virtualisation et consolisation réseau - un peu HS
14 réponses
Glennie Vignarajah
Salut,
Bon, on est pas vendredi et le topic est un peu HS, mais je me lance quand=
=20
m=EAme: actuellement, on fait des =E9tudes pour virtualiser les nos serveur=
s (cela=20
doit inclure la PRA). Notre r=E9seau comprend plusieurs DMZ=20
* internet qui h=E9berge les des serveurs web, relais mails DNS etc
* db : des serveurs de bases donn=E9es, accessibles uniquement depuis les=
=20
machines de la DMZ internet et des autres DMZs
* applis1 et applis2 h=E9bergeant des applicaions web. L'acc=E8s =E0 ces D=
MZ n'est=20
possibles que depuis la DMZ internet et uniquement par des reverses proxies.
* Le dernier segment r=E9seau est notre intranet.
L'acc=E8s =E0 chaque DMZ est filtr=E9 par des firewalls avec au moins 2 i=
nterfaces=20
r=E9seaux et chaque DMZ comprend plusieurs machines
Dans le projet, on nous propose de:
* Consolider sur paire de machines virtuelles la DMZ internet.
* Sur paire de machines virtuelles les X firewalls et les reverse-proxies.
* Sur 3 machines tous les autres DMZs (y compris les machines de l'intrane=
t).
* R=E9organiser les =E9l=E9ments r=E9seau par 2 switchs et utiliser des vl=
ans pour=20
isoler les DMZ.
Y-a-t-il un risque si les firewalls/reverse-proxies sont sur une machine=20
virtuelles? Les VLANS sont-ils assez =E9tanches pour proposer le m=EAme niv=
eau=20
d'=E9chantit=E9 des flus r=E9seaux qu'actuellement?
Avez-vous des retours d'exp=E9riences sur une architecture identique?
Merci de vos r=E9ponses et encore d=E9sol=E9 pour le HS!
=2D-=20
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai=
l.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Malheureusement, je ne peux te parler que de VMWare xD
Pour ce qui est de l'administration tu as plusieurs possibilité :-) Je pars du principe que tu as un VMWare Infrastructure 3 (désolé mais je ne suis certifié que Infrastructure xD) - Pour l'administration : - Cluster VMWare avec VMotion, HRA, DRS (après c'est sur qu'il faut que tu vois le budget :p ) - Répartition des machines virtuel surtout PAS toute les grosses d'un coté et les petites d'un autre (je parles en tant que rescource utilisé) - Administration de l'ensemble des fermes si tu en as plusieurs à partir que d'un poste (qui se connecte au central d'administration ce qui sous entend deux interfaces réseaux sur le central) - Pour la sécurité : - VMotion permet le déplacement des VM d'un serveur à un autre sans arrêt de la VM (selon les cas une petite indispo de quelque secondes) - HRA et DRS te permettent de faire de la haute disponibilité sur tes VMs) - Optionnel : - Système de sauvegarde mais il te faut un serveur de centralisation backup pour les détails tu peux aller sur le site de vmware
Pour ce qui est de la distinction entre tes différentes DMZ, tu peux soit : - Créé différents switch virtuel à une ou plusieurs cartes de ton serveur - Créé différents VLan sur un switch virtuel - condensé des deux : )
Les trois fonctionnes, cela te permet de limité le nombre de rescource utilisé (eletricité et autre), le nombre de machine présente, etc ....
Après maintenant tout ce joues sur le budget de ta boite.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Malheureusement, je ne peux te parler que de VMWare xD
Pour ce qui est de l'administration tu as plusieurs possibilité :-)
Je pars du principe que tu as un VMWare Infrastructure 3 (désolé mais je
ne suis certifié que Infrastructure xD)
- Pour l'administration :
- Cluster VMWare avec VMotion, HRA, DRS (après c'est sur qu'il faut
que tu vois le budget :p )
- Répartition des machines virtuel surtout PAS toute les grosses
d'un coté et les petites d'un autre (je parles en tant que rescource
utilisé)
- Administration de l'ensemble des fermes si tu en as plusieurs à
partir que d'un poste (qui se connecte au central d'administration ce
qui sous entend deux interfaces réseaux sur le central)
- Pour la sécurité :
- VMotion permet le déplacement des VM d'un serveur à un autre sans
arrêt de la VM (selon les cas une petite indispo de quelque secondes)
- HRA et DRS te permettent de faire de la haute disponibilité sur
tes VMs)
- Optionnel :
- Système de sauvegarde mais il te faut un serveur de
centralisation backup pour les détails tu peux aller sur le site de vmware
Pour ce qui est de la distinction entre tes différentes DMZ, tu peux soit :
- Créé différents switch virtuel à une ou plusieurs cartes de ton serveur
- Créé différents VLan sur un switch virtuel
- condensé des deux : )
Les trois fonctionnes, cela te permet de limité le nombre de rescource
utilisé (eletricité et autre), le nombre de machine présente, etc ....
Après maintenant tout ce joues sur le budget de ta boite.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Malheureusement, je ne peux te parler que de VMWare xD
Pour ce qui est de l'administration tu as plusieurs possibilité :-) Je pars du principe que tu as un VMWare Infrastructure 3 (désolé mais je ne suis certifié que Infrastructure xD) - Pour l'administration : - Cluster VMWare avec VMotion, HRA, DRS (après c'est sur qu'il faut que tu vois le budget :p ) - Répartition des machines virtuel surtout PAS toute les grosses d'un coté et les petites d'un autre (je parles en tant que rescource utilisé) - Administration de l'ensemble des fermes si tu en as plusieurs à partir que d'un poste (qui se connecte au central d'administration ce qui sous entend deux interfaces réseaux sur le central) - Pour la sécurité : - VMotion permet le déplacement des VM d'un serveur à un autre sans arrêt de la VM (selon les cas une petite indispo de quelque secondes) - HRA et DRS te permettent de faire de la haute disponibilité sur tes VMs) - Optionnel : - Système de sauvegarde mais il te faut un serveur de centralisation backup pour les détails tu peux aller sur le site de vmware
Pour ce qui est de la distinction entre tes différentes DMZ, tu peux soit : - Créé différents switch virtuel à une ou plusieurs cartes de ton serveur - Créé différents VLan sur un switch virtuel - condensé des deux : )
Les trois fonctionnes, cela te permet de limité le nombre de rescource utilisé (eletricité et autre), le nombre de machine présente, etc ....
Après maintenant tout ce joues sur le budget de ta boite.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Yves Rutschle
On Thu, Nov 19, 2009 at 12:15:21PM +0100, Glennie Vignarajah wrote:
> Que cherche tu ? La sécurité ? la facilité d'administration ? la > performance ?
1/ La sécurité
Pour la sécurité, une seule solution sûre: la ségrégation physique. La virtualisation n'apporte pas de sécurité, c'est pratiquement équivalent à faire tourner ses applications sur la même machine (d'ailleurs c'est bien ce qui se passe).
Pis VMWare, c'est pas libre, si je ne m'abuse :)
Y.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
On Thu, Nov 19, 2009 at 12:15:21PM +0100, Glennie Vignarajah wrote:
> Que cherche tu ? La sécurité ? la facilité d'administration ? la
> performance ?
1/ La sécurité
Pour la sécurité, une seule solution sûre: la ségrégation
physique. La virtualisation n'apporte pas de sécurité, c'est
pratiquement équivalent à faire tourner ses applications sur
la même machine (d'ailleurs c'est bien ce qui se passe).
Pis VMWare, c'est pas libre, si je ne m'abuse :)
Y.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
On Thu, Nov 19, 2009 at 12:15:21PM +0100, Glennie Vignarajah wrote:
> Que cherche tu ? La sécurité ? la facilité d'administration ? la > performance ?
1/ La sécurité
Pour la sécurité, une seule solution sûre: la ségrégation physique. La virtualisation n'apporte pas de sécurité, c'est pratiquement équivalent à faire tourner ses applications sur la même machine (d'ailleurs c'est bien ce qui se passe).
Pis VMWare, c'est pas libre, si je ne m'abuse :)
Y.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
On Thu, Nov 19, 2009 at 11:24:17AM +0100, Glennie Vignarajah wrote:
Le 19/11/2009 vers 09:46, dans le message intitulé "Re: virtualisation et consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux <no- ) a écrit:
Bonjour,
> Faut il cloisonner le flux ou l'equipement?
Le but étant remplacer tous nos switchs par 2 switchs et séparer les flux de chaque DMZ par des VLANS. Intuitivement, je pense que l'utilisation des vlans pour séparer des D MZ rend l'architecture complexe et utiliser le même équipement physique mél angeant des réseaux dont le niveau de sécurité est différent créé un "flo u". C'est pour ça que je souhaiterais avoir un retour d'expérience sur ce point. A+
Pour ma part, je reste persuadé que si l'on parle de sécurité, la séparation physique reste meilleure.
Tout logiciel possède des failles, et pourquoi pas le code des switchs. Concernant la virtualisation, il y a un magazine MISC qui en parlait. C'est vraiment pas étanche.
Donc pour moi, les DMZ sur des switchs séparés, des firewalls dédiés entre tout ça, et donc des fermes de virtualisation différentes sur chaque DMZ. Ca implique plus de matériel, donc je privilegirais du "fait à la main" ! Mais, c'est mon avis, et trouver une boite qui suive là dessus... C'est sur qu'il faut des compétences et du temps.
Aussi, les exigences sont certainement différentes entre un hébergeur et une entreprise qui possède juste quelques services privés sur Internet. Rapport sécurité/cout, densité de serveurs...
--EVF5PPMfhYS0aIcm Content-Type: application/pgp-signature; name="signature.asc" Content-Description: Digital signature Content-Disposition: inline
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
On Thu, Nov 19, 2009 at 11:24:17AM +0100, Glennie Vignarajah wrote:
Le 19/11/2009 vers 09:46, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux <no-
spam@tootai.net>) a écrit:
Bonjour,
> Faut il cloisonner le flux ou l'equipement?
Le but étant remplacer tous nos switchs par 2 switchs et séparer les flux de
chaque DMZ par des VLANS.
Intuitivement, je pense que l'utilisation des vlans pour séparer des D MZ rend
l'architecture complexe et utiliser le même équipement physique mél angeant des
réseaux dont le niveau de sécurité est différent créé un "flo u". C'est pour ça
que je souhaiterais avoir un retour d'expérience sur ce point.
A+
Pour ma part, je reste persuadé que si l'on parle de sécurité, la
séparation physique reste meilleure.
Tout logiciel possède des failles, et pourquoi pas le code des switchs.
Concernant la virtualisation, il y a un magazine MISC qui en parlait.
C'est vraiment pas étanche.
Donc pour moi, les DMZ sur des switchs séparés, des firewalls dédiés
entre tout ça, et donc des fermes de virtualisation différentes sur
chaque DMZ.
Ca implique plus de matériel, donc je privilegirais du "fait à la main" !
Mais, c'est mon avis, et trouver une boite qui suive là dessus...
C'est sur qu'il faut des compétences et du temps.
Aussi, les exigences sont certainement différentes entre un hébergeur et
une entreprise qui possède juste quelques services privés sur Internet.
Rapport sécurité/cout, densité de serveurs...
--EVF5PPMfhYS0aIcm
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
On Thu, Nov 19, 2009 at 11:24:17AM +0100, Glennie Vignarajah wrote:
Le 19/11/2009 vers 09:46, dans le message intitulé "Re: virtualisation et consolisation réseau - un peu HS", Daniel Huhardeaux(Daniel Huhardeaux <no- ) a écrit:
Bonjour,
> Faut il cloisonner le flux ou l'equipement?
Le but étant remplacer tous nos switchs par 2 switchs et séparer les flux de chaque DMZ par des VLANS. Intuitivement, je pense que l'utilisation des vlans pour séparer des D MZ rend l'architecture complexe et utiliser le même équipement physique mél angeant des réseaux dont le niveau de sécurité est différent créé un "flo u". C'est pour ça que je souhaiterais avoir un retour d'expérience sur ce point. A+
Pour ma part, je reste persuadé que si l'on parle de sécurité, la séparation physique reste meilleure.
Tout logiciel possède des failles, et pourquoi pas le code des switchs. Concernant la virtualisation, il y a un magazine MISC qui en parlait. C'est vraiment pas étanche.
Donc pour moi, les DMZ sur des switchs séparés, des firewalls dédiés entre tout ça, et donc des fermes de virtualisation différentes sur chaque DMZ. Ca implique plus de matériel, donc je privilegirais du "fait à la main" ! Mais, c'est mon avis, et trouver une boite qui suive là dessus... C'est sur qu'il faut des compétences et du temps.
Aussi, les exigences sont certainement différentes entre un hébergeur et une entreprise qui possède juste quelques services privés sur Internet. Rapport sécurité/cout, densité de serveurs...
--EVF5PPMfhYS0aIcm Content-Type: application/pgp-signature; name="signature.asc" Content-Description: Digital signature Content-Disposition: inline
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Glennie Vignarajah
Le 19/11/2009 vers 19:23, dans le message intitulé "Re: virtualisation et consolisation réseau - un peu HS", Yves Rutschle(Yves Rutschle <debian.an ti- ) a écrit:
Pour la sécurité, une seule solution sûre: la ségrégation physique. La virtualisation n'apporte pas de sécurité, c'est pratiquement équivalent à faire tourner ses applications sur la même machine (d'ailleurs c'est bien ce qui se passe).
Ok. Merci pour pour toutes les réponses! A+
-- http://www.glennie.fr If the only tool you have is hammer, you tend to see every problem as a nai l.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
Le 19/11/2009 vers 19:23, dans le message intitulé "Re: virtualisation et
consolisation réseau - un peu HS", Yves Rutschle(Yves Rutschle <debian.an ti-
spam@rutschle.net>) a écrit:
Pour la sécurité, une seule solution sûre: la ségrégation
physique. La virtualisation n'apporte pas de sécurité, c'est
pratiquement équivalent à faire tourner ses applications sur
la même machine (d'ailleurs c'est bien ce qui se passe).
Ok. Merci pour pour toutes les réponses!
A+
--
http://www.glennie.fr
If the only tool you have is hammer, you tend to see every problem as a nai l.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Le 19/11/2009 vers 19:23, dans le message intitulé "Re: virtualisation et consolisation réseau - un peu HS", Yves Rutschle(Yves Rutschle <debian.an ti- ) a écrit:
Pour la sécurité, une seule solution sûre: la ségrégation physique. La virtualisation n'apporte pas de sécurité, c'est pratiquement équivalent à faire tourner ses applications sur la même machine (d'ailleurs c'est bien ce qui se passe).
Ok. Merci pour pour toutes les réponses! A+
-- http://www.glennie.fr If the only tool you have is hammer, you tend to see every problem as a nai l.
-- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers En cas de soucis, contactez EN ANGLAIS
