas être
un frein à son utilisation car les vlans rendent de grands services.




OK. Merci!
A+
--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai l.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
1 2